Passwörter und Legenden

BLOG: Datentyp

Informatik, Daten und Privatsphäre
Datentyp

Scheinbare Erkenntnisse und häufige Sicherheitsmaßnahmen rund um Passwörter gehen oft an der Realität und am Stand der Technik vorbei.

Die vor kurzem erfolgte Veröffentlichung des Referentenentwurfs zum Telemediengesetz sorgte für einen Aufschrei bei Netzpolitikern und digitalen Aktivisten. Zu den Daten, die bei Verdacht auf Straftaten aber auch schon bei Ordnungswidrigkeiten an Behörden herausgegeben werden müssen, gehören auch Zugangsdaten wie Passwörter und solche Daten, die als Antworten auf Sicherheitsfragen zum Passwort-Reset dienen können.

Die Kenntnis von Passwörtern ermöglicht den Zugriff auf Benutzerkonten und die Vorspiegelung der Identität der Betroffenen, die einer Straftat verdächtig sind. Nicht selten werden Passwörter mehrfach für verschiedene Konten genutzt. So könnten bei missbräuchlicher Nutzung der Zugangsdaten im Namen der Verdächtigen scheinbar authentische Nachrichten an Dritte versandt werden oder wirtschaftliche Transaktionen vorgenommen werden, was nicht zu den zulässigen Ermittlungsmethoden von Strafverfolgern gehört. Überhaupt ist die Vorstellung, dass jeder Polizist in Benutzerkonten und privaten Nachrichten herumstöbern könnte, beunruhigend; gab es doch schon Vorfälle, bei denen ermittelnde Beamte ihren privilegierten Zugang zu Daten missbrauchten.

Werden Passwörter denn überhaupt gespeichert?

Tatsächlich liegt bereits ein Versäumnis eines Diensteanbieters vor, wenn dieser Passwörter speichert. Dafür gibt es keinen sinnvollen Grund! Es stellt vielmehr ein unnötiges Risiko dar, wenn Passwörter klar oder verschlüsselt gespeichert werden, denn solche Passwort-Datenbanken sind ein gefundenes Fressen für Datendiebe. Es genügt völlig, kryptographische Prüfsummen (sogenannte Hashwerte) für Passwörter zu speichern. Hashfunktionen haben eine Einweg-Eigenschaft: Aus Kenntnis der Prüfsumme lässt sich nicht auf das Passwort zurückschließen. Es bleibt nur das Durchprobieren von vielen Passwörtern gemäß Wörterbüchern oder Listen, um das gehashte Passwort zu ermittelt. Ist dieses jedoch ausreichend lang und zufällig gewählt, bleibt dieser Brute-Force-Angriff erfolglos.

Passwort-Hash

Wer mit Daten nicht umgehen kann, soll sich auf analoge Geschäftsmodelle beschränken!

Leider gibt es immer wieder Fälle, in denen Anbieter es versäumen, Passwörter vor dem Speichern zu hashen. Dies stellt ein fahrlässiges Verhalten dar und sollte Konsequenzen haben. Das könnten Bußgelder seitens der Datenschutzbehörden sein oder – um mal eine politische Idee zu benennen – den Entzug der Erlaubnis, Telekommunikationsdienste oder digitale Geschäftsmodelle anzubieten, bewirken. Wer mit Daten nicht umgehen kann, soll sich auf rein analoge Geschäftsmodelle beschränken. Da aber noch immer viele Passwörter gespeichert werden und weil mit sensiblen Daten Passwörter zurückgesetzt werden können, ist die unqualifizierte Herausgabe von Zugangsdaten an Behörden abzulehnen.

Fallen Sie nicht auf Top-Ten-Listen von Passwörtern herein!

In Medienberichten werden meist im Jahresrhythmus Passwort-Charts veröffentlicht. Dabei werden die von Deutschen am häufigsten verwendeten Passwörter gelistet und es wird darauf hingewiesen, dass diese Passwörter unsicher sind und dass man sichere Passwörter wählen sollte. Die Top-Ten werden sowohl in Presseberichten als auch von Vortragenden zu Sicherheitsthemen oft als Indiz herangezogen, dass die Userschaft leichtfertig und schlecht informiert Passwörter auswählt. Letzteres ist jedoch blühender Unsinn! Die Top-Ten-Liste ist überhaupt kein Indiz für die Verbreitung besonders schwacher Passwörter.

1. 123456
2. 12345
3. passwort
4. hallo123
5. geheim
[…] (typische Liste häufiger Passwörter)

Starke Passwörter haben die globale Häufigkeit 1 (es gibt sie nur einmal) und kommen daher nie in Top-Ten-Listen vor. Es spielt daher keine Rolle, ob 60% oder 99% der Bevölkerung starke Passwörter verwendet: Die Listen werden immer so aussehen wie in den Jahren zuvor und bekannte Zeichenketten aufführen. Denn häufig verwendete Passwörter und schwache Passwörter fallen begrifflich zusammen; dazu braucht es keine Statistik. Wer also darauf wartet, dass in den Top-Ten-Listen einer sicherheitsbewussten Bevölkerung irgendwann einmal starke Passwörter auftauchen, wundert sich vielleicht auch darüber, dass Temperaturrekorde meist im Sommer auftreten und dass auf der Autobahn mehr Fahrzeuge auf der linken Spur geblitzt werden als auf der rechten. Eine politische Forderung, den Verkehr auf der linken Spur aus diesem Grund ganz zu sperren, wäre übrigens so unsinnig wie wirksam, denn mehr Staus senken Tempoverstöße deutlich. Warten wir also auf den Vorschlag, die zehn häufigsten Passwörter zu verbieten.

Alle 90 Tage Passwort wechseln? Unsinn!

Eine weitere Legende rund um das Thema Passwörter ist das oft kolportierte Gerücht, dass aus Sicherheitsgründen ein regelmäßiger Wechsel des Passwortes erzwungen werden sollte. Dabei werden oft 90 Tage als etablierte Frist herangezogen. Diese Vorgabe ist gut gemeint; man hofft, dass bereits kompromittierte Passwörter von selbst verschwinden. Idee: Vielleicht wurde vor Jahren einmal ein schwaches Passwort vergeben und der Wechsel schließt nun die Lücke. Es fehlt jedoch nicht nur ein Nachweis für die These, dass der erzwungene Wechsel wirksam ist. Nach Stand von Wissenschaft und Technik ist der erzwungene Wechsel vielmehr ein Risiko: Er setzt Menschen unter Druck, rasch Passwörter zu wählen, die sie sich schnell merken können bzw. Passwörter zu notieren bis hin zum kleinen Zettel, der unter der Tastatur aufbewahrt wird. Was soll man auch sonst tun, wenn man zur Unzeit und gestresst zum Wechsel genötigt wird?! Die Empfehlungen gut informierter Behörden wie deutscher Datenschutzbehörden oder auch des BSI sehen daher inzwischen keinen erzwungenen Wechsel mehr vor und raten davon ab. Vielmehr sollten die Nutzer anlassbezogen das Passwort wechseln, beispielsweise, wenn sie vermuten, dass jemand die Eingabe beobachtet haben könnte.

Okay, der Anbieter soll keine Passwörter speichern. Darf ich das denn?

Als Nutzer sollten Sie nicht nur sichere Passwörter wählen. Sie können sie auch beruhigt speichern, dann aber verschlüsselt mit einem Master-Passwort oder sonst in einem sicheren Datencontainer. Dann brauchen Sie nur noch dieses eine Master-Passwort auswendig zu wissen oder im Safe zu lagern, falls Sie vergesslich sind. Die damit verschlüsselte persönliche Passwort-Datenbank können Sie überall dort ablegen, wo Sie sie brauchen. Es spricht dann auch nichts mehr gegen eine Filecloud, um Ihre privaten wie dienstlichen Passwörter sicher abzulegen. Freie Lösungen dafür sind beispielsweise KeeWeb (plattformübergreifend) oder auch Browser-basierte Mechanismen wie z. B. das Masterpasswort beim Firefox-Browser. Damit können Sie die Passwörter bequem in die Formularfelder kopieren und müssen sie nicht mehr umständlich eintippen.

Alternativen zum Passwort

Wenn Sie die Möglichkeit haben, sollten Sie eine Zwei-Faktor-Authentisierung aktivieren. Diese kombiniert zwei Sicherheitsmechanismen, so dass beispielsweise neben der Kenntnis eines Passwortes oder einer einfachen PIN auch der Besitz des persönlichen und entsperrten Smartphone über eine App nachgewiesen wird. Der Passwortdieb kann dann nicht auf das Konto zugreifen, wenn er nicht gleichzeitig auch das Handy klaut – und selbst dann ist er ohne Entsperrmöglichkeit meist machtlos. Diesen Service bieten inzwischen viele Social-Media-Anbieter an und auch bei dienstlichen Zugängen entwickelt er sich langsam zum sicheren Standard.

Passwort

Wenn es Ihnen schwer fällt, sich regelmäßig sichere Passwörter auszudenken, lassen Sie sich diese von Computern generieren! Die zuvor genannten Lösungen zum sicheren Speichern von Passwörtern können dies ebenfalls erledigen. Es erscheint Ihnen vielleicht paradox, aber: Computer sind perfekt darin, Passwörter zu erzeugen, die kein anderer Computer auf der Welt jemals herausfinden wird!

Avatar-Foto

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

17 Kommentare

  1. Meiner Meinung nach ist 2FA überhaupt gar keine Lösung für irgendwas, sondern eine Verschärfung des Problems (aus Nutzersicht! Anbieter können natürlich wie immer “profitieren”). Ich *will* als Nutzer auf gar keinen Fall eine weitere Tracking-Möglichkeit über die Telefonnummer (oder biometrische Daten oder sonstwas…) für irgendwelche anonymen “Anbieter” eröffnen. Wenn, wie richtig beschrieben wurde, irgendwelche “Anbieter/Plattformen” schon Passwörter fälschlich speichern (und IP-Nummern und Cookies und Fingerprints undundund…) und dies natürlich auch immer ohne Kenntnis/Wissen des Nutzers, dann ist eine weitere personifizierbare Datenmasse zum Verwerten nur eine weitere Quelle des Missbrauchs. 2FA ist für Nutzer SCHLECHT!

    • Den Punkt den Sie ansprechen, hatte ich beim Lesen des Artikels vollständig verdrängt. Gut, dass Sie das nochmal anmerken, denn Richtig! Mehr Daten für Unbekannte.
      Oft entwickelt sich aus (beabsichtigt oder nicht beabsichtigt) selektiver Berichterstattung ein vermeintlicher, nicht zu Ende gedachter Lösungsansatz, der womöglich unreflektiert zur Anwendung kommt. Schnelles Zeitalter.
      Daher Danke fürs Aufpassen!

      Diese Antwort hat mich die Preisgabe meine Email-Adresse gekostet

  2. Eine Frage habe ich zum Thema Zugangsdaten der Telekom/T-online. Sind da die Daten einschliesslich Passwörter gespeichert, daß man sie auslesen kann? Es gab doch Meldungen, daß diese im Internet angeboten wurde.

    Gruss
    Rudi Knoth

  3. Sog. Passwörter können gehärtet werden, korrekt, für den Fall, dass ein Angreifer bereits in einem Gerät sitzt, können mehrere Geräte, eben härtend für den Sicherheitskontext, verwendet werden.
    Sog. Brute-Force-Angriffe sind eher ein geringes Problem, denn die Authentifizierungssysteme können sie bemerken und reagieren.
    Insgesamt sind Authentifizierungssysteme gefordert den Nutzer zu zwingen komplexe Kennwörter anzulegen, wobei von ihnen auch auf Datenbasen mit häufig genutzten Kennwörtern zurückgegriffen werden kann.
    Das forcierte Ändern von Kennwörtern nach einigem Zeitabstand ist theoretisch nicht angewiesen, kann praktisch aber die Sicherheit erhöhen, es hängt vom zu schützenden Gegenstand ab.
    Kennwörter sind auf Anbieterseite zu “hashen”.
    MFG + weiterhin viel Erfolg
    Dr. Webbaer

    • Sog. Brute-Force-Angriffe sind eher ein geringes Problem, denn die Authentifizierungssysteme können sie bemerken und reagieren.

      Auch da irrt “Dr. Webbaer”.

  4. In diesem Sinnzusammenhang ergänzend aktuelle bundesdeutsche Politik webverwiesen :

    -> https://www.tagesspiegel.de/politik/umfassende-ueberwachungsrechte-fuer-den-staat-datenschuetzer-sehen-durch-passwort-herausgabe-grundwerte-in-gefahr/25339980.html

    ‘Hass’ ist aus liberaler Sicht natürlich erlaubt, wie Liebe nicht gut sein muss, kann Hass nicht schlecht sein müssen, es geht hier bundesdeutschen politischen Spitzenkräften, auch dem Bundesjustizministerium, um ein mehr an Überwachung.
    Mehr ist nicht los.

    MFG – WB

  5. Mahlzeit,

    komplexe Passwörter sind völliger Mumpitz. Passwörter müssen nur ausreichend lang sein.

    Beispiel:
    Passwort komplex 10 Zeichen lang – Groß- und Kleinbuchstaben, 10 Ziffern und sagen wir 10 Sonderzeichen zur Auswahl -> 72^10 = 3,743906243×10¹⁸ mögliche Kombinationen

    Passwort nicht komplex 13 Zeichen lang – nur Kleinbuchstaben und Leerzeichen -> 27^13 = 4,0526×10¹⁸ mögliche Kombinationen

    Also, nehmt einfach einen einfachen Satz und den dann als Passwort. Kann man sich gut merken und ist kaum zu knacken.

    “meine mutter heißt barbara” -> 27^26 = 1,642320327×10³⁷

    Viel Spaß damit.

    Gruß
    Klaus

    • Denkbar ist schon, dass einbrechende sog. Brute-Force-Algorithmen Komposita gezielt suchen.
      Ansonsten macht Länge den Braten nicht fett, irgendein Passwort, das mit ‘qwert’ beginnt, und so weiter macht, ist potentiell unsicher.
      Ansonsten liegen Sie richtig, Kommentatorenfreund Klaus Bärbel, die dbzgl. einzubrechen versuchenden Algorithmen klappern sozusagen bekannte Kennwörter ab, sofern ihnen dies vom Anbieter-System erlaubt wird.
      MFG – WB (dessen Mutter Barbara hieß)

    • Das ist eine Moeglichkeit, Passwoerter zu generieren, die Rechnung ist allerdings falsch. Sprache hat eine Entropie im Bereich von 2 Bit pro Buchstabe.

      Oder anders beschrieben:

      Typische Menschen haben einen Sprachwortschatz im Bereich von 10.000 = 10^4 Woertern. Wenn man vier Woerter aneinanderreiht, ergibt sich eine Gesamtauswahl in der Groessenordnung von 10^16. Selbst wenn man noch ein paar Kleinigkeiten dazuaddiert (z.B ein Faktor 2 wegen Leerzeichen vs. ohne Leerzeichen) ist das Welten entfernt von 10^37, auch wenn es, zumindest bei gehaerteten Hash-Funktionen, immer noch ausreichen sollte, um eine Brute-Force-Attacke abzuwehren.

      Angeblich soll es auch Moeglichkeiten geben, Brute-Force-Angriffe auf genau dieses Szenario einzustellen, aber da weiss ich dann nichts Genaues mehr.

      • Sprache hat eine Variabilität von n-Buchstaben von n möglichen.
        Zudem dürfen qua Tastatur auch Sonderzeichen genutzt werden.
        Dbzgl. Variabltiät meint dann einen deutlich höheren Informationsgehalt als 2 Bit pro Buchstabe.

        Ist abär auch egal, begriffen worden ist wohl allgemein, dass Kennwörter individuell zu generieren sind, nicht abgeschrieben werden müssen und auch nicht festen Regeln, bspw. dem Geburtsort und dem Geburtsdatum folgend zu entwickeln sind.

        MFG – WB

  6. Eigentlich erwarte ich von einen Magazin wie Spektrum, das man die Beiträge hinterfragt.

    Die meisten “unsicheren” Passwörter der letzten Jahre, entstanden weil Anbieter ihrer Pflicht zu sicheren Verwarung von Passwörtern nicht nachgekommen sind. Damit ist explizit N I C H T gemeint, das Passwörter im klartext gespeichert wurden, sondern vielmehr das Passwörter aus Datenbanken extrahiert werden konnte im hash Format.

    Bei dem heutigen Stand von “Homepc” ist es Problemlos möglich Passwörter bis zu einer Länge von 10 Zeichen binnen Stunden zu “knacken”.

    Selbst vor ein paar Jahren existierten schon vernüftige Tools um hashed Passwörter zu knacken. Schwer zu glauben ?

    Für Windows “only”:

    https://www.youtube.com/watch?v=JT4P_ZQuv9k viel Spaß mit Cain und Abel.

    Rainbowtables:

    http://www.cryptohaze.com/gpurainbowcracker.php.html

    Die Hardware ist erschwinglich und bauen kann es sich jeder selbst 😉

    https://www.youtube.com/watch?v=jI2kVnN_Y7Q

    Also bleibt zur Zeit wirklich nur noch 2FA als option “übrig” und diese ist auch nur “tauglich” wenn es wirklich echte 2 Hardwarekomponenten sind, von der einer immer am “Mann” getragen wird.

    Natürlich kann man nun die Empfehlung aussprechen das Passwörter immer minimum 60 Zeichen, nicht aufeinanderfolgender Zeichenfolgen, minimum 12 Sonderzeichen usw. haben müssen, aber man erkennt schon das dieses Unterfangen die meisten Menschen überfordern dürfte.

    Also was bleibt?

    Man sollte vernüftige Tips geben und analysieren.

    1) Kein PW zweimal verwenden. ( Jedes Login = eigenes PW und eigenen Nutzernamen )
    2) Kein PW speichern ( ONLINE ). D. h. die Speicherung in einem offline Medium ist vollkommen in Ordnung (Notizbuch usw.)
    3) Die PW immer nur dann wechseln wenn kompromitierung erwartet wird (Ausspähen usw.)

    Dadurch entlastet man den Passwortnutzer und die Länge wird nahezu irrelevant, da ja die Speicherung offline möglich ist.

    Denn entgegen der landläufigen Meinung ist ein Notizbuch ungefähr so sicher wie ein digitaler 2FA. Inbesondere wenn das PW so komplex ist, das auch bei moderner Hardware ein BruteForce in die Jahre gehen sollte.

    Ende vom Lied ist, das wir die meisten Sicherheitslücken bei der Speicherung der Passwörter zu beklagen haben. Dort würde es helfen wenn langsam einem eine einheitlichkeit der Passwortdatenbanken und zugehörigen Mechanismen einzug halten würde.

    Derzeit sind dazu zwar Projekte am laufen aber leider ist es wieder mehr als ein Projekt 🙁

    Somit kann ich immer nur sagen: Wählt eure Passwörter mit Geschick und nach Bedarf. Ein Zugang zu einem kleinen Blog mit den Hundebildchen darf ruhig auch mal “nur” 8 Zeichen lang sein.

    Wohingehen das Passwort für das “Hauptmailaccount” ruhig auch mal 32 und mehr haben darf.

    Überprüft eure Passwortverwerter. Wenn ihr seht das ein kleiner Webshop seine Datenbasis auf einem Webshop von Strato und Co. anbietet, dann lohnt es dort vielleicht die Zahldaten 1x einzugeben bei jeder Bestellung und nicht zu speichern. Das PW sollte ein wegwerf Passwort sein, welches durch Reset neu geholt wird, wenn es benötigt wird.

    Zu den Kommentatoren die bereits mit der Länge vom Passwort argmumentiert haben, muss ich leider sagen : Nein – die Länge entscheidet nicht über Sicherheit.

    Die “öffentlich” leicht zugänglichen Tables umfassen 1-10 Chars als direkten Download:
    http://project-rainbowcrack.com/table.htm

    Derzeit werden NTLM und MD5 Tables frei angeboten. Im Darknet sind Rainbowtables mit ca. 1 – 3 TB zu erhalten, welches 1-19(manchmal auch 22) Chars umfassen.

    Alles darüber hinaus muss gekauft oder selbst erzeugt werden. Zu Kaufen gibt es Rainbowtables und Hashes bis zu 40 Chars. Die Preise sind hierbei moderat ( 1500-6000$)

    Eine 3 TB Table kann mit einer Grafikkarte(32GB Vram), 32 GB RAM und durchschnittlicher CPU binnen 72-86 Stunden durchsucht werden. Dies habe ich nun schon mehrfach ausprobieren dürfen. Also würde, den MD5 Hash vorausgesetzt, die Kontoübernahme irgendwo in unterhalb einer Woche stattfinden.

    Ich kann nur jedem, welche Daten hat welche besonderen Schutz bedürfen, empfehlen die Daten nach “alter” Sitte zu sichern. Packen, Passwort, Splitten und die Parts auf unterschiedlichen Medien, mit unterschiedlichen Zugängen und Zugriffsarten ablegen.

    Recoverinformationen natürlich auf “Off” stellen.

    Bei “Kleinigkeiten” ist oftmals eine offlinespeicherung ( USB-Sticks ) sinnvoller als eine Cloudlagerung.

    Wenn ein Zugang unumgänglich ist, dann auf die nötigste Beschränken und dabei möglichst viele Daten wieder lokal only vorhalten.

    Das Schützt zwar nur dann vor Datenklau, wenn das Endgerät nicht kompromitiert wurde, aber ist derzeit immer noch die beste Wahl für sichere Verwahrung von Daten.

    Was Passwörter angeht : Länger >= 30 ( wenn möglich ). Dabei sollte kein PW anders aussehen als bspw: (cBDs#-q!B6D)Y5eTh!A5{Aq6-Fz§:Z

    Des weiteren ist zu empfehlen das diese Passwörter vollständig offline gesichert werden. Denn ein Noitzbuch muss auch ersteinmal gestohlen / kopiert werden und das hebelt 99% der “kleinen” Hacker aus und erschwert es auch Ermittelungsbehörden an Passwörter zu gelangen. Hierbei das gute alte Versteck für das Buch wählen 😉

    Leider bin ich schon sehr weit in dem Kommentar gegangen. Fakt ist das man über das Thema Passwort und Zugänge locker ein Wochenende lang gespräche führen kann und dennoch zu keinem zufriedenstellenden Ergebnis gelangt. Nur bei einen musste mir immer alle recht geben: Ein PW, das aus umkreisten Worten und Buchstaben in einem Buch stammen, sind heute immer noch besser als die meisten Passwörter, die sich Benutzer selbst ausdenken ( müssen )

  7. Dass man Passwörter nicht speichern muss, sondern einen Hash erzeugt, der dann geprüft wird, wußte ich noch nicht. Ich arbeite zwar schon seit meinem Studium (ca. 20 Jahren) am und mit dem Computer, aber mit Sicherheitstechnik kenn ich mich nicht besonders gut aus. Danke für die Aufklärung!

    Mir stößt jedoch der Begriff Authentisierung unangenehm auf. Das Wort habe ich noch nie gehört. Eine kurze Recherche ergab, dass Fachleute offenbar unterscheiden zwischen dem Vorgang 1. eine Identität zu behaupten (Authenthisierung) und 2. die Identität zu prüfen (Authentifizierung).

    Ich verstehe ja, dass Fachleute dazwischen unterscheiden müssen, aber mich verwirrt das nur. Für mich ist das Wortklauberei. Zumal es lt. Wikipedia auf Englisch nur ein Wort gibt (authenticate).

    Für mich ist das Anmelden mit Passwort eine Authentifikation (oder Authentifizierung). Diese beiden Begriffe sind auch allgemein bekannt und jeder weiß, was damit gemeint ist. Fachbegriffe tragen nicht zum allgemeinen Verständnis bei sondern verwirren nur.

    Gruß
    Olaf

    • Ischt schon wichtich, die dbzgl. Schichtentrennung, vergleiche :

      Mir stößt jedoch der Begriff Authentisierung unangenehm auf. Das Wort habe ich noch nie gehört.

      Ein Teilhaber bei einem (gesellschaftlichen) System wird authentifiziert um dann mit bestimmten Rechten versehen autorisiert zu werden. [1]
      ‘Fachbegriffe tragen [] zum allgemeinen Verständnis bei [..,]’ – Dr. W. musste hier ein wenig schmunzeln, danke für Ihre Nachricht, Kommentatorenfreund ‘Olaf’,
      weihnachtliche Grüße
      Dr. Webbaer

      [1]

      Die Authentifizierung meint letztlich die Identifizierung, es darf an dieser Stelle mit Verfahren wie dem Postident verglichen werden.

  8. Noch zwei weitere Gedanken:

    Zum Einen gibt es Dienste, wo ich gezielt schwache Standardpasswoerter verwende, weil ich sie selten nutze und die Auswirkungen einer Kompromittierung (fuer mich) ueberschaubar sind. Beispielsweise muss man sich fuer das Submitten von Papers bei dem entsprechenden Verlag gerne mal einen Account besorgen. Dort schaue ich dann in den folgenden Monaten fuenfmal rein (hochladen Reviewer-Kommentare abholen, Antworten an die Reviewer abschicken, gelegentlich den Status pruefen), dann liegt der Account erstmal jahrelang brach.

    Das Schlimmste, was ein Angreifer hier machen kann, ist, den Publikationsprozess zu sabotieren, und wenn sich jemand diese Muehe macht, laesst sich das auf dem kurzen DIenstweg per Anruf klaeren, und ich habe wahrscheinlich groessere Probleme als irgendwelche ungueltigen Submissions. Speichern will ich das Passwort auch in einem Passwort-Manager nicht, das ist mir zuviel Muehe, also bekommt der Account ein 08/15-Passwort, das ich auch nach Jahren noch erraten kann.

    Zum Anderen gibt es bei haeufigen Passwort-Wechseln eine nette Strategie: Kein Mensch uerberlegt sich viermal im Jahr ein vernuenftiges neues Passwort, also faengt man einfach an, das alte zu verwenden und eine “1” ranzuhaengen oder aehnliche primitive Transformationen zu machen. Das laesst sich schwer unterbinden und reduziert den theoretischen Sicherheitsgewinn ziemlich stark.

  9. HP Printer Offline fix issue is that the commonest problem which will be arisen when there’s low connectivity speed between the pc and therefore the printer. Many So, if you’re also doing an equivalent thing, then stop it now because we have got a team of knowledgeable people that knows better to eradicate your complicated issues within a moment After doing such things, this issue is often exterminated, and your HP printer prints the files or documents with none obstacle.
    At one point you’ll have found that your HP printer stops printing any documents simply because the printer gets offline unknowingly. Don’t exasperate! There are multiple ways to bring the device online from offline. Here the one possible otherwise you can say the simplest way is noted below. Hence, take a quick abreast of |cross-check|verify|scrutinize”> check out those points and follow up on an equivalent procedure in your OS.

Schreibe einen Kommentar