Fragen zur Passwortsicherheit

  • Aber ich dachte immer das bei Passwörtern gerade das "random" einen großen Stellenwert hat. Das bei nem möglichen Brutforce etc. ganze Wörter wie in #2 bevorzugt probiert werden?

    Die Bruteforcetools können zwar mit Wordlists arbeiten, aber nur weil in der Wordlist netcup vorkommt, heisst das ja in Beispiel2 nicht, dass es leichter knackbar ist, da er ja auch noch die Sonderzeichen und Zahlen in richtiger Reihenfolge dann probieren muss etc, was die Schwierigkeit merklich erhöht.

  • Ich halte #2 für relativ unsicher. Bei der Diceware Methode erstellt man zwar auch Passphrasen aus regulären Wörtern, wichtig ist jedoch, dass diese in keinem Zusammenhang stehen. Nach etwas Social Engineering hat dein Passwort quasi nur noch 4 Zeichen.

  • Nach etwas Social Engineering hat dein Passwort quasi nur noch 4 Zeichen.

    Das ist ein Punkt den ich verstehe. Allerdings war das ja nur ein Beispiel fürs Forum, also ganz bewusst mit Phrasen die ihr hier kennt ;)

    Für das Passwort nach diesem Schema würde ich natürlich andere, für mich sehr persönliche, Eckpunkte nehmen.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

  • Ich würde - wenn nicht unsicherer - gerne auf einen Satz oder ähnliches nach Schema #2 wechseln.

    Ich sichere meinen Passwortmanager via Diceware Methode mit zusätzlich 6 Zahlen und Sonderzeichen, zusätzlich noch mit yubikey.


    Ich finde die Diceware Methode grundsätzlich sehr angenehm zu merken und mit dem zusätzlichen 2FA per yubikey glaube ich kaum, dass das mit heutigen Methoden knackbar ist.

  • Ich halte #2 für relativ unsicher. Bei der Diceware Methode erstellt man zwar auch Passphrasen aus regulären Wörtern, wichtig ist jedoch, dass diese in keinem Zusammenhang stehen. Nach etwas Social Engineering hat dein Passwort quasi nur noch 4 Zeichen.

    Möglich, aber da kommt eben der "Social Engineering" Faktor hinzu und da ist dann wieder die Frage, wer ist Bud und interessiert sich jemand für seinen Bitwarden Account. Gehen wir mal tiefer.


    Szenario 1:

    "Hacker X" findet https://bitwarden.bud.de im Internet und versucht es zu hacken. Eventuell gelingt es ihm durch eine Sicherheitslücke, dann ist das Passwort irrelevant. Ansonsten versucht er Bruteforcing/whatever Methoden. Vermutlich in beiden Fällen wenig vielversprechend, weil zu zeitaufwändig, ausser er ist ein "relevantes" Target. Gehen wir davon aus, er ist relevant. Hacker versucht die IP herauszufinden, Bud hat die Bitwarden-Instanz nicht hinter einem Proxy (wie bspw. Cloudflare) oder hat auf dem selben Server einen Mailserver laufen. Hacker findet die IP, weiss nun das die Website bei Netcup gehosted ist. Er nimmt netcup in seine Wordlist auf. Gleichzeitig nimmt er bitwarden und bud in die Wordlist auch noch mit auf, weil das aus dem Domainnamen hervorgeht. Dann fügt er auch noch Server, Webhosting in die Wordlist hinzu und alle Jahreszahlen, zudem sucht er nach Bud und netcup bei Google, stösst hier im Forum auf sein Profil und fängt sich mit ihm anzufreunden. Wird es möglicher Passwort #2 mit viel Energie zu knacken? VIELLEICHT! Hat er 2FA aktiviert? Eher weniger, ausser Sicherheitslücke in Bitwarden. Aber der Aufwand ist hier schon sehr hoch.


    Szenario 2:

    "Hacker X" stösst auf Buds bitwarden, gehostet unter safe.xyzcom.de. Nichts unter dieser Domain deutet auf einen "Bud" hin, die Website hängt hinter Cloudflare, es läuft kein Mailserver, Firewalls gut abgedichted, PTR ist nicht gesetzt, Hacker findet eher schlecht überhaupt den Provider raus, wo die Website gehosted ist. Das heisst er kennt weder das Wort "Bud", noch "netcup". Es sei denn es ist per Zufall in seiner Wordlist. Aber er braucht ja auch noch den Loginnamen. Also man sieht hier schon, da sind die Anlaufschwierigkeiten schon deutlich höher, als in Szenario 1 um überhaupt an Infos zu kommen.


    In beiden Szenarien ist man natürlich im Arsch, wenn Bitwarden eine Lücke hat und es nicht gepatcht ist.


    EDIT: Wenn jemand Anmerkungen zu diesen Ideen hat, immer her damit! :)

  • Für das Passwort nach diesem Schema würde ich natürlich andere, für mich sehr persönliche, Eckpunkte nehmen.

    Wenn die persönlichen Eckpunkte ausreichend unabhängig sind, wird das wohl ok sein. Die Frage ist wohl auch, ob es jmd. auf ein oder dein Passwort abgesehen hat. Persönlichen Eckpunkte wie Lieblingsfarbe, Haustier, etc. gibt man ja auch gerne Mal öffentlich preis. Ich sag nur Facebook und "Kommentiere mit dem Top 1 Hit aus deinem Geburtsjahr", "Kommentiere mit deinem letzten Urlaubsland", usw..

  • janxb behauptet ich bin fiktiv, engine sagt ich bin irrelevant.

    Ich wart alle auch schon mal netter :(

    engine Danke für diese ausführliche Erklärung bzw Szenarien

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

    Haha 5
  • Meine Mutter musste letztens eine Schulung für die IT-Sicherheit im Unternehmen machen. Da wurde gesagt, dass Wörter mit Fehlern drin das ganze noch sicherer machen. Also z.B. "IschMahgKuuuchen<3" oder so ähnlich.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 3
  • Möglich, aber da kommt eben der "Social Engineering" Faktor hinzu und da ist dann wieder die Frage, wer ist Bud und interessiert sich jemand für seinen Bitwarden Account.

    Vollkommen richtig. Ich zumindest würde bei meinen Passwörtern diesen Aspekt nicht außen vorlassen.

    Wer kennt nicht Bud, den Spammer aus dem Forum (Sorry! ;)), der den Lego-Baum gewonnen hat, den ich haben wollte.
    Dem "üblen" Kollegen kann man ja ruhig den Saft abdrehen.

    Oder hat Bud sich am Wochenende vielleicht an das falsche Mädel rangemacht und der eifersüchtige Freund will sich rächen.

    Was ich wohl sagen will: Motive können vielfältig sein.
    Und nein, Bud sei der Lego-Baum gegönnt und sein Bitwarden Account interessiert mich nicht. ^^

  • Und nun auch noch Spammer, übler Kollege und jemand der sich an vergebene Frauen ranmacht. ^^

    Und dabei hatte ich nur eine Frage zur Passwortsicherheit... ?(

    Edit: Aber der Spamer war ich ja schon vorher ;)

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

    Einmal editiert, zuletzt von Bud ()

  • Guten Morgen,

    sind die folgenden Passwörter in Aspekt der Sicherheit gleich bzw. ähnlich?

    #1: H?4vJd+jyrXr3n@oV~WZm9
    #2: Netcup&Bud=Webhosting2022<3

    Wenn man die Applikation seines Vertrauens fragt:


    pwd1.png


    pwd2.png


    Also definitiv ähnlich. 8o

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Gefällt mir 1
  • Meine 50 Cent: Wenn man Bitwarden oÄ verwendet, ist es dem Menschen ja egal wie "manuell erzeugbar" das Passwort ist. Ich würde auch behaupten, dass Passwörter á la #1 immer mindestens gleich sicher, oder sogar sicherer als #2 sind, also dass #2 nie sicherer sein kann als #1 (bei gleicher Länge und gleichem Zeichenpool natürlich). Insofern: Bei #1 ist man "auf der sicheren Seite", und Bitwarden nimmt einem die Challenge ab, sich da überhaupt irgendwas merken zu müssen.


    Kommen wir zum Bitwarden-Passwort: Da verstehe ich durchaus, warum man #2 nehmen will. Ob das sicher genug ist: Keine Ahnung. Mein Bitwarden schützt meine persönlichen Daten, keine hochsensiblen militärischen Geheimnisse, ist also auch die Frage, wieviel Kosten ein Angreifer in die Ermittlung eines immernoch "recht sicheren" Passworts stecken will - größere Resourcen-Pools über die bestimmte 3-Stellige Buchstabenkombinationen verfügen werden sich vermutlich nie da dransetzen das zu knacken - und für homeuser mit begrenzen finanziellen Kapazitäten, mit denen man sich nicht mal eben ne halbe AWS-Region mieten kann, wird auch das schon zu schwer sein. Letztendlich sind Passwörter/Crypto allgemein immer ein "wie wahrscheinlich/unwahrscheinlich ist es".


    Für Bitwarden hab ich mir allerdings tatsächlich den Schmerz gegönnt: Völlig zufälliges, "längeres" Passwort generiert, das 2 Tage tippen geübt und dann bei Bitwarden als Master-Passwort eingetragen (+2FA). Witzigerweise: Ich kann das Passwort tippen, nicht aber verbal aufsagen :D Mein muskuläres Gedächtnis scheint besser zu sein als mein sonstiges Hirn. Auch ne Art der Sicherheit.. xD

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

    Haha 2 Gefällt mir 2
  • Selbst, wenn es einen Unterschied in der Sicherheit zwischen #1 und #2 geben sollte, ist der irrelevant.

    Es ist völlig egal, ob ich mit brute force eine Million Jahre oder eine Milliarde Jahre brauche, um es zu knacken.

    Wenn ein Passwort ausreichend sicher ist, dann braucht es kein noch sicheres.

  • Ich persönlich bin auch zufriedener Bitwarden-Premium-Nutzer.

    Hab ein Langes Master-Passwort ala #2 + 2FA. Sollte für meinen Privatgebrauch locker reichen.


    Dennoch bekomme ich folgende Frage für mich nicht final geklärt, was "sicherer" ist:

    1. Passwörter auf den Servern von Bitwarden speichern und darauf vertrauen, dass die Bitwarden-Architektur sicher ist

    2. Bitwarden selbst hosten und sich um Updates kümmern müssen

    3. Vaultwarden selbst hosten und sich um Updates kümmern müssen + Premiumgebühr von Bitwarden einsparen


    Wie seht ihr das?

  • m_ueberall Danke fürs testen ;)

    Bei #1 ist man "auf der sicheren Seite", und Bitwarden nimmt einem die Challenge ab, sich da überhaupt irgendwas merken zu müssen.

    Die Passwörter in Bitwarden selbst sind alle 64 Zeichen lang und random, mir ginge es nur um mein Master-PW. Aber ersteres nützt auch nichts wenn zweiteres nicht sicher ist...



    LebakaasSemme 1., da ich für 2. und 3. nicht das nötige Fachwissen habe.
    Man könnte also sagen, meine Unfähigkeit hat mir die Entscheidung leicht gemacht ;)

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

    Einmal editiert, zuletzt von Bud ()

    Ente gut, alles gut 1
  • Interessant, KeepassXC gibt mir folgende Entropie Werte:

    1. 130.84 Bit --> Passwort Qualität "ausgezeichnet"

    2. 97.81 Bit --> Passwort Qualität "gut"


    Da vertraue ich KeepassXC ehrlich gesagt dann mehr bei der Berechnung.

    Bei dieser Entropie fehlt aber natürlich der individuelle Input wie axstet es schon geschrieben hat.

  • Dennoch bekomme ich folgende Frage für mich nicht final geklärt, was "sicherer" ist:

    Ich würde einfach mal schnell behaupten sicherer wäre die 2, vorausgesetzt der Server ist richtig abgesichert und die frei verfügbare Bitwarden Version hat den selben Stand wie die vom Anbieter eingesetzte Version. Einfach aufgrund davon, dass ein größerer Anbieter ein beliebteres Ziel sein wird und es da mehr zu holen gibt ^^


    Für mich ist das eher eine Frage wie viel Aufwand man betreiben möchte und wie viel Risiko man akzeptiert. Man muss sich letztenendes immer auf irgendjemanden verlassen, aber für mich persönlich ist es schon nichts meine Passwörter "im Internet zu haben". Dann lieber eine lokale Keepass Datei :)



    sind die folgenden Passwörter in Aspekt der Sicherheit gleich bzw. ähnlich?

    Kommt für mich auch wieder ein bisschen darauf an wofür es eingesetzt wird. Nummer 1 ist besser, da keine Wörterbuch Attacken und Social Hacking gibt keine/kaum Tipps, kann man aber einem Ottonormalverbraucher leider nicht zutrauen, weil Klebezettel. Nummer 2 ist für mich auch das Passwort, um an die Passwörter von Nummer 1 ranzukommen. Ich hab bei bestimmt 90% der Websites noch nie meine Passwörter gesehen, brauche ich ja auch nicht, aber ich sollte das Passwort für meinen Passwort Container wissen ^^ Wie aber auch schon gesagt wurde, realistisch gesehen sind beide Varianten sehr gut und man brauch sich nicht viel Sorgen machen. Natürlich vorausgesetzt man benutzt Passwörter nicht öfter und man kann nicht einfach aus dem Auto Kennzeichen oder dem Wohnort/Namen direkt das Passwort ableiten.


    Dann wiederum auch die Frage, was unterstützt der Anbieter? Kommt leider zu häufig vor, dass man maximal 12-16 Zeichen benutzen kann und keine/nur ganz bestimmte Sonderzeichen. Da hätte ich mit einem #1 Passwort auch weniger bedenken als mit BudBoss1337.

  • Eigentlich musst du bei der 1 nicht darauf vertrauen - da, selbst wenn ein Angreifer an die Daten kommt, muss er jene (per Brute Force entschlüssel). Dabei ist ein offline Angriff natürlich schneller (aber bei langen Passwörtern über 20+ Zeichen) immer noch bei Millionen Jahren.

    Ich würde aber eventuell zur 2 tendieren (da aber die neue Variante aus einem Container). Ich selbst nutzte noch Vaultwarden - aber wie häufiger angeführt ist Vaultwarden an sich unsicher:

    1. Kleineres Team → Fehler werden eventuell nicht entdeckt
    2. Eine Kompatibilität zu Bitwarden (also den Clients) ist nicht immer geben, sollte jenen z.B. die Kommunikation verändern
    3. Langfristig kann die weggefallene Premiumgebühr, Bitwarden schaden

    Noch zu den Updates - jenen sollten kein Problem sein Docker + Watchtower

    Beim Self Hosting musst du natürlich überlegen, ob dein eigener Server besser geschützt ist als die von Bitwarden