Manche gespeicherten Passwörter werden falsch angezeigt

  • Firefox-Version
    83
    Betriebssystem
    Win10

    Hallo allerseits,

    Passwort ist für Website X gespeichert. Ansurfen, Username+Passwort autom. ausfüllen funktioniert klaglos. - Passt.

    In Einstellungen.... gespeicherte Zugangsdaten sehe ich diesen Usernamen und das verdeckte Passwort. - Passt.

    Decke ich das Passwort auf sehe ich eine 8-stellige Zahl statt des korrekten Passworts!! - PASST NICHT!

    Tritt jedenfalls bei ganz frischem Passwort (ein paar Tage alt) auf, eventuell seit Version 83, eventuell auch nur bei der einen Website HOT.at. Ich habe viele Zugangsdaten gespeichert, DEN Fehler aber nur bei HOT.at gefunden.

    Heisst, ich kann das korrekte Passwort nicht mehr lesen!

    Was ist da los??

    lg Peter

  • HOT ist der grosse Billigprovider gehört ALDI/Hofer, das Fragen dort lass ich mal....

    Wenn ich auf kopieren klicke kommt die 8 stellige Zahl in die Zwischenablage, die ich sehe und definitiv FALSCH ist. Ich habe da 3 User mit jeweils anderem Passwort gespeichert. Alle funktionieren im Betrieb, aber werden falsch angezeigt, alle mit 8 Ziffern. Der pure Wahnsinn.

    Wieso sollte das mit der website zusammenhängen? Die Anzeige erfolgt ja in den FF Einstellungen... gespeicherte Zugangsdaten falsch!

    Ich habe noch keine andere website gefunden, wo das auftritt....

  • Wieso sollte das mit der website zusammenhängen?

    Weil es, wie du oben schreibst, nur mit dieser einen Website auftritt.

    Bei HOT.at kann man sich irgendwie mit Rufnummer oder Einmalcode anmelden, vielleicht hängt es damit zusammen.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

  • Ihr seid - wieder einmal - die Besten!

    MEIN Irrtum! Ich verwalte Nummern von 4 Internetprovidern, bei allen Passwörtern inkl. Buchstaben, ausser bei HOT!

    SorrySorry.

    Der Faden kann erledigt/gelöscht werden.

    THX!

  • Mit Verlaub, aber Tr0bador83 halte ich für sicherer als "correct" "horse" "battery" "staple". Mögen ja 44 Bit an Zeichen, sein, sind aber nur vier einfache Worte auf jeder Rainbow-Liste, was meinst, du, wie viel schneller die durchgeackert sind als Tr0bador83?

    Allein die Kombination aus

    Code
    Global Const $CHR_AZ_LOW     = StringLower("abcdefghijklmnopqrstuvwxyz")
    Global Const $CHR_AZ_UP      = StringUpper("ABCDEFGHIJKLMNOPQRSTUVWXYZ")
    Global Const $CHR_NUMBERS    = "0123456789"

    Ist ab 18 Zeichen schon nahezu unknackbar.

    Und selbst mein Passwort für GMX ist seit vielen Jahren gültig, kommt nur keiner drauf.

    Code
    Global Const $CHR_SPECIAL    = "!?@(){}[]\/=~$%&#*-+.,_"
    Global Const $CHR_UMLAUTE    = "äöüÄÖÜß"

    Könnte speziell noch dazu nehmen, aber bei Office365 (live.com) ist eine Umlaut-Allergie bekannt, sollte man vermeiden. Gute Seiten vermelden die Unverträglichkeit von Zeichen.

    Und natürlich für jede Seite ein anderes Passwort. Es ist nicht wichtig, sich jedes zu merken, eine sichere Verwahrung ist wichtiger.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

  • .DeJaVu Du darfst das gerne halten, wie du möchtest, aber Entropie ist Mathematik (https://de.wikipedia.org/wiki/Entropie_(Informationstheorie)) und macht daraus, im Gegensatz zu dem, was dir ausschließlich dein Gefühl sagt, einen belastbaren Fakt, was die Wahrscheinlichkeit betrifft, das Passwort zu knacken.

    Du bringst jetzt Rainbow Tables ins Spiel. Die sagen über die Sicherheit eines Passworts herzlich wenig aus. Selbst der Hash des nach deiner Vorstellung sichersten Passwörts könnte zufällig auf dieser Rainbow Table stehen, welche bei Verwendung von Salts sowieso praktisch nutzlos ist. Ich weiß nicht, wie du darauf kommst, dass Rainbow Tables dafür sprächen, dass "Tr0bador83" (was sogar noch einfacher ist als das Beispiel aus dem Comic!) sicherer sei als "correct horse battery stable". Wobei ich eine Vermutung habe, wenn ich mir deine Formulierung ansehe: "nur vier einfache Worte". Dafür spricht auch, dass du jedes dieser vier Worte in eigene Anführungszeichen gesetzt hast. Nein, es sind keine vier einfachen Worte, die jeweils separat zu betrachten wären. Das ist lediglich, wie du dir das merkst. Für den Computer ist das Ganze aber eine einzige zusammenhängende Kombination von Zeichen. Du würdest auf einer solchen Rainbow Table doch nicht nach jedem Wort einzeln suchen. Das würde ja überhaupt keinen Sinn ergeben. Es geht um ein Passwort.

    Dass Passwortsicherheit primär dadurch entsteht, dass man sein Passwort so kompliziert macht, dass man es sich nur schwer merken kann, ist ein leider sehr weit verbreiteter Irrglaube. Es wundert mich aber auch nicht, da sich ja kaum jemand damit auseinandersetzt. Ich empfehle, sich damit etwas zu befassen. Das ist ein spannendes Thema, wie die meisten mathematischen Fragen. Und Wahrscheinlichkeit ist ohne Zweifel eine mathematische Frage und keine Gefühls-Frage.

  • Dass Passwortsicherheit primär dadurch entsteht, dass man sein Passwort so kompliziert macht, dass man es sich nur schwer merken kann, ist ein leider sehr weit verbreiteter Irrglaube.

    Das ist aber genau das, was ich zum Beispiel an dem Beispiel aus dem Bild bemängele. Es ist lang, 44 Zeichen, mathematisch einwandfrei, aber diejenigen, die sowas suchen, sind ja auch nicht blöd und wissen das inzwischen auch. Deswegen habe ich diese vier Worte auch einzeln hervorgehoben. Wenn jetzt Benutzer eine Variation aus der Menge des Dudens zusammenwürfeln liesse, ginge ich ja konform, aber das passiert ja nicht, man nimmt Worte, die man eh den ganzen Tag um sich hat. Und deswegen fange ich mit sowas erst gar nicht an. >=18 Zeichen aus der obigen Menge sind ein guter Anfang, ich muss dir mir auch nicht merken, ich bin kein Genie mit einem Gedächtnispalast. Und bislang hat das über 20 Jahre gehalten. Man müsste schon konkret die Server abgreifen oder in diesen Rechner eindringen. Entropie und die Theorie sind eines, aber die Praxis bei mir ist eine andere, die sich auch bewährt hat. Und die Listen sind frei verfügbar im Netz, mindestens eine auf github und die sind wahrlich nicht klein, gepackt >1 Gigabyte (eine).

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

  • Es ist lang, 44 Zeichen

    Nö, ist es nicht. Diese völlig falsche Zahl zeigt doch, dass du gar nicht verstanden hast, worum es geht. Nochmal: Es geht in dem Beispiel um Entropie! Und aus deinem Erklärungsversuch, man würde ja bestimmte Wörter nehmen, ziehe ich, dass du auch die Erklärung in meinem letzten Beitrag und wieso das deine Rainbow-Theorie nicht stützt, nicht verstanden hast. Vielleicht weißt du aber auch gar nicht, was eine Rainbow Table ist (obwohl es dein Argument war!). Nochmal: Du hast eine einzige Kombination von Zeichen, keine vier Wörter. Du kommst von dem Hash aus einer Rainbow Table nicht auf die vier einzelnen Wörter, sondern höchstens auf das gesamte Passwort. Dass ausgerechnet deine Kombination von Wörtern auf einer solchen Liste auftaucht, ist faktisch nicht wahrscheinlicher als dass "Tr0bador83" auftaucht. Letztlich kann aber alles auf einer solchen Liste auftauchen, egal ob vermeintlich schwach oder vermeintlich stark. Das Auftauchen auf einer solchen Liste hat wie gesagt ziemlich wenig mit der Sicherheit des Passworts an sich zu tun. Und was du persönlich glaubst, was Nutzer für Wörter wählen würden und wie das die Sicherheit beeinflusst, hat über die Methode sowieso keine Aussagekraft. Das ist höchst spekulativ, nicht pauschalisierbar und mal sicher kein Fakt. Wie lange eine Brute Force-Attacke maximal dauert (ob bei gleicher Rechenleistung "nur" drei Tage oder 550 Jahre (!), wie in dem Beispiel) ist hingegen ein Fakt, gegen den nicht argumentiert werden kann, weil er unstrittig ist. Je nach Leistung können die Zahlen anders aussehen, aber es geht in dem Beispiel ja auch nicht um konkrete Zahlen, sondern um die Dimension des Unterschieds.

    Mehr will ich darüber auch nicht diskutieren, denn du argumentierst ausschließlich mit deinem subjektiven Gefühl über Sicherheit, nicht wie ich mit Fakten. Außerdem ist das seit Beitrag #9 schon alles Off-Topic. Ich wollte nur die fragwürdige Aussage richtigstellen, dass Passwörter bestimmte Zeichen beinhalten müssten, um sicher zu sein, was aber definitiv nicht stimmt und ein Irrglaube ist. Das habe ich getan. Ich bin also fertig. Lass uns (und da schließe ich mich explizit ein) den Themenersteller nicht mit weiteren Benachrichtigungen über neue Beiträge, die mit seiner Frage überhaupt nichts zu tun haben, nerven.

  • Ich bleibe auch noch mal OT. Sören, absolut richtig, was du schreibst.

    Nebenbei, selbst wenn man einen Wörterbuchangriff versuchen würde, der ein Passwort aus bekannten Wörtern zusammensetzt, käme die Permutation ins Spiel. Das ist blöd. Die Fakultät wächst nämlich irgendwann sogar noch schneller als eine Potenzfolge. Hat also wenig Zweck. Außerdem hast du zurecht erwähnt, die Tables enthalten Hashes. Das mit dem einfach mal Zusammensetzen geht also sowieso gar nicht. Das Wörterbuch müsste schon den Hash des gesamten Passworts enthalten, als ob es ein Wort wäre. Das Salt hattest du auch schon erwähnt.

    Da braucht man eigentlich gar nicht lange diskutieren.

  • denn du argumentierst ausschließlich mit deinem subjektiven Gefühl über Sicherheit,

    Das ist richtig, weil mich dieses Konzept eben seit zig Jahren nicht enttäuscht hat, es kann ja bislang nicht so falsch gewesen sein, trotz "Entropie".

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

  • Was wäre an meinem Beispiel nicht gut? Nur darum gehts und nicht um die Inhalte der nachfolgend technischen Diskussion... :)

    Welcher "normale" Nutzer macht sich um Entropie und Permutation Gedanken?

    Also klare Frage mit der Bitte um eine möglichst unverquaste und untechnische Antwort:

    Ist das in Beitrag 9 genannte Passwort sicher oder nicht?

  • So sicher, wie die Entropie es für 14 Zeichen aussagt.

    Als Anhaltspunkt

    https://password.kaspersky.com/de/

    Zitat

    Dein Passwort kann mit einer Bruteforce-Attacke geknackt werden - mit einem normalen Heim-PC in etwa...

    327 Jahrhunderte

    (diese Info wird von api.pwnedpasswords.com übernommen, dieser Host kann nicht direkt aufgerufen werden)

    http://rumkin.com/tools/password/passchk.php

    Zitat

    Length: 14
    Strength: Strong - This password is typically good enough to safely guard sensitive information like financial records.
    Entropy: 63.2 bits
    Charset Size: 72 characters

    Oder https://www.stmd.bayern.de/service/passwo…passwort-check/

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

  • Was wäre an meinem Beispiel nicht gut? Nur darum gehts und nicht um die Inhalte der nachfolgend technischen Diskussion... :)

    Hä? Du kannst doch nicht einfach behaupten, ein sicheres Passwört müsse so und dürfe nicht so aussehen, dann aber hinterher sagen, es würde nicht darum gehen, was ein Passwort sicher macht? =O Du hast unmissverständlich darüber gesprochen, was deiner Ansicht nach ein sicheres Passwort ausmacht. Und das macht ein technisches Verständnis darüber sogar ganz zwingend erforderlich und ggfs. eben auch eine entsprechende Diskussion. Ich möchte hervorheben: Es geht hier um Sicherheit und für den Nutzer damit um alles, was für den Nutzer an der Sicherheit seines Passworts mit dran hängt (und das kann ziemlich viel sein).

    Welcher "normale" Nutzer macht sich um Entropie und Permutation Gedanken?

    Die Wenigsten. Und das ist auch genau der Grund, wieso es so wichtig war, dass ich das richtiggestellt habe. Du hast schließlich eindeutige Empfehlungen zur Passwort-Sicherheit ausgesprochen. Und damit steht die Erwartung im Raum, dass du dir diese Gedanken sehr wohl gemacht hast. Denn durch deine Formulierung wurdest du zum Experten, auf den sich andere Nutzer eventuell verlassen.

    Also klare Frage mit der Bitte um eine möglichst unverquaste und untechnische Antwort:

    Ist das in Beitrag 9 genannte Passwort sicher oder nicht?

    Darum ging es in der Diskussion doch überhaupt nicht. Es ging um deine Definition dessen, was ein Passwort sicher macht. Du hast drei Passwörter genannt, davon eines sicher und zwei unsicher genannt, basierend auf ganz offensichtlichen Kriterien (nur Buchstaben respektive nur Ziffern). Es ging darum, dass diese Kriterien nicht tatsächlich alleine ausschlaggebend sind und selbst ein Passwort ausschließlich mit Buchstaben sicherer sein kann als ein Passwort mit Zahlen und Sonderzeichen. Es ging darum, wieso das so ist (ich bin grundsätzlich ein Freund davon, dass man Fakten-Darstellungen belegt) und dass dein Beitrag das so einfach nicht dargestellt hat, sondern viel zu leicht fehltinterpretiert werden konnte. Dass in deinem konkreten Beispiel das erste Passwort sicherlich als sicherer zu betrachten ist als das zweite und dritte Beispiel war nicht der Punkt, um den ging. Es ging um die übergeordnete Aussage, die mit den Beispielen vermittelt worden ist.