Hallo zusammen!
Man soll ja ein Passwort ausreichender Länge (8 Zeichen) nehmen, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten. Die kann man sich aber kaum merken. Wie sicher sind unsinnige Wortkombinationen, die in keinem Lexikon stehen die man sich aber trotzdem gut merken kann? Beispiel: Kaulquappenwurst Ein Angreifer, der die Brute-Force-Methode nutzt, weiß ja nicht, dass es bei dem o.a. Passwortbeispiel um ein verständliches, wenn auch absurdes Passwort handelt.

Du kannst auf folgender Seite die Stärke eines Passwortes anschauen
-> https://howsecureismypassword.net/

Für "Kaulquappenwurst" wären das 22x10^9 Jahre mit einem PC.

Zitat:

It would take a desktop PC about 22 billion years

Dasselbe Ergebnis gibt es bei "FrauAngelaMerkel". Ersetzt man einen Buchstaben durch ein Sonderzeichen, werden es angeblich 10^12 Jahre. Aber woher weiß der Angreifer, ob ich überhaupt Sonderzeichen benutze?

da werden wörterbücher genutzt z.B.
je nach dem welche, sind dort Zeichen wie ä ö ü nicht bekannt da es sie nicht in anderen Sprachen gibt.
bei der passwort verwaltung und erstellung hilft roboform
Password Manager, Form Filler, Password Management | RoboForm Password Manager | Deutsch
anleitung:
RoboForm-Handbuch | Deutsch
und überall ein anderes PW nutzen.
Man kann auch nicht unbedingt davon ausgehen, dass nur ein PC genutzt wird, sollte einem Dienst z.B. eine Datenbank mit den Hashes der Passwörter abhanden kommen, kann man das auf mehrere PC's aufteilen.
Solltest du roboform nutzen, dann mach die PW's länger, so 20 Zeichen.

Zitat:

Zitat von mort

Du kannst auf folgender Seite die Stärke eines Passwortes anschauen
-> https://howsecureismypassword.net/

Wie seriös sind eigentlich solche „Wie stark ist mein Passwort Seiten“. ?

Ich meine, die könnten ja theoretisch die ganzen getestet Passwörter speichern um damit ihre Rainbow Tables füllen.

Wäre ich böse würde ich ne Seite machen wo steht:


Teste die Stärke deiner Passwörter

Trage deine E-mail Adresse ein um das Ergebnis zu erhalten.


Da hätte ich bestimmt in kurzer Zeit massenweise Zugänge zu fremden E-Mail Konten.

Ja, klar währe so was leicht möglich. Dieser Seite kann man aber vertrauen. An "https" erkennt man, dass diese Seite eine verschlüsselte Verbindung nutzt. (SSL) Es wird außerdem vor anderen Seiten gewarnt die sowas sagen.

https://www.mywot.com/en/scorecard/h...mypassword.net

Guter Einwand von laxxal. Auch wenn die genannte Seite seriös ist (glaube ich auch), so kann man nicht ausschließen, dass die eingegebenen Passwörter gespeichert werden und evtl. in fremde Hände gelangen (z.B. bei Verkauf der Domain oder nach einem Hack). So könnten die genannten Rainbowtables immer mehr gefüttert werden um bessere Brute-force-Attacken zu ermöglichen.
Deshalb bin ich bei solchen PW-strength-metres-Seiten generell vorsichtig.

Password-Quality-Checker gibt es fast überall, zB ist sowas auch in KeePass eingebaut.