Struktur mit System
Von Apple generierte Passwörter: Einfach zu merken, schwer zu knacken
Wer sich von Apples neuer Passwörter-App ein Kennwort erstellen lässt, der erhält nicht nur eine Portion zufälligen Buchstabenbrei, sondern bekommt das Ergebnis eines ausgeklügelten Systems serviert: Passwörter die für kurze Zeit einfach zu merken sind, sich aber nur schwer verinnerlichen lassen.
Hintergründe dazu liefert der Apple-Angestellte Ricky Mondello: So verwendet die Passwörter-App ein spezielles System zur Generierung von Passwörtern, das auf der Kombination von zufällig gewählten Silben basiert. Die so erzeugten Passwörter erscheinen oft wie sinnlose Wortteile, folgen jedoch einem bestimmten Muster.
Mondello, der bereits 2018 einen Vortrag zum Thema hielt, erklärt in diesem YouTube-Video, dass die Passwörter bewusst aus Konsonant-Vokal-Konsonant-Kombinationen bestehen. Dies soll Nutzern helfen, die Passwörter kurzfristig zu erfassen und einzugeben, ohne dass diese jedoch langfristig im Gedächtnis bleiben.
Struktur mit System
Das Passwort-Format ist so gestaltet, dass es einfach zu tippen ist, selbst auf ungewöhnlichen Tastaturen wie beispielsweise bei Spielkonsolen-Controllern. Apple setzt dabei überwiegend auf Kleinbuchstaben. Großbuchstaben, Ziffern und Bindestriche werden nur in geringem Umfang verwendet. Die Passwörter sind 20 Zeichen lang und enthalten neben Kleinbuchstaben mindestens einen Großbuchstaben, eine Ziffer und zwei Bindestriche. Diese Struktur macht es möglich, die Passwörter auf vielen unterschiedlichen Plattformen ohne Probleme zu verwenden.
Sicherheit bleibt im Fokus
Trotz der benutzerfreundlichen Struktur haben die auf Wunsch generierten Passwörter eine höhere Sicherheit als frühere Formate. Die Entropie, ein Maß für die Zufälligkeit und damit die Sicherheit eines Passworts, liegt bei den neuen Passwörtern bei 71 Bit und ist damit sicherer als das alte Format mit 69 Bit. Außerdem filtert Apple anstößige Begriffe aus den generierten Passwörtern heraus. Diese werden automatisch durch neue ersetzt.
Ich nutze seit vielen Jahren 1Password
Dort habe ich die Möglichkeit die Länge und die Art zu wählen, also mit oder ohne Sonderzeichen etc.
Ich empfinde so eine Kombination als sicherer als die von Apple. Lass mich aber auch gerne vom Gegenteil überzeugen.
Tldr: Sonderzeichen sind irrelevant, Passwortlänge schlägt alles.
https://xkcd.com/936
Die Sonderzeichen „verlängern“ die Optionen der Zeichen. Bei gleicher Passwortlänge ergibt sich logischerweise ein sicheres Passwort, da die Optionen steigen. Macht bestimmt keinen riesen Unterschied, aber trotzdem.
Solange ein Passwort nicht in einer Datenbank steht (also ‚Passwort‘, ‚Gott‘, ‚123456‘ usw. – die üblichen Verdächtigen ;-)) spielt es meiner Meinung nach eigentlich praktisch nicht die geringste Rolle ob Du nun beispielsweise 15 Zeichen mit drei Zahlen und vier Sonderzeichen oder 20 Zeichen mit einer Zahl und zwei Sonderzeichen hast. Kannst ja mal schauen wie viel Jahre Brute force dauern würde: hivesystems.io/blog/are-your-passwords-in-the-green
Dank dir für den Link, interessant.
Das Passwort darf auch keinen Mustern folgen, denn einige Muster werden mittlerweile bei Brute-Force Attacken berücksichtigt.
Und man sollte noch bedenken, dass die Zeiten, die angegeben werden ein Passwort zu knacken, häufig die maximale Dauer darstellen. Man muss hier aber die mittlere Wahrscheinlichkeit berücksichtigen. Es ist nämlich unwahrscheinlich, dass ein Passwort erst mit dem letzten Versuch erraten wird, genauso unwahrscheinlich wie direkt beim ersten Versuch. Die Wahrscheinlichkeit ist nach der Hälfte der Zeit am größten.
Deshalb ist es auch wichtig, Passwörter mit entsprechender Länge zu wählen, weil die Systeme zum Brute-Forcen immer schneller und intelligenter werden und damit die Wahrscheinlichkeit erhöhen, das Passwort möglichst früh zu erraten.
Außerdem kommt es noch auf den verwendeten Hash Algorithmus an. Wenn ältere Algorithmen verwendet wurden, ist die Wahrscheinlichkeit für Kollisionen größer (also für eine Phrase, die exakt denselben (Hash-Wert erzeugt), und es können deutlich mehr Passwörter pro Sekunde berechnet werden, was die maximale Dauer ein Passwort zu erraten zusätzlich beeinflusst.
Ich hoffe ich habe es einigermaßen verständlich geschrieben, ansonsten fragt gerne nochmal nach.
Danke für die schöne Erklärung!
Ist mir auch schon aufgefallen. Die Apple Passwörter sind stets gut abzutippen.
Dachte ich mir gestern erst wieder, jetzt weiß ich aber, dass es nicht an meiner Intelligenz liegt. Schade ;)
eventuell trifft beides zu:-)
Die Passwörter sind eine gute Sache
mit gute Entropie .
Ich hab voll oft Angst das ich auswähle und er das nicht im Schlüsselring Speichern tut
und ich dann keine Ahnung hab was ich als Passwort hab
Jepp bei mir auch! Manchmal werden die Passwörter nicht gespeichert. Absoluter Käse so kann man gleich das Passwort zurücksetzen bei einem neu erstellen Account und hat mehr Arbeit… jetzt kopiere ich immer das Passwort und schaue per Hand nochmal nach ob das Passwort gesichert wurde
Same
Ist mir auch schon häufiger passiert. Ich notiere mir das Passwort inzwischen auch immer und schaue hinterher nach ob es gespeichert wurde.
Du musst es nicht notieren. Du kannst in der Auswahl auch sagen kopieren und speicherst es dann. Wenn es nicht gespeichert wird, dann hast du es noch im Zwischenspeicher
Werden WLAN Passwörter garnicht Syncronisiert? Habe meine Netzwerkeinstellungen auf dem iPhone zurückgesetzt. Die WLAN Passwörter sind auf dem iPhone verschwunden in der App, auf dem Mac sind diese noch da…
Durch das Zurücksetzen der Netzwerkeinstellungen werden alle WLAN-Passwörter auf dem jeweiligen Gerät gelöscht. Versuch dich mal von iCloud aus- und wieder einzuloggen, vielleicht klappt es dann.
Was genau erwartest Du beim Rücksetzen von Netzwerkeinstellungen? Das ist doch genau der Sinn dieser Funktion alle netzwerkspezifischen Einstellungen zu löschen.
Genau das was du schreibst aber nicht das löschen der WLAN Passwörter.
Ich hab schon lange darüber gegrübelt, wie seit der automatischen WLANpasswort Übertragung für alle unter der AppleID eingerichteten Geräte, dann jetzt diese Funktion angepasst sein soll, wenn automatisch überall sind wie soll dann das löschen auf einem Gerät funktionieren. Denn das ist keine Cloud Funktion die man ein und ausstellen kann sondern generell so im Apple Universum
Wenn ich mit Sonderzeichen auswähle, wird immer der Bindestrich verwendet.
Halte ich jetzt nicht für besonders clever und auch nicht für sicher.
Aber gruppiert und hilft demjenigen, der es sich merken will. Beeinflusst scheinbar aber nicht einen Passwortcracker zu seinem Vorteil
Wenn der Passwortcracker dahingehend abgeändert wird als erstes Sonderzeichen ein – einzusetzen, ist deutlich unsicherer als wenn es jedes andere Sonderzeichen wäre.
Bei der Masse an durch Apple generierten Passwörter wäre eine entsprechende Änderung der Passwortcracker sinnvoll.
Ich hatte das von Bild abgeleitet. Ein Cracker wüsste ja nicht mal an welcher Stelle und ob es überhaupt so eins ist
Es geht nicht darum, dass dann die Entropie steigt oder nicht. Die Option gibt es nur um so Passwortvorgaben von Webseiten zu erfüllen. Die Entropie ist so oder so hoch genug. Wird in dem Video auch eingehend erklärt. Sie wählen z. B. auch genau 20 Zeichen weil das ein Limit von vielen Webseiten ist (und die Entropie halt noch hoch genug war, natürlich immer unter der Berücksichtigung, dass ein potentieller Angreifer diese Muster/Regeln von Apple Passwords schon kennt und nur Passwörter ausprobiert, die auch generiert hätten werden können.)
Wenn es einem System folgt, ist es systematisch unsicherer.
Falsch.
Außer hunderte Jahre Zeitbedarf zum Knacken sind dir zu unsicher.
Es braucht nicht hunderte Jahre. Zu Konrad Zuses-Zeiten hätte man Millionen Jahre gebraucht, aber die Technik macht´s möglich.
In erster Linie hängt es natürlich von der Hardware ab. Auf Frontier, Aurora oder Eagle (Top500 SC) wird es schneller gehen als auf einem i7 zu Hause ;-) (letzterer wird eher tausende Jahre brauchen)
Faktisch gesehen ist deine Aussage nicht falsch – aber ob du nun 99,999999% oder 99,999998% Sicherheit hast…;)
Da hast du Recht, aber Apple krönt sich ja auch mit 2 Bit mehr ;-)
Du weisst aber schon, dass diese 2 bit einen unterschied von 5,6154472066 × 10¹⁰ jahren bei 1000/versuchen pro sekunde ausmacht?
wo ist dein Punkt?
Ha ha, es sind nicht zwei Bits.
Für mich sieht deine aussage so aus, dass 2 bit nicht viel sei. Dabei macht das mächtig was aus. ;)
Also beim besten Willen: Passphrase-Systeme a la Diceware hier als glorreiche Apple-Erfindung verkaufen zu wollen ist denn doch albern bis zynisch. Diverse Passwort-Verwaltungen (z.B. Strongbox, SafeInCloud, KeePass und wahrscheinlich x andere) bieten das schon jahrelang. Apple ist hier eher mega spät.
awesome!
wo steht, dass es eine Apple Erfindung ist? Es wird nur von einem Apple Angestellten erklärt, was sie für ein System verwenden. Nicht mehr und weniger.
Der Artikel erweckt schon den Eindruck, dass Apple hier was grandios neu, einmaliges, „ausgeklügeltes“ tun würde . Tun sie aber nicht! Ausgeklügelt haben das andere Jahre vor ihnen
@zeromg dann lässt sich aber weniger schlecht bashen.
@Mattis
was genau haben kritische Anmerkungen mit bashen zu tun? Hier wird suggeriert, dass Apple „ein ausgeklügeltes System serviert“, dass es so bisher nicht gab.
Du hast recht. Beim 2. Lesen kommt es mir auch so vor. Entschuldige bitte.
„… sondern bekommt ein ausgeklügeltes System serviert.“
Das suggeriert, dass hier seitens Apple etwas Geniales angeboten wird und zwar etwas, was andere so noch nicht haben. Somit kann ich den Beitrag des TE verstehen.
Die Schwachstelle der Password-App liegt in meinen Augen darin, dass sie einfach über die iPhone-PIN geöffnet werden kann und somit Zugang zu allen Passwörtern besteht. Und die meisten haben ihr iPhone lediglich über eine 4-6 stellige PIN gesichert.
Wäre super, wenn man für die App ein separates Passwort vergeben könnte.
War bei mir FaceID geschützt – per default.
Und auch mit aktivem Face ID hast Du parallel einen Code, der im schlechtesten Fall nur sechs Zeichen hat.
Komisch, meine Passwort App öffnet sich nur per FaceID.
Wenn FaceID zweimal nacheinander erfolglos scannt, dann wird tatsächlich die iPhone-PIN abgefragt – anschließend lässt sich in der App jedes Passwort nachschauen.
@BFAltona : gerade beides getestet und nicht bestätigt gefunden. FaceID wird auch nach dem 2. erfolglosen Versuch probiert. Aber selbst wenn man mit der iPhone-PIN entsperrt, öffnet sich die Passwort-App natürlich nur mit FaceID.
Wäre aber witzig, wenn mir einer salopp gesagt die Fresse kaputt schlägt sind auch sämtliche Passwörter quasi weg. Das kann nicht sein :-)
@KK: Die PasswortsApp probiert bei mir 2 mal FaceID. Klappt das nicht, kommt eine Meldung „Gesicht nicht erkannt“ mit den 2 Optionen „Code eingeben“ und „Abbrechen“.
Gebe ich dann den Sperrcode ein (4stellig), bin ich in der App und kann mir die Einträge anschauen.
@KK Bei mir verhält sich der Login exakt so wie von Oliver beschrieben. Nach 2 gescheiterten FaceID-Versuchen erhalte ich die Option, die iPhone-PIN einzugeben. Wäre interessant herauszufinden, weshalb dieses Verhalten nicht bei allen gleich ist.
Die Secure Enclave verhindert aber Bruteforce-Attacken. 6-stellige PINs sind natürlich unsicher wenn der Hashwert dem Angreifer bekannt ist. Aber wenn dieser nur die Secure Enclave befragen kann ob ein bestimmter Code richtig oder falsch ist… da hat man nicht mal so schnell alle Kombinationen getestet. Trotzdem empfiehlt sich sicherlich da die Beschränkung auf 10 Versuche zu aktivieren.
Spannend finde ich, wenn zB Enpass eine solche Art von Passwörter erst ab 8 Wörter als „Ausgezeichnet“ einstuft.
Berechnung von Passwort-Entropie ist nur sinnvoll möglich wenn man die genaue Funktionsweise des Generators kennt. Ansonsten besteht die Gefahr die Entropie zu überschätzen. Und die Einteilung von bestimmten Entropien in gut, super, ausgezeichnet und so weiter ist auch eher willkürlich. Schlussendlich bestimmt neben der Entropie des Passworts selbst auch die von der Webseite verwendete Hash-Funktion und dergleichen, wie gut es dann z. B. bei einem Datenleak knackbar wäre. Ab so 60bit ist für nutzergewählte Passwörter sicherlich ziemlich stark. Selbst gewählte Passwörter werden in der Regel sehr weit darunter liegen.
blöd das seit ios 18 die neu generierten passwörter nicht mehr auffindbar sind. ich meine wenn sie nicht automatisch korrekt abgespeichert wurden.
Ich halte es für nicht sehr klug, wenn sensible Daten an einem für Außenstehende vorhersehbaren Ort gespeichert werden. Wenn niemand weiß wo und wie ich Passwörter speichere ist das schon eine zusätzliche Sicherheitsstufe als wenn bekannt ist, das auf jedem Mac und iPhone Passwörter in der Passwort-App gespeichert sind.
Das gleiche Problem wie damals bei der Einführung von Standardverzeichnissen für Bilder/Musik/Dokumente etc.
Jeder Hacker und jede Schadsoftware weiß ohne das einzelne System genau zu kennen wo der Anwender welche Daten speichert und kann diese Orte gezielt angreifen.
Security by Obscurity ist ein Konzept völliger Ahnungslosigkeit
Also das richtige für ifun-Kommentaroren.
Ich halte es für nicht sehr klug, wenn sensible Daten an einem für Außenstehende vorhersehbaren Ort gespeichert werden.
Wenn niemand weiß wo und wie ich Passwörter speichere ist das schon eine zusätzliche Sicherheitsstufe als wenn bekannt ist, das auf jedem Mac und iPhone Passwörter in der Passwort-App gespeichert sind.
Das gleiche Problem wie damals bei der Einführung von Standardverzeichnissen für Bilder/Musik/Dokumente etc.
Jeder Hacker und jede Schadsoftware weiß ohne das einzelne System genau zu kennen wo der Anwender welche Daten speichert und kann diese Orte gezielt angreifen.