ifun.de — Apple News seit 2001. 39 479 Artikel

Struktur mit System

Von Apple generierte Passwörter: Einfach zu merken, schwer zu knacken

Artikel auf Mastodon teilen.
60 Kommentare 60

Wer sich von Apples neuer Passwörter-App ein Kennwort erstellen lässt, der erhält nicht nur eine Portion zufälligen Buchstabenbrei, sondern bekommt das Ergebnis eines ausgeklügelten Systems serviert: Passwörter die für kurze Zeit einfach zu merken sind, sich aber nur schwer verinnerlichen lassen.

Starkes Passwort

Hintergründe dazu liefert der Apple-Angestellte Ricky Mondello: So verwendet die Passwörter-App ein spezielles System zur Generierung von Passwörtern, das auf der Kombination von zufällig gewählten Silben basiert. Die so erzeugten Passwörter erscheinen oft wie sinnlose Wortteile, folgen jedoch einem bestimmten Muster.

Mondello, der bereits 2018 einen Vortrag zum Thema hielt, erklärt in diesem YouTube-Video, dass die Passwörter bewusst aus Konsonant-Vokal-Konsonant-Kombinationen bestehen. Dies soll Nutzern helfen, die Passwörter kurzfristig zu erfassen und einzugeben, ohne dass diese jedoch langfristig im Gedächtnis bleiben.

Hopfencommunity

Struktur mit System

Das Passwort-Format ist so gestaltet, dass es einfach zu tippen ist, selbst auf ungewöhnlichen Tastaturen wie beispielsweise bei Spielkonsolen-Controllern. Apple setzt dabei überwiegend auf Kleinbuchstaben. Großbuchstaben, Ziffern und Bindestriche werden nur in geringem Umfang verwendet. Die Passwörter sind 20 Zeichen lang und enthalten neben Kleinbuchstaben mindestens einen Großbuchstaben, eine Ziffer und zwei Bindestriche. Diese Struktur macht es möglich, die Passwörter auf vielen unterschiedlichen Plattformen ohne Probleme zu verwenden.

Sicherheit bleibt im Fokus

Trotz der benutzerfreundlichen Struktur haben die auf Wunsch generierten Passwörter eine höhere Sicherheit als frühere Formate. Die Entropie, ein Maß für die Zufälligkeit und damit die Sicherheit eines Passworts, liegt bei den neuen Passwörtern bei 71 Bit und ist damit sicherer als das alte Format mit 69 Bit. Außerdem filtert Apple anstößige Begriffe aus den generierten Passwörtern heraus. Diese werden automatisch durch neue ersetzt.

Neues Passwort

11. Okt 2024 um 07:55 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    60 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ich nutze seit vielen Jahren 1Password
    Dort habe ich die Möglichkeit die Länge und die Art zu wählen, also mit oder ohne Sonderzeichen etc.
    Ich empfinde so eine Kombination als sicherer als die von Apple. Lass mich aber auch gerne vom Gegenteil überzeugen.

      • Die Sonderzeichen „verlängern“ die Optionen der Zeichen. Bei gleicher Passwortlänge ergibt sich logischerweise ein sicheres Passwort, da die Optionen steigen. Macht bestimmt keinen riesen Unterschied, aber trotzdem.

    • Solange ein Passwort nicht in einer Datenbank steht (also ‚Passwort‘, ‚Gott‘, ‚123456‘ usw. – die üblichen Verdächtigen ;-)) spielt es meiner Meinung nach eigentlich praktisch nicht die geringste Rolle ob Du nun beispielsweise 15 Zeichen mit drei Zahlen und vier Sonderzeichen oder 20 Zeichen mit einer Zahl und zwei Sonderzeichen hast. Kannst ja mal schauen wie viel Jahre Brute force dauern würde: hivesystems.io/blog/are-your-passwords-in-the-green

      • Dank dir für den Link, interessant.

      • Das Passwort darf auch keinen Mustern folgen, denn einige Muster werden mittlerweile bei Brute-Force Attacken berücksichtigt.

        Und man sollte noch bedenken, dass die Zeiten, die angegeben werden ein Passwort zu knacken, häufig die maximale Dauer darstellen. Man muss hier aber die mittlere Wahrscheinlichkeit berücksichtigen. Es ist nämlich unwahrscheinlich, dass ein Passwort erst mit dem letzten Versuch erraten wird, genauso unwahrscheinlich wie direkt beim ersten Versuch. Die Wahrscheinlichkeit ist nach der Hälfte der Zeit am größten.

        Deshalb ist es auch wichtig, Passwörter mit entsprechender Länge zu wählen, weil die Systeme zum Brute-Forcen immer schneller und intelligenter werden und damit die Wahrscheinlichkeit erhöhen, das Passwort möglichst früh zu erraten.

        Außerdem kommt es noch auf den verwendeten Hash Algorithmus an. Wenn ältere Algorithmen verwendet wurden, ist die Wahrscheinlichkeit für Kollisionen größer (also für eine Phrase, die exakt denselben (Hash-Wert erzeugt), und es können deutlich mehr Passwörter pro Sekunde berechnet werden, was die maximale Dauer ein Passwort zu erraten zusätzlich beeinflusst.

        Ich hoffe ich habe es einigermaßen verständlich geschrieben, ansonsten fragt gerne nochmal nach.

      • Danke für die schöne Erklärung!

  • Ist mir auch schon aufgefallen. Die Apple Passwörter sind stets gut abzutippen.

  • Die Passwörter sind eine gute Sache
    mit gute Entropie .
    Ich hab voll oft Angst das ich auswähle und er das nicht im Schlüsselring Speichern tut
    und ich dann keine Ahnung hab was ich als Passwort hab

    • Jepp bei mir auch! Manchmal werden die Passwörter nicht gespeichert. Absoluter Käse so kann man gleich das Passwort zurücksetzen bei einem neu erstellen Account und hat mehr Arbeit… jetzt kopiere ich immer das Passwort und schaue per Hand nochmal nach ob das Passwort gesichert wurde

    • Ist mir auch schon häufiger passiert. Ich notiere mir das Passwort inzwischen auch immer und schaue hinterher nach ob es gespeichert wurde.

      • Du musst es nicht notieren. Du kannst in der Auswahl auch sagen kopieren und speicherst es dann. Wenn es nicht gespeichert wird, dann hast du es noch im Zwischenspeicher

  • Werden WLAN Passwörter garnicht Syncronisiert? Habe meine Netzwerkeinstellungen auf dem iPhone zurückgesetzt. Die WLAN Passwörter sind auf dem iPhone verschwunden in der App, auf dem Mac sind diese noch da…

    • Durch das Zurücksetzen der Netzwerkeinstellungen werden alle WLAN-Passwörter auf dem jeweiligen Gerät gelöscht. Versuch dich mal von iCloud aus- und wieder einzuloggen, vielleicht klappt es dann.

    • Was genau erwartest Du beim Rücksetzen von Netzwerkeinstellungen? Das ist doch genau der Sinn dieser Funktion alle netzwerkspezifischen Einstellungen zu löschen.

    • Ich hab schon lange darüber gegrübelt, wie seit der automatischen WLANpasswort Übertragung für alle unter der AppleID eingerichteten Geräte, dann jetzt diese Funktion angepasst sein soll, wenn automatisch überall sind wie soll dann das löschen auf einem Gerät funktionieren. Denn das ist keine Cloud Funktion die man ein und ausstellen kann sondern generell so im Apple Universum

  • Wenn ich mit Sonderzeichen auswähle, wird immer der Bindestrich verwendet.
    Halte ich jetzt nicht für besonders clever und auch nicht für sicher.

    • Aber gruppiert und hilft demjenigen, der es sich merken will. Beeinflusst scheinbar aber nicht einen Passwortcracker zu seinem Vorteil

      • Wenn der Passwortcracker dahingehend abgeändert wird als erstes Sonderzeichen ein – einzusetzen, ist deutlich unsicherer als wenn es jedes andere Sonderzeichen wäre.
        Bei der Masse an durch Apple generierten Passwörter wäre eine entsprechende Änderung der Passwortcracker sinnvoll.

      • Ich hatte das von Bild abgeleitet. Ein Cracker wüsste ja nicht mal an welcher Stelle und ob es überhaupt so eins ist

    • Es geht nicht darum, dass dann die Entropie steigt oder nicht. Die Option gibt es nur um so Passwortvorgaben von Webseiten zu erfüllen. Die Entropie ist so oder so hoch genug. Wird in dem Video auch eingehend erklärt. Sie wählen z. B. auch genau 20 Zeichen weil das ein Limit von vielen Webseiten ist (und die Entropie halt noch hoch genug war, natürlich immer unter der Berücksichtigung, dass ein potentieller Angreifer diese Muster/Regeln von Apple Passwords schon kennt und nur Passwörter ausprobiert, die auch generiert hätten werden können.)

  • Wenn es einem System folgt, ist es systematisch unsicherer.

  • Also beim besten Willen: Passphrase-Systeme a la Diceware hier als glorreiche Apple-Erfindung verkaufen zu wollen ist denn doch albern bis zynisch. Diverse Passwort-Verwaltungen (z.B. Strongbox, SafeInCloud, KeePass und wahrscheinlich x andere) bieten das schon jahrelang. Apple ist hier eher mega spät.

  • Die Schwachstelle der Password-App liegt in meinen Augen darin, dass sie einfach über die iPhone-PIN geöffnet werden kann und somit Zugang zu allen Passwörtern besteht. Und die meisten haben ihr iPhone lediglich über eine 4-6 stellige PIN gesichert.
    Wäre super, wenn man für die App ein separates Passwort vergeben könnte.

      • Und auch mit aktivem Face ID hast Du parallel einen Code, der im schlechtesten Fall nur sechs Zeichen hat.

    • Komisch, meine Passwort App öffnet sich nur per FaceID.

      • Wenn FaceID zweimal nacheinander erfolglos scannt, dann wird tatsächlich die iPhone-PIN abgefragt – anschließend lässt sich in der App jedes Passwort nachschauen.

      • @BFAltona : gerade beides getestet und nicht bestätigt gefunden. FaceID wird auch nach dem 2. erfolglosen Versuch probiert. Aber selbst wenn man mit der iPhone-PIN entsperrt, öffnet sich die Passwort-App natürlich nur mit FaceID.

      • Wäre aber witzig, wenn mir einer salopp gesagt die Fresse kaputt schlägt sind auch sämtliche Passwörter quasi weg. Das kann nicht sein :-)

      • @KK: Die PasswortsApp probiert bei mir 2 mal FaceID. Klappt das nicht, kommt eine Meldung „Gesicht nicht erkannt“ mit den 2 Optionen „Code eingeben“ und „Abbrechen“.
        Gebe ich dann den Sperrcode ein (4stellig), bin ich in der App und kann mir die Einträge anschauen.

      • @KK Bei mir verhält sich der Login exakt so wie von Oliver beschrieben. Nach 2 gescheiterten FaceID-Versuchen erhalte ich die Option, die iPhone-PIN einzugeben. Wäre interessant herauszufinden, weshalb dieses Verhalten nicht bei allen gleich ist.

    • Die Secure Enclave verhindert aber Bruteforce-Attacken. 6-stellige PINs sind natürlich unsicher wenn der Hashwert dem Angreifer bekannt ist. Aber wenn dieser nur die Secure Enclave befragen kann ob ein bestimmter Code richtig oder falsch ist… da hat man nicht mal so schnell alle Kombinationen getestet. Trotzdem empfiehlt sich sicherlich da die Beschränkung auf 10 Versuche zu aktivieren.

  • Spannend finde ich, wenn zB Enpass eine solche Art von Passwörter erst ab 8 Wörter als „Ausgezeichnet“ einstuft.

    • Berechnung von Passwort-Entropie ist nur sinnvoll möglich wenn man die genaue Funktionsweise des Generators kennt. Ansonsten besteht die Gefahr die Entropie zu überschätzen. Und die Einteilung von bestimmten Entropien in gut, super, ausgezeichnet und so weiter ist auch eher willkürlich. Schlussendlich bestimmt neben der Entropie des Passworts selbst auch die von der Webseite verwendete Hash-Funktion und dergleichen, wie gut es dann z. B. bei einem Datenleak knackbar wäre. Ab so 60bit ist für nutzergewählte Passwörter sicherlich ziemlich stark. Selbst gewählte Passwörter werden in der Regel sehr weit darunter liegen.

  • blöd das seit ios 18 die neu generierten passwörter nicht mehr auffindbar sind. ich meine wenn sie nicht automatisch korrekt abgespeichert wurden.

  • Ich halte es für nicht sehr klug, wenn sensible Daten an einem für Außenstehende vorhersehbaren Ort gespeichert werden. Wenn niemand weiß wo und wie ich Passwörter speichere ist das schon eine zusätzliche Sicherheitsstufe als wenn bekannt ist, das auf jedem Mac und iPhone Passwörter in der Passwort-App gespeichert sind.
    Das gleiche Problem wie damals bei der Einführung von Standardverzeichnissen für Bilder/Musik/Dokumente etc.
    Jeder Hacker und jede Schadsoftware weiß ohne das einzelne System genau zu kennen wo der Anwender welche Daten speichert und kann diese Orte gezielt angreifen.

  • Ich halte es für nicht sehr klug, wenn sensible Daten an einem für Außenstehende vorhersehbaren Ort gespeichert werden.
    Wenn niemand weiß wo und wie ich Passwörter speichere ist das schon eine zusätzliche Sicherheitsstufe als wenn bekannt ist, das auf jedem Mac und iPhone Passwörter in der Passwort-App gespeichert sind.
    Das gleiche Problem wie damals bei der Einführung von Standardverzeichnissen für Bilder/Musik/Dokumente etc.
    Jeder Hacker und jede Schadsoftware weiß ohne das einzelne System genau zu kennen wo der Anwender welche Daten speichert und kann diese Orte gezielt angreifen.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39479 Artikel in den vergangenen 8461 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven