1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Gema-Hack: Standardpasswörter…

Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Anonymer Nutzer 24.08.11 - 14:02

    Passwort für eigentlich alles drei... oder waren es doch vier... Buchstaben.

    Das komplette System war eine komplette Katastrophe. Ich allerdings nicht leicht alte verkrustete Strukturen zu verändern ;)

  2. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Regenbogenlilli 24.08.11 - 14:55

    Dabei ist es doch ganz einfach sich ein kompliziertes Passwort zu merken...

    Der erste Satz als Passwort könnte dann z.B. so aussehen:

    D3!edg1$ekPzm...

  3. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Arkonos 24.08.11 - 15:02

    http://xkcd.com/936/

  4. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: 7hyrael 24.08.11 - 15:03

    oder
    G0o8l1e5m

    ... wer die 2 leicht zu merkenden bestandteile zusammenbekommt erhält nen keks. und inner rainbowtable findet man das sicher nicht...

  5. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: 7hyrael 24.08.11 - 15:10

    Schicke karrikatur! und sagt im prinzip schon alles wichtige zur passwortsicherheit, was ein laie wissen muss!

  6. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Wolf als Gast 24.08.11 - 15:16

    golem und 0815.
    bitte mit Schoko

  7. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Dadie 24.08.11 - 15:29

    7hyrael schrieb:
    --------------------------------------------------------------------------------
    > oder
    > G0o8l1e5m
    >
    > ... wer die 2 leicht zu merkenden bestandteile zusammenbekommt erhält nen
    > keks. und inner rainbowtable findet man das sicher nicht...

    Muss man ja auch nicht. Das Passwort "G0o8l1e5m" erzeugt einen Hash. Kein Hash-Verfahren dieser Welt ist perfekt. Ist gibt mindestens ein weiteres Passwort welches denselben Hash erzeugt aber vollkommen anders klingt.

    Bei einer Regenbogen-Tabelle suche ich nicht explizit nach "DEM" Passwort sondern nach einer Kollision. Darum wird ja auch empfohlen ein Salz zu benutzen. Selbst wenn man eine Kollision in der Regenbogen-Tabelle findet ist diese Kollision erst nach dem Salz gültig. Da sie aber durch das Salz selber noch einmal müsste würde sie automatisch ungültig.

    Und selbst wenn man das Salz kennt darf man für das Salz selber erst einmal eine eigene Regenbogen-Tabelle erstellen. Was schon einmal einiges an Zeit, Rechenleistung und Festplatten Platz frisst.

    Obgleich gerade ein Server mit 35TB Speicher und bald 100GB RAM würde sich perfekt als Rechensklave für Regenbogen-Tabellen eigenen.

  8. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Himmerlarschundzwirn 24.08.11 - 15:49

    Ich raff's grad nicht. Wo kommt die 3 her?

  9. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Niriel 24.08.11 - 15:56

    Gut, ich dachte schon ich bin alleine damit :)

  10. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Regenbogenlilli 24.08.11 - 16:12

    "Dabei" klingt fast wie drei. Ist natürlich etwas Fantasie gefragt ;)

    Alternativ kann man auch jeden zweiten Buchstaben benutzen, oder sich was ganz anderes ausdenken. Eins bleibt aber immer: Man muss sich nur einen Satz merken und keine kryptischen Zahlen und Buchstabenkolonnen.

  11. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Himmerlarschundzwirn 24.08.11 - 16:18

    Okay, also doch was phonetisches. Dachte schon, ich hätte n Logikproblem :-)

  12. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Cyber1999 24.08.11 - 17:06

    7hyrael schrieb:
    --------------------------------------------------------------------------------
    > Schicke karrikatur! und sagt im prinzip schon alles wichtige zur
    > passwortsicherheit, was ein laie wissen muss!


    Öhh ja nur die Zahlen sind nicht wirklich richtig....oder ??
    Wie kommt der auf 28 Bit Entropy bei einem bei einem 11 stelligen Passwort ?

  13. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Beebe 24.08.11 - 19:07

    Dadie schrieb:
    --------------------------------------------------------------------------------

    > Und selbst wenn man das Salz kennt darf man für das Salz selber erst einmal
    > eine eigene Regenbogen-Tabelle erstellen. Was schon einmal einiges an Zeit,
    > Rechenleistung und Festplatten Platz frisst.

    Autsch. Schon mal bei einem Passwort ein Bit gekippt und dann gehasht? Komplett anderer Hashwert, toll oder? Also auf und sich nochmal über das Salz informieren. ;)

  14. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: scroogie 24.08.11 - 19:58

    Cyber1999 schrieb:
    --------------------------------------------------------------------------------
    >
    > Öhh ja nur die Zahlen sind nicht wirklich richtig....oder ??
    > Wie kommt der auf 28 Bit Entropy bei einem bei einem 11 stelligen Passwort
    > ?

    Na das ist doch im ersten Bild erklärt:
    - Zufälliges *echtes* englisches Wort: 16 Bit
    - Großbuchstabe höchstens mal am Anfang des Wortes: 1 Bit
    - 8 typische Möglichkeiten einen Buchstaben auszutauschen: 3 Bit
    - Am Ende ein Paar aus Sonderzeichen und Zahl: 8 Bit (4 für das Sonderzeichen, 3 für die Zahl, und 1 dafür, dass man die Reihenfolge nicht kennt)

    Macht 16+1+3+8 = 28.

    Die Annahmen sind natürlich abstrus, aber das ist ja auch Satire. :)

  15. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Anonymer Nutzer 24.08.11 - 22:32

    Regenbogenlilli schrieb:
    --------------------------------------------------------------------------------
    > Dabei ist es doch ganz einfach sich ein kompliziertes Passwort zu
    > merken...
    >
    > Der erste Satz als Passwort könnte dann z.B. so aussehen:
    >
    > D3!edg1$ekPzm...

    Stimmt.
    Ich mache es wie beim Piano. Merke mir eine Tastaturfolge (10 Finger), groß/klein usw. wie Noten, welche ich dann auch blind wiedergeben kann. Alles reine Kopfarbeit. Nur die Finger darf ich nicht verlieren ;)

    Nur für solche Sachen wie hier verwende ich ein einfaches PW was sich hin und wieder auch wiederholt. Aber das ist ohnehin nur ein Nick :)

  16. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Anonymer Nutzer 24.08.11 - 22:32

    Regenbogenlilli schrieb:
    --------------------------------------------------------------------------------
    > Dabei ist es doch ganz einfach sich ein kompliziertes Passwort zu
    > merken...
    >
    > Der erste Satz als Passwort könnte dann z.B. so aussehen:
    >
    > D3!edg1$ekPzm...

    Stimmt.
    Ich mache es wie beim Piano. Merke mir eine Tastaturfolge (10 Finger), groß/klein usw. wie Noten, welche ich dann auch blind wiedergeben kann. Alles reine Kopfarbeit. Nur die Finger darf ich nicht verlieren ;)

    Nur für solche Sachen wie hier verwende ich ein einfaches PW was sich hin und wieder auch wiederholt. Aber das ist ohnehin nur ein Nick :)

  17. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Anonymer Nutzer 24.08.11 - 22:35

    Trotzdem sollte man sich das PW aber irgendwo, weit weg vom üblen WWW, notieren. Bei mir wäre der Verlust eines Fingers eine Katastrophe ;)

  18. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: Himmerlarschundzwirn 25.08.11 - 07:28

    Hast dir dein Passwort auf die Fingerkuppen tätowiert oder was? :-D

  19. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: GodsBoss 25.08.11 - 10:58

    > xkcd.com

    Und dann gibt es da noch die Webseiten, bei denen das Passwort eine Maximal-Länge hat (warum?) oder man Sonderzeichen verwenden muss, aber nicht alle erlaubt (Leerzeichen war nicht erlaubt) sind und auch nicht alle Zeichen, die keine Buchstaben und keine Zahlen sind, Sonderzeichen sind (wie Punkt, Komma und Ausrufezeichen).

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  20. Re: Ich habe einmal einen Selfadmin bei der Arbeit in einer Diakonie zuschauen dürfen

    Autor: GodsBoss 25.08.11 - 11:16

    > Muss man ja auch nicht. Das Passwort "G0o8l1e5m" erzeugt einen Hash. Kein
    > Hash-Verfahren dieser Welt ist perfekt. Ist gibt mindestens ein weiteres
    > Passwort welches denselben Hash erzeugt aber vollkommen anders klingt.

    Kommt das nicht auf das Hash-Verfahren an? Logischerweise hat jedes Hash-Verfahren Kollisionen und zwar (Hashfunktionen erzeugen üblicherweise Werte fester Länge) unendlich viele. Wie diese verteilt sind, ist damit aber noch nicht klar. Selbstgemachtes Beispiel: Eine (schlechte) Hash-Funktion, die 0 auf 0 und alle anderen Zahlen auf 1 abbildet. 0 ist kollisionsfrei, es gibt also keinen weiteren Wert, der als Hash den gleichen Wert wie den Hash von 0 hat.

    Wie das bei den üblichen Verdächtigen aussieht, weiß ich schlicht und ergreifend nicht.

    > Bei einer Regenbogen-Tabelle suche ich nicht explizit nach "DEM" Passwort
    > sondern nach einer Kollision. Darum wird ja auch empfohlen ein Salz zu
    > benutzen. Selbst wenn man eine Kollision in der Regenbogen-Tabelle findet
    > ist diese Kollision erst nach dem Salz gültig. Da sie aber durch das Salz
    > selber noch einmal müsste würde sie automatisch ungültig.
    >
    > Und selbst wenn man das Salz kennt darf man für das Salz selber erst einmal
    > eine eigene Regenbogen-Tabelle erstellen. Was schon einmal einiges an Zeit,
    > Rechenleistung und Festplatten Platz frisst.
    >
    > Obgleich gerade ein Server mit 35TB Speicher und bald 100GB RAM würde sich
    > perfekt als Rechensklave für Regenbogen-Tabellen eigenen.

    Wenn Salts richtig verwendet werden, also einer pro Hash, ist das Erstellen von Regenbogentabellen komplett fruchtlos. Jede solche Tabelle würde nämlich nach Gebrauch, sprich, Test eines einzigen Hashwertes, weggeworfen werden müssen. Damit fällt aber der Vorteil, Hashes nur einmal berechnen zu müssen, komplett weg, es würde sich einfach nur um eine Verkomplizierung eines Wörterbuch- oder Brute-Force-Verfahren handeln.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP MM Berater (m/w/x)
    über duerenhoff GmbH, Fürth
  2. Group IT Business Continuity Manager (m/w/d)
    DAW SE, Ober-Ramstadt bei Darmstadt
  3. Kundenberater (m/w/d) eGovernment
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
  4. Ingenieur / Geograf (w/m/d) (FH-Diplom / Bachelor) Schwerpunktaufgaben Radwegweisung und GIS in der Radwegweisung
    Hessen Mobil - Straßen- und Verkehrsmanagement, Marburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. Bis zu 40 Prozent auf Sharkoon-Produkte
  2. (u. a. GIGABYTE GeForce RTX 3070 Ti GAMING OC LHR für 1.149€)
  3. (u. a. GeForce RTX 3070 Ti Gaming X Trio 8G LHR für 1.214,21€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Telefon- und Internetanbieter: Was tun bei falschen Auftragsbestätigungen?
Telefon- und Internetanbieter
Was tun bei falschen Auftragsbestätigungen?

Bei Telefon- und Internetanschlüssen kommt es öfter vor, dass Verbraucher Auftragsbestätigungen bekommen, obwohl sie nichts bestellt haben.
Von Harald Büring


    Ratchet & Clank Rift Apart im Test: Der fast perfekte Sommer-Shooter
    Ratchet & Clank Rift Apart im Test
    Der fast perfekte Sommer-Shooter

    Gute Laune mit großkalibrigen Waffen: Das nur für PS5 erhältliche Ratchet & Clank - Rift Apart schickt uns in knallige Feuergefechte.
    Von Peter Steinlechner

    1. Ratchet & Clank "Auf der PS4 würde man zwei Minuten lang Ladebalken sehen"
    2. Ratchet & Clank Rift Apart Detailreichtum trifft Dimensionssprünge

    Lois Lew: Die berühmteste Sekretärin, die IBM je hatte
    Lois Lew
    Die berühmteste Sekretärin, die IBM je hatte

    Lois Lew war Sekretärin bei IBM, als sie die Chance bekam, auf eine große Werbetour zu gehen. Dabei stellte sich heraus: Sie ist ein Gedächtnisgenie.
    Ein Porträt von Elke Wittich

    1. Kyndryl IBMs aufgespaltenes Unternehmen bekommt einen neuen Namen
    2. Programmiersprache IBM will mit Cobol in die Linux-Cloud
    3. IBM Deutschland IBM-Beschäftigte wehren sich in Webex gegen Kündigungen