1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Identity Leak Checker: "123456…

Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

  1. Thema

Neues Thema Ansicht wechseln


  1. Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: Spaghetticode 30.12.15 - 15:29

    Und zwar, wie groß der Anteil von den zehn Passwörtern an den gesamten Passwörtern ist. Laut der Seite des Hasso-Plattner-Instituts ist der Anteil von den zehn Passwörtern an den gesamten Passwörtern 2,2 %.

  2. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: ArcadeBits 30.12.15 - 16:22

    Eine 2,2% Chance bei 10 Passwörtern ist verdammt hoch, wie ich finde.

  3. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: plutoniumsulfat 30.12.15 - 16:38

    Da wird sich selbst manuelles Bruteforce lohnen ;)

  4. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: Spaghetticode 30.12.15 - 16:42

    plutoniumsulfat schrieb:
    --------------------------------------------------------------------------------
    > Da wird sich selbst manuelles Bruteforce lohnen ;)

    Wenn du die Benutzernamen kennst.

  5. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: quineloe 30.12.15 - 16:59

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > plutoniumsulfat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da wird sich selbst manuelles Bruteforce lohnen ;)
    >
    > Wenn du die Benutzernamen kennst.

    Die sind ja dankenswerterweise bei vielen Seiten jetzt die Email-Adresse. Auch hochsicher.

  6. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: Spaghetticode 30.12.15 - 17:08

    quineloe schrieb:
    --------------------------------------------------------------------------------
    > Spaghetticode schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > plutoniumsulfat schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Da wird sich selbst manuelles Bruteforce lohnen ;)
    > >
    > > Wenn du die Benutzernamen kennst.
    >
    > Die sind ja dankenswerterweise bei vielen Seiten jetzt die Email-Adresse.
    > Auch hochsicher.

    Dazu muss man erst einmal die E-Mail-Adressen kennen. Beziehungsweise irgendwie an eine Adressliste kommen, sodass man alle Adressen durchprobieren kann. Ansonsten kannst du nur deinen Partner ausspähen, wenn er ein solch unsicheres Passwort hat. Obwohl, zuerst kannst du ja ein Forum (mit bekanntem Benutzernamen) knacken, dadurch die E-Mail-Adresse herausfinden und dann weitere Accounts knacken.

  7. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: Xiut 30.12.15 - 17:34

    Also rund 2% finde ich auch schon sehr hoch für nur 10 Passwörter... Und ich wette, dass sicher mindestens nochmal so viele einfach nur ganz leichte Abwandlungen dieser Passwörter haben...

    Und ja, man braucht vielleicht oft noch den Nutzernamen und weiß oft nicht unbedingt direkt, welche Email ein Nutzer für den Account verwendet hat, aber selbst für den Fall, dass eben diese Daten in Verbindung mit einem Hash geleakt werden, ist das einfach zu viel...

    Natürlich muss man hier auch unterscheiden. Wenn jemand ein entsprechende Passwort wie 123456 in einem einfachen Forum nutzt und ihm der Account nicht so wichtig ist, ist das ja auch kein Problem, wenn er das Passwort nicht auch bei Diensten wie Paypal verwendet (die haben hoffentlich eine entsprechende Blacklist mit wenigstens den 20 häufigsten Passwörtern oder so..). Trotzdem muss man es den Angreifern ja nicht so leicht machen und könnte sich wenigstens für nicht so wichtige Passwörter ein kleines System ausdenken + ein halbwegs sicheres Stammpasswort für solche Seiten.

  8. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: quineloe 30.12.15 - 18:20

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------

    >
    > Dazu muss man erst einmal die E-Mail-Adressen kennen. Beziehungsweise
    > irgendwie an eine Adressliste kommen, sodass man alle Adressen
    > durchprobieren kann. Ansonsten kannst du nur deinen Partner ausspähen, wenn
    > er ein solch unsicheres Passwort hat. Obwohl, zuerst kannst du ja ein Forum
    > (mit bekanntem Benutzernamen) knacken, dadurch die E-Mail-Adresse
    > herausfinden und dann weitere Accounts knacken.

    Du willst jetzt hier ernsthaft Benutzername = Email als sicher darstellen?

  9. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: Xiut 30.12.15 - 18:44

    quineloe schrieb:
    --------------------------------------------------------------------------------
    > Spaghetticode schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > >
    > > Dazu muss man erst einmal die E-Mail-Adressen kennen. Beziehungsweise
    > > irgendwie an eine Adressliste kommen, sodass man alle Adressen
    > > durchprobieren kann. Ansonsten kannst du nur deinen Partner ausspähen,
    > wenn
    > > er ein solch unsicheres Passwort hat. Obwohl, zuerst kannst du ja ein
    > Forum
    > > (mit bekanntem Benutzernamen) knacken, dadurch die E-Mail-Adresse
    > > herausfinden und dann weitere Accounts knacken.
    >
    > Du willst jetzt hier ernsthaft Benutzername = Email als sicher darstellen?

    Je nach Anwendung ist es das. In einem Forum, wo die Benutzernamen öffentlich sind (meinst gibt es sogar Mitgliederlisten), aber die Emailadressen wegen dem Schutz vor SPAMund so nicht ohne weitere eingesehen werden können, wäre das in der Tat sicherer.

    Am besten wäre halt eher etwas wie ein Anmeldenamen, der nicht der Anzeigename im Forum oder eben allgemein auf der Webseite ist, sondern nur für den Login dient.
    Manche Foren haben das ja sogar auch, wenn auch zum Teil nur optional.

    Auch bei z.B. Facebook ist es extrem einfach an den eindeutigen Benutzernamen zu kommen, den man festlegen kann und mit dem man sich auch einloggen kann. An die Emaildresse kommt man nicht ohne weiteres.

  10. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: quineloe 30.12.15 - 20:20

    Auch der angezeigte Benutzername muss nicht der Name sein, mit dem man sich einlogged. Kenne da einige Foren...

    Weder ist ein öffentlich angezeigter Benutzername noch eine Email als Login jemals "sicher". Es ist immer nur die bequeme Variante.


    Und dann gibt's auch noch den Knaller, einfach beides als Login zuzulassen


    Es wird einfach verdammt viel falsch gemacht bei den Anbietern (B.net passwort nicht case sensitive) dass dieses ewige einseite Hauen auf den User mir langsam auf den Sack geht.



    1 mal bearbeitet, zuletzt am 30.12.15 20:23 durch quineloe.

  11. Re: Beim Tortendiagramm mit den zehn Passwörtern hätte ich noch ein zweites danebengemacht.

    Autor: Xiut 30.12.15 - 20:22

    quineloe schrieb:
    --------------------------------------------------------------------------------
    > Auch der angezeigte Benutzername muss nicht der Name sein, mit dem man sich
    > einlogged. Kenne da einige Foren...

    Habe ich auch geschrieben... Aber ok.. Danke, dass du es nochmal erwähnst :D

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Total Deutschland GmbH, Berlin
  2. W3L AG, Dortmund
  3. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  4. CITTI Handelsgesellschaft mbH & Co. KG, Kiel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 44,99€ (Bestpreis)
  2. (u. a. The Surge 2 für 42,99€, Trackmania 2: Stadium für 5,99€, Fallout: New Vegas Ultimate...
  3. (aktuell u. a. Netgear Pro Safe JGS524Ev2 Switch für 103,90€, Hasbro Nerf N-Strike für 36...
  4. (u. a. Samsung RU7419 (43 Zoll) für 329€, Samsung RU7409 (50 Zoll) für 449€, Samsung RU8009...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    1. Agon AG353UCG: AOC baut 200-Hz-Monitor im Kinoformat und mit HDR1000
      Agon AG353UCG
      AOC baut 200-Hz-Monitor im Kinoformat und mit HDR1000

      Der Gaming-Monitor AOC Agon AG353UCG ist zumindest auf dem Papier gut ausgestattet: Er hat ein 200-Hz-Panel, unterstützt HDR mit 1.000 cd/m² und kommt im gestreckten 21:9-Format. Das alles ist aber nicht ganz preiswert.

    2. Entwicklertagung: Sony und Facebook sagen Teilnahme an GDC 2020 ab
      Entwicklertagung
      Sony und Facebook sagen Teilnahme an GDC 2020 ab

      GDC 2020 Mit Neuigkeiten zur Playstation 5 ist auf der Entwicklerkonferenz GDC 2020 nicht zu rechnen: Sony hat wegen des Coronavirus ebenso wie Facebook mit seiner Tochter Oculus abgesagt.

    3. Microsoft: Office 365 läuft jetzt komplett in deutschen Rechenzentren
      Microsoft
      Office 365 läuft jetzt komplett in deutschen Rechenzentren

      Für Microsoft ist Deutschland wohl ein wichtiger Markt: Das Unternehmen wird vielgenutzte Cloud-Dienste wie Office 365 nämlich künftig innerhalb der Landesgrenzen betreiben. Trotzdem soll eine internationale Anbindung für Kunden weiterhin problemlos möglich sein.


    1. 11:40

    2. 11:12

    3. 10:25

    4. 09:30

    5. 09:16

    6. 08:55

    7. 07:54

    8. 23:17