Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Passwörter sind nicht das Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter sind nicht das Problem

    Autor: Sven Weihusen 23.02.18 - 10:10

    Die EC-Karte kommt mit 4 Ziffern aus. Das Problem ist das man tonnenweise Passwörter testen kann. Wenn jeder neue Versuch mindestens 15 Sekunden braucht stört das den normalen Benutzer, der das richtige eingibt, praktisch gar nicht, selbst wenn er sich mal vertippt. Zum Durchprobieren ist das aber tödlich. Und wer sein PW nach 5-10 Versuchen nicht hat, der braucht eh ein neues. Selbst wenn man jemanden damit böswillig aussperren kann, ist es für die Firma interessant, weil sie dann weiß, das sie attackiert wird.
    Der ganze Blödsinn mit komplizierten PW die alle 3 Monate gewechselt werden für am Ende dazu, das man was einfaches nimmt, das man sich merken kann, denn in den meisten Firmen gibt es kein Single-sign-on sondern X verschiedene Passwörter plus die privaten. Wer sichere Passwörter will mus die Menge reduzieren!

  2. Re: Passwörter sind nicht das Problem

    Autor: corruption 23.02.18 - 10:54

    EC Karte nutzt ja nicht den Pin für die Transportverschlüsselung, sondern es wird der private Key von der Karte genutzt, diesen gibst du mit der Pin frei. Die gehen sogar soweit, dass dort ein Controller drauf ist der speziell diesen Key speichert und Krypto macht für digitale Signaturen. Das Stichwort ist Secure Element / Security CoProcessor.
    Ohne private Key keinen Zugriff. Wenn du für jeden Dienst so eine Authentifizierungs-Karte hättest wäre das auch okay! Hast du aber nicht.

    Und dann ist ein 4-stelliges PW einfach fahrlässig.... das mit der Zeit erhöhen im Algorithmus stimmt aber, das wird auch in der Praxis schon gemacht ( https://codahale.com/how-to-safely-store-a-password/ )

  3. Re: Passwörter sind nicht das Problem

    Autor: bombinho 23.02.18 - 11:44

    corruption schrieb:
    --------------------------------------------------------------------------------
    > Und dann ist ein 4-stelliges PW einfach fahrlässig.... das mit der Zeit
    > erhöhen im Algorithmus stimmt aber, das wird auch in der Praxis schon
    > gemacht ( codahale.com )

    Das ist ein furchtbar alter Hut, er wird nur in Windows z.B. standardmaessig ausgeschaltet, obwohl er vorhanden ist.

    Dann ist es aber zusaetzliche Sicherheit, dass dem potentiellen Angreifer auch dann gesagt wird, dass das Passwort falsch ist, wenn es richtig ist.

    Nehmen wir an, es ist eingestellt: 10 Versuche, 1 Minute Wartezeit. Dann kann man 9 mal falsch raten muss aber beim 10. Mal richtig liegen sonst wird man bei weiteren Versuchen auch beim korrekten Passwort die Antwort bekommen: "Falsches Passwort". Wartet man aber nach 10 Versuchen 1 Minute, kann man dann wieder 10 Versuche probieren usw.

    Also wenn ich 10.000 Versuche pro Minute via Netzwerk durchprobieren kann, wird es bei dieser Einstellung dem Angreifer nahezu unmoeglich gemacht, Brute Force erfolgreich anzuwenden. Wenn er aber weiss, dass 10/1 eingestellt ist, muss er alle 10 Versuche ein Paeuschen einlegen. Damit dauern 10.000 Versuche aber nun 1001 Minute mindestens. Das heisst, wenn er theoretisch innerhalb einer Woche das Passwort gefunden haette, sind es nun 1001 Wochen oder auch >19 Jahre. Viel Vergnuegen.

    Anhang: Hat man aber eine der "neuen" MS-Accounts als Login, kann man nur raten, welche Sicherheitseinstellungen tatsaechlich benutzt werden.



    2 mal bearbeitet, zuletzt am 23.02.18 11:52 durch bombinho.

  4. Re: Passwörter sind nicht das Problem

    Autor: EynLinuxMarc 23.02.18 - 13:41

    Also deutsche bank kann 6 pins auf der karte benutzen, NUN was bringt mir das wenn 80% der Läden nur 4 Pins Eingabe erlauben. ^^

    @ bombinho
    Hmm ich würde das noch so machen das nach 5 mal falsch, nur wider neu anfangen kannst wenn Windows neu gestartet hast. ;-)

    Asus M5A99FX UEFI und GPT,FX 8350 8Core 4.2Ghz,16GB Speicher,Win 10 Enterprise 1803 17134.1 RTM, Firefox 61a1x64, Thunderbird 61a1x64, MSOffice 365 Personal(Office 2016) , Radeon HD7770,SSD 4x 256/480/500/500GB, extern 5TB HD ,Bluray, Es Kracht die Music mit Z506 u. SB Z, Viren Per Norton Security mit Backup v22.14.0.54



    2 mal bearbeitet, zuletzt am 23.02.18 13:45 durch EynLinuxMarc.

  5. Re: Passwörter sind nicht das Problem

    Autor: bombinho 23.02.18 - 20:31

    EynLinuxMarc schrieb:
    --------------------------------------------------------------------------------
    > Hmm ich würde das noch so machen das nach 5 mal falsch, nur wider neu
    > anfangen kannst wenn Windows neu gestartet hast. ;-)

    Diese Option kenne ich nicht.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ELAXY GmbH, Stuttgart, Jever, Puchheim bei München
  2. Universität Konstanz, Konstanz
  3. Deutsche Schillergesellschaft e.V., Marbach am Neckar
  4. Friedhelm LOH Group, Herborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Diablo 3 Ultimate Evil Edition, Gear Club Unlimited, HP-Notebooks)
  2. 9,99€
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. 59,99€ mit Vorbesteller-Preisgarantie


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    Mars: Die Staubstürme des roten Planeten
    Mars
    Die Staubstürme des roten Planeten

    Der Mars-Rover Opportunity ist nicht die erste Mission, die unter Staubstürmen leidet. Aber zumindest sind sie inzwischen viel besser verstanden als in der Frühzeit der Marsforschung.
    Von Frank Wunderlich-Pfeiffer

    1. Nasa Dunkle Nacht im Staubsturm auf dem Mars
    2. Mars Insight Ein Marslander ist nicht genug

    1. Notebook: Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu
      Notebook
      Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu

      Die Tastaturen in Macbook- oder Macbook-Pro-Modellen können fehlerhaft sein. Das hat Apple nach mehreren Monaten zugegeben. Betroffene Kunden können sich kostenlos eine funktionierende Tastatur in ihr Notebook einbauen lassen.

    2. Oberstes US-Gericht: Durchsuchungsbefehl für Abfrage von Handyposition notwendig
      Oberstes US-Gericht
      Durchsuchungsbefehl für Abfrage von Handyposition notwendig

      Der oberste US-Gerichtshof der USA hat den Schutz der Privatsphäre erhöht. Sicherheitsbehörden dürfen nicht einfach auf die Funkmastdaten eines Handys zugreifen. Dafür wird ein richterlich angeordneter Durchsuchungsbefehl verlangt.

    3. Vodafone: Edeka Mobil erhält mehr ungedrosseltes Datenvolumen
      Vodafone
      Edeka Mobil erhält mehr ungedrosseltes Datenvolumen

      Edeka Mobil von Vodafone lebt weiter und die Leistungen des Tarifs werden aufgestockt. Das ungedrosselte Datenvolumen erhöht sich ohne Preisaufschlag. Zudem ist es einfacher geworden, das Guthaben aufzuladen.


    1. 11:59

    2. 11:33

    3. 10:59

    4. 10:22

    5. 09:02

    6. 17:15

    7. 16:45

    8. 16:20