Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Passwörter sind nicht das Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter sind nicht das Problem

    Autor: Sven Weihusen 23.02.18 - 10:10

    Die EC-Karte kommt mit 4 Ziffern aus. Das Problem ist das man tonnenweise Passwörter testen kann. Wenn jeder neue Versuch mindestens 15 Sekunden braucht stört das den normalen Benutzer, der das richtige eingibt, praktisch gar nicht, selbst wenn er sich mal vertippt. Zum Durchprobieren ist das aber tödlich. Und wer sein PW nach 5-10 Versuchen nicht hat, der braucht eh ein neues. Selbst wenn man jemanden damit böswillig aussperren kann, ist es für die Firma interessant, weil sie dann weiß, das sie attackiert wird.
    Der ganze Blödsinn mit komplizierten PW die alle 3 Monate gewechselt werden für am Ende dazu, das man was einfaches nimmt, das man sich merken kann, denn in den meisten Firmen gibt es kein Single-sign-on sondern X verschiedene Passwörter plus die privaten. Wer sichere Passwörter will mus die Menge reduzieren!

  2. Re: Passwörter sind nicht das Problem

    Autor: corruption 23.02.18 - 10:54

    EC Karte nutzt ja nicht den Pin für die Transportverschlüsselung, sondern es wird der private Key von der Karte genutzt, diesen gibst du mit der Pin frei. Die gehen sogar soweit, dass dort ein Controller drauf ist der speziell diesen Key speichert und Krypto macht für digitale Signaturen. Das Stichwort ist Secure Element / Security CoProcessor.
    Ohne private Key keinen Zugriff. Wenn du für jeden Dienst so eine Authentifizierungs-Karte hättest wäre das auch okay! Hast du aber nicht.

    Und dann ist ein 4-stelliges PW einfach fahrlässig.... das mit der Zeit erhöhen im Algorithmus stimmt aber, das wird auch in der Praxis schon gemacht ( https://codahale.com/how-to-safely-store-a-password/ )

  3. Re: Passwörter sind nicht das Problem

    Autor: bombinho 23.02.18 - 11:44

    corruption schrieb:
    --------------------------------------------------------------------------------
    > Und dann ist ein 4-stelliges PW einfach fahrlässig.... das mit der Zeit
    > erhöhen im Algorithmus stimmt aber, das wird auch in der Praxis schon
    > gemacht ( codahale.com )

    Das ist ein furchtbar alter Hut, er wird nur in Windows z.B. standardmaessig ausgeschaltet, obwohl er vorhanden ist.

    Dann ist es aber zusaetzliche Sicherheit, dass dem potentiellen Angreifer auch dann gesagt wird, dass das Passwort falsch ist, wenn es richtig ist.

    Nehmen wir an, es ist eingestellt: 10 Versuche, 1 Minute Wartezeit. Dann kann man 9 mal falsch raten muss aber beim 10. Mal richtig liegen sonst wird man bei weiteren Versuchen auch beim korrekten Passwort die Antwort bekommen: "Falsches Passwort". Wartet man aber nach 10 Versuchen 1 Minute, kann man dann wieder 10 Versuche probieren usw.

    Also wenn ich 10.000 Versuche pro Minute via Netzwerk durchprobieren kann, wird es bei dieser Einstellung dem Angreifer nahezu unmoeglich gemacht, Brute Force erfolgreich anzuwenden. Wenn er aber weiss, dass 10/1 eingestellt ist, muss er alle 10 Versuche ein Paeuschen einlegen. Damit dauern 10.000 Versuche aber nun 1001 Minute mindestens. Das heisst, wenn er theoretisch innerhalb einer Woche das Passwort gefunden haette, sind es nun 1001 Wochen oder auch >19 Jahre. Viel Vergnuegen.

    Anhang: Hat man aber eine der "neuen" MS-Accounts als Login, kann man nur raten, welche Sicherheitseinstellungen tatsaechlich benutzt werden.



    2 mal bearbeitet, zuletzt am 23.02.18 11:52 durch bombinho.

  4. Re: Passwörter sind nicht das Problem

    Autor: EynLinuxMarc 23.02.18 - 13:41

    Also deutsche bank kann 6 pins auf der karte benutzen, NUN was bringt mir das wenn 80% der Läden nur 4 Pins Eingabe erlauben. ^^

    @ bombinho
    Hmm ich würde das noch so machen das nach 5 mal falsch, nur wider neu anfangen kannst wenn Windows neu gestartet hast. ;-)

    Asus M5A99FX UEFI und GPT,FX 8350 8Core 4.2Ghz,16GB Speicher,Win 10 Enterprise 1903 RTM, Firefox 68a1x64, Thunderbird 60.6.1 Relase x64, MS Office 2019 pro plus , Radeon HD7770,SSD 4x 256/480/500/500GB, extern 5TB HD ,Bluray, Es Kracht die Music mit Z506 u. SB Z, Viren Per Norton Security mit Backup v22.17.0.183



    2 mal bearbeitet, zuletzt am 23.02.18 13:45 durch EynLinuxMarc.

  5. Re: Passwörter sind nicht das Problem

    Autor: bombinho 23.02.18 - 20:31

    EynLinuxMarc schrieb:
    --------------------------------------------------------------------------------
    > Hmm ich würde das noch so machen das nach 5 mal falsch, nur wider neu
    > anfangen kannst wenn Windows neu gestartet hast. ;-)

    Diese Option kenne ich nicht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Leipzig
  2. Deloitte, verschiedene Standorte
  3. thyssenkrupp System Engineering GmbH, Hohenstein-Ernstthal, Heilbronn
  4. SSI SCHÄFER Automation GmbH, Giebelstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBX570
  2. 64,90€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

  1. Indiegogo: Minidrucker trägt Motive auf Papier, Holz und Haut auf
    Indiegogo
    Minidrucker trägt Motive auf Papier, Holz und Haut auf

    Der Princube ist ein winziger Drucker, mit dem Nutzer Labels und Motive auf diverse Oberflächen anbringen können. Das Gerät wird dafür per Hand über das Material geführt. Dazu ist allerdings ein Smartphone mit der passenden App nötig.

  2. NTT Docomo: Erstes 5G-Netz benötigt mehr Millimeterwellen-Spektrum
    NTT Docomo
    Erstes 5G-Netz benötigt mehr Millimeterwellen-Spektrum

    NTT Docomo hat mit öffentlichen Testläufen zu 5G in Japan schon einige Erfahrungen gesammelt. Der Netzbetreiber zieht erste Schlussfolgerungen für den Ausbau.

  3. DSGVO: Ist Datenwucher okay?
    DSGVO
    Ist Datenwucher okay?

    Auch nach über einem Jahr DSGVO sammeln Facebook und Google munter weiter Daten, ebenso Nachrichtenportale und viele Blogseiten. Die Datenschutz-Aufsichtsbehörden sehen sich im Moment nicht imstande, dem einen Riegel vorzuschieben.


  1. 15:27

  2. 14:37

  3. 14:07

  4. 13:24

  5. 13:04

  6. 12:00

  7. 11:58

  8. 11:47