Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Passwörter sind nicht das Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter sind nicht das Problem

    Autor: Sven Weihusen 23.02.18 - 10:10

    Die EC-Karte kommt mit 4 Ziffern aus. Das Problem ist das man tonnenweise Passwörter testen kann. Wenn jeder neue Versuch mindestens 15 Sekunden braucht stört das den normalen Benutzer, der das richtige eingibt, praktisch gar nicht, selbst wenn er sich mal vertippt. Zum Durchprobieren ist das aber tödlich. Und wer sein PW nach 5-10 Versuchen nicht hat, der braucht eh ein neues. Selbst wenn man jemanden damit böswillig aussperren kann, ist es für die Firma interessant, weil sie dann weiß, das sie attackiert wird.
    Der ganze Blödsinn mit komplizierten PW die alle 3 Monate gewechselt werden für am Ende dazu, das man was einfaches nimmt, das man sich merken kann, denn in den meisten Firmen gibt es kein Single-sign-on sondern X verschiedene Passwörter plus die privaten. Wer sichere Passwörter will mus die Menge reduzieren!

  2. Re: Passwörter sind nicht das Problem

    Autor: corruption 23.02.18 - 10:54

    EC Karte nutzt ja nicht den Pin für die Transportverschlüsselung, sondern es wird der private Key von der Karte genutzt, diesen gibst du mit der Pin frei. Die gehen sogar soweit, dass dort ein Controller drauf ist der speziell diesen Key speichert und Krypto macht für digitale Signaturen. Das Stichwort ist Secure Element / Security CoProcessor.
    Ohne private Key keinen Zugriff. Wenn du für jeden Dienst so eine Authentifizierungs-Karte hättest wäre das auch okay! Hast du aber nicht.

    Und dann ist ein 4-stelliges PW einfach fahrlässig.... das mit der Zeit erhöhen im Algorithmus stimmt aber, das wird auch in der Praxis schon gemacht ( https://codahale.com/how-to-safely-store-a-password/ )

  3. Re: Passwörter sind nicht das Problem

    Autor: bombinho 23.02.18 - 11:44

    corruption schrieb:
    --------------------------------------------------------------------------------
    > Und dann ist ein 4-stelliges PW einfach fahrlässig.... das mit der Zeit
    > erhöhen im Algorithmus stimmt aber, das wird auch in der Praxis schon
    > gemacht ( codahale.com )

    Das ist ein furchtbar alter Hut, er wird nur in Windows z.B. standardmaessig ausgeschaltet, obwohl er vorhanden ist.

    Dann ist es aber zusaetzliche Sicherheit, dass dem potentiellen Angreifer auch dann gesagt wird, dass das Passwort falsch ist, wenn es richtig ist.

    Nehmen wir an, es ist eingestellt: 10 Versuche, 1 Minute Wartezeit. Dann kann man 9 mal falsch raten muss aber beim 10. Mal richtig liegen sonst wird man bei weiteren Versuchen auch beim korrekten Passwort die Antwort bekommen: "Falsches Passwort". Wartet man aber nach 10 Versuchen 1 Minute, kann man dann wieder 10 Versuche probieren usw.

    Also wenn ich 10.000 Versuche pro Minute via Netzwerk durchprobieren kann, wird es bei dieser Einstellung dem Angreifer nahezu unmoeglich gemacht, Brute Force erfolgreich anzuwenden. Wenn er aber weiss, dass 10/1 eingestellt ist, muss er alle 10 Versuche ein Paeuschen einlegen. Damit dauern 10.000 Versuche aber nun 1001 Minute mindestens. Das heisst, wenn er theoretisch innerhalb einer Woche das Passwort gefunden haette, sind es nun 1001 Wochen oder auch >19 Jahre. Viel Vergnuegen.

    Anhang: Hat man aber eine der "neuen" MS-Accounts als Login, kann man nur raten, welche Sicherheitseinstellungen tatsaechlich benutzt werden.



    2 mal bearbeitet, zuletzt am 23.02.18 11:52 durch bombinho.

  4. Re: Passwörter sind nicht das Problem

    Autor: EynLinuxMarc 23.02.18 - 13:41

    Also deutsche bank kann 6 pins auf der karte benutzen, NUN was bringt mir das wenn 80% der Läden nur 4 Pins Eingabe erlauben. ^^

    @ bombinho
    Hmm ich würde das noch so machen das nach 5 mal falsch, nur wider neu anfangen kannst wenn Windows neu gestartet hast. ;-)

    Asus M5A99FX UEFI und GPT,FX 8350 8Core 4.2Ghz,16GB Speicher,Win 10 Enterprise 1803 17134.254 RTM, Firefox 63a1x64, Thunderbird 60 Relase x64, MSOffice 365 Personal(Office 2016) , Radeon HD7770,SSD 4x 256/480/500/500GB, extern 5TB HD ,Bluray, Es Kracht die Music mit Z506 u. SB Z, Viren Per Norton Security mit Backup v22.15.0.88



    2 mal bearbeitet, zuletzt am 23.02.18 13:45 durch EynLinuxMarc.

  5. Re: Passwörter sind nicht das Problem

    Autor: bombinho 23.02.18 - 20:31

    EynLinuxMarc schrieb:
    --------------------------------------------------------------------------------
    > Hmm ich würde das noch so machen das nach 5 mal falsch, nur wider neu
    > anfangen kannst wenn Windows neu gestartet hast. ;-)

    Diese Option kenne ich nicht.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, Hamburg
  2. Paulinenpflege Winnenden, Winnenden
  3. SCHWENK Zement KG, Ulm
  4. SICK AG, Waldkirch bei Freiburg im Breisgau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 59,79€ inkl. Rabatt
  2. bei Alternate vorbestellen
  3. ab 119,98€ (Release 04.10.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

  1. Telefónica: 5G-Ausbau würde "uns rund 76 Milliarden Euro kosten"
    Telefónica
    5G-Ausbau würde "uns rund 76 Milliarden Euro kosten"

    Laut Berechnungen der Telefónica wäre ein breiter 5G-Ausbau mit den bisher diskutierten Frequenzen praktisch unbezahlbar. In Deutschland wären dafür über 200.000 Mobilfunkstandorte erforderlich.

  2. Bundesnetzagentur: Verbraucherzentrale sieht Funklöcher bei 5G vorprogrammiert
    Bundesnetzagentur
    Verbraucherzentrale sieht Funklöcher bei 5G vorprogrammiert

    Der Verbraucherzentrale Bundesverband kritisiert, dass die ländlichen Regionen schlecht mit 5G versorgt werden sollen. Die Versprechungen von ruckelfreiem Surfen und weniger Funklöchern könnten so nicht eingehalten werden

  3. Microsoft: In der Data Box erreichen Daten die Azure-Cloud per Post
    Microsoft
    In der Data Box erreichen Daten die Azure-Cloud per Post

    Microsoft erweitert sein Data-Box-Angebot um eine SSD und einen 1-Petabyte-Kasten. Kunden können auf den Datenträgern ihre Dateien speichern, verschlüsseln und per Post an Microsoft senden. Zwei weitere Systeme bringen die Datenmigration in die Cloud auch online voran.


  1. 19:29

  2. 18:44

  3. 18:07

  4. 17:30

  5. 17:10

  6. 16:50

  7. 16:26

  8. 16:05