Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Passwörter sind nicht das Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter sind nicht das Problem

    Autor: Sven Weihusen 23.02.18 - 10:10

    Die EC-Karte kommt mit 4 Ziffern aus. Das Problem ist das man tonnenweise Passwörter testen kann. Wenn jeder neue Versuch mindestens 15 Sekunden braucht stört das den normalen Benutzer, der das richtige eingibt, praktisch gar nicht, selbst wenn er sich mal vertippt. Zum Durchprobieren ist das aber tödlich. Und wer sein PW nach 5-10 Versuchen nicht hat, der braucht eh ein neues. Selbst wenn man jemanden damit böswillig aussperren kann, ist es für die Firma interessant, weil sie dann weiß, das sie attackiert wird.
    Der ganze Blödsinn mit komplizierten PW die alle 3 Monate gewechselt werden für am Ende dazu, das man was einfaches nimmt, das man sich merken kann, denn in den meisten Firmen gibt es kein Single-sign-on sondern X verschiedene Passwörter plus die privaten. Wer sichere Passwörter will mus die Menge reduzieren!

  2. Re: Passwörter sind nicht das Problem

    Autor: corruption 23.02.18 - 10:54

    EC Karte nutzt ja nicht den Pin für die Transportverschlüsselung, sondern es wird der private Key von der Karte genutzt, diesen gibst du mit der Pin frei. Die gehen sogar soweit, dass dort ein Controller drauf ist der speziell diesen Key speichert und Krypto macht für digitale Signaturen. Das Stichwort ist Secure Element / Security CoProcessor.
    Ohne private Key keinen Zugriff. Wenn du für jeden Dienst so eine Authentifizierungs-Karte hättest wäre das auch okay! Hast du aber nicht.

    Und dann ist ein 4-stelliges PW einfach fahrlässig.... das mit der Zeit erhöhen im Algorithmus stimmt aber, das wird auch in der Praxis schon gemacht ( https://codahale.com/how-to-safely-store-a-password/ )

  3. Re: Passwörter sind nicht das Problem

    Autor: bombinho 23.02.18 - 11:44

    corruption schrieb:
    --------------------------------------------------------------------------------
    > Und dann ist ein 4-stelliges PW einfach fahrlässig.... das mit der Zeit
    > erhöhen im Algorithmus stimmt aber, das wird auch in der Praxis schon
    > gemacht ( codahale.com )

    Das ist ein furchtbar alter Hut, er wird nur in Windows z.B. standardmaessig ausgeschaltet, obwohl er vorhanden ist.

    Dann ist es aber zusaetzliche Sicherheit, dass dem potentiellen Angreifer auch dann gesagt wird, dass das Passwort falsch ist, wenn es richtig ist.

    Nehmen wir an, es ist eingestellt: 10 Versuche, 1 Minute Wartezeit. Dann kann man 9 mal falsch raten muss aber beim 10. Mal richtig liegen sonst wird man bei weiteren Versuchen auch beim korrekten Passwort die Antwort bekommen: "Falsches Passwort". Wartet man aber nach 10 Versuchen 1 Minute, kann man dann wieder 10 Versuche probieren usw.

    Also wenn ich 10.000 Versuche pro Minute via Netzwerk durchprobieren kann, wird es bei dieser Einstellung dem Angreifer nahezu unmoeglich gemacht, Brute Force erfolgreich anzuwenden. Wenn er aber weiss, dass 10/1 eingestellt ist, muss er alle 10 Versuche ein Paeuschen einlegen. Damit dauern 10.000 Versuche aber nun 1001 Minute mindestens. Das heisst, wenn er theoretisch innerhalb einer Woche das Passwort gefunden haette, sind es nun 1001 Wochen oder auch >19 Jahre. Viel Vergnuegen.

    Anhang: Hat man aber eine der "neuen" MS-Accounts als Login, kann man nur raten, welche Sicherheitseinstellungen tatsaechlich benutzt werden.



    2 mal bearbeitet, zuletzt am 23.02.18 11:52 durch bombinho.

  4. Re: Passwörter sind nicht das Problem

    Autor: EynLinuxMarc 23.02.18 - 13:41

    Also deutsche bank kann 6 pins auf der karte benutzen, NUN was bringt mir das wenn 80% der Läden nur 4 Pins Eingabe erlauben. ^^

    @ bombinho
    Hmm ich würde das noch so machen das nach 5 mal falsch, nur wider neu anfangen kannst wenn Windows neu gestartet hast. ;-)

    Asus M5A99FX UEFI und GPT,FX 8350 8Core 4.2Ghz,16GB Speicher,Win 10 Enterprise 1803 17134.254 RTM, Firefox 63a1x64, Thunderbird 60 Relase x64, MSOffice 365 Personal(Office 2016) , Radeon HD7770,SSD 4x 256/480/500/500GB, extern 5TB HD ,Bluray, Es Kracht die Music mit Z506 u. SB Z, Viren Per Norton Security mit Backup v22.15.0.88



    2 mal bearbeitet, zuletzt am 23.02.18 13:45 durch EynLinuxMarc.

  5. Re: Passwörter sind nicht das Problem

    Autor: bombinho 23.02.18 - 20:31

    EynLinuxMarc schrieb:
    --------------------------------------------------------------------------------
    > Hmm ich würde das noch so machen das nach 5 mal falsch, nur wider neu
    > anfangen kannst wenn Windows neu gestartet hast. ;-)

    Diese Option kenne ich nicht.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. maxon motor GmbH, Sexau nahe Freiburg im Breisgau
  2. Rolls-Royce Power Systems AG, Friedrichshafen
  3. BEUMER Group, Beckum (Raum Münster, Dortmund, Bielefeld)
  4. Oschmann Comfortbetten GmbH, Coburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,49€
  2. (-8%) 54,99€
  3. 18,49€
  4. 29,95€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Überwachung: Wenn die Firma heimlich ihre Mitarbeiter ausspioniert
Überwachung
Wenn die Firma heimlich ihre Mitarbeiter ausspioniert

Videokameras, Wanzen, GPS-Tracker, Keylogger - es gibt viele Möglichkeiten, mit denen Firmen Mitarbeiter kontrollieren können. Nicht wenige tun das auch und werden dafür mitunter bestraft. Manchmal kommen sie aber selbst mit heimlichen Überwachungsaktionen durch. Es kommt auf die Gründe an.
Von Harald Büring

  1. Österreich Bundesheer soll mehr Daten bekommen
  2. Datenschutz Chinesische Kameraüberwachung hält Bus-Werbung für Fußgänger
  3. Überwachung Infosystem über Funkzellenabfragen in Berlin gestartet

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

  1. Urheberrecht: Wikipedia aus Protest gegen Uploadfilter abgeschaltet
    Urheberrecht
    Wikipedia aus Protest gegen Uploadfilter abgeschaltet

    Erstmals in ihrer fast 18-jährigen Geschichte ist die deutschsprachige Wikipedia für einen Tag lang nicht zu erreichen. Auch die Wikipedia-Autoren in drei anderen Ländern protestieren auf diese Weise gegen Uploadfilter.

  2. DNS NET: Großes Glasfaserprojekt in Sachsen-Anhalt wird umgesetzt
    DNS NET
    Großes Glasfaserprojekt in Sachsen-Anhalt wird umgesetzt

    Im Landkreis Börde geht das Großprojekt Glasfaserausbau der ARGE Breitband und DNS:NET weiter. Nach Problemen wegen fehlender Tiefbaukapazität wird jetzt ausgebaut.

  3. Huawei: Dorothee Bär verurteilt Anbieter-Blaming bei 5G
    Huawei
    Dorothee Bär verurteilt Anbieter-Blaming bei 5G

    Die Staatsministerin für Digitalisierung steht hinter der Entscheidung der Bundesregierung, alle 5G-Ausrüster gleich zu behandeln. Huawei müsse die gleichen Anforderungen erfüllen wie auch Ericsson und Nokia.


  1. 00:13

  2. 20:33

  3. 19:04

  4. 18:22

  5. 18:20

  6. 17:26

  7. 16:48

  8. 16:40