Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Wie oft eigentlich noch

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 09:26

    Fällt eigentlich NIEMANDEN der Fehler auf?

    Oder bin ich der letzte normale Mensch auf der Erde? Ther's now 501,636,842 Passwords!

    Zum Vergleich Deutsch hat ca. 23 Millionen Wörter. Hmm. Aber naja müssen wir halt 5%&6/&&zu:,;7!"* als PW nehmen.

    Das Problem sind NICHT die Kennwörter sondern das man die Daten überhaupt abgreifen konnte. Also haben die Unternehmen Mist gebaut und wir Nutzer dürfen es noch mehr ausbaden.

    Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut genutzt werden.

    Das bitte nicht jetzt mit oAuth usw. beantworten, sondern wirklich eine generelle Lösung!

    Aber das würde bedeuten das sich "das" Internet mal zusammen setzen müsste um EINE Lösung zu bauen!

  2. Re: Wie oft eigentlich noch

    Autor: Hansdampf99 23.02.18 - 09:48

    Dein Ansatz ist löblich, aber Phantasiedenken.
    "Man müsste mal", "das Internet sollte sich..."...

    Die Welt ist nicht nur schwarz/weiss und existiert sogar zu 95% eher in Graustufen.
    Menschen sind selbstorientiert, trieb- und herdengesteuert und das wird auch so bleiben. Daher ist es gut für die 10%, "die sich damit auskennen" etwas wie oAuth/facebook/google/twitter logins anzubieten (Anzahl zu merkender Passwörter reduzieren) und die restlichen % so gut es geht mit Workarounds zu schützen.

    Ich bin bei dir, natürlich sollte man das Problem an der Quelle beheben. Initiativen wie "lets encrypt" helfen dort. Man muss sich aber bewusst sein, daß vor allem junge Firmen sich erst einmal auf die eigene Kernkompetenz konzentrieren und mit den knappen Euros das Wachstum fördern, anstatt in 5-7 stellige Security Audits zu investieren.

  3. Re: Wie oft eigentlich noch

    Autor: Danijoo 23.02.18 - 09:50

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr
    > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > genutzt werden.

    Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer authentifizieren wenn er an einem anderen Gerät sitzt ohne sich einzuloggen?

  4. Re: Wie oft eigentlich noch

    Autor: _2xs 23.02.18 - 09:59

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Keycard, Personalausweis. Bräuchte blos ein Reader in jedes Gerät integriert werden.

    Er hat recht. Passwörter sind Mist. Das ist nicht Kundenfreundlich.

  5. Re: Wie oft eigentlich noch

    Autor: cbug 23.02.18 - 10:11

    Schreckliche Vorstellung

  6. Re: Wie oft eigentlich noch

    Autor: Hunv 23.02.18 - 10:11

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Das Problem sind NICHT die Kennwörter

    Etwas aus dem Zusammenhang gerissen, ABER:
    Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.

    Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine Wunschvorstellung.

  7. Re: Wie oft eigentlich noch

    Autor: gaym0r 23.02.18 - 11:17

    Erst überhaupt nicht an die Hashes kommen, wäre was...

  8. Re: Wie oft eigentlich noch

    Autor: bombinho 23.02.18 - 11:30

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Indem mit dem Geraet ein Einmalpasswort ausgehandelt wird.
    Allerdings muesste der Nutzer streng darauf achten, dass er sich auch wieder ausloggt.
    Die Aushandlung muesste mit Hilfe einer tragbaren Vorrichtung erfolgen, welche unabhaengig Daten transportiert. Zum Beispiel ein Handy, auf welchem via SMS ein Code empfangen wird.
    Nach dem Logout ist das beliebig komplizierte Passwort wieder frei. Versuch mal eine Kollision mit 2048 Bit Pseudozufallszahl + 32bit Zufallszahl, von einem anderem System erstellt, zu erzielen.

  9. Re: Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 13:31

    Lasst mich halt mal Träumen - irgendwann muss es soweit kommen !

  10. Re: Wie oft eigentlich noch

    Autor: das_mav 24.02.18 - 23:08

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?


    Gar nicht, woher will er denn wissen ob da nicht ein RAT/Keylogger/sobstwas drauf ist?

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  11. Re: Wie oft eigentlich noch

    Autor: d/cYpher 04.03.18 - 08:54

    Hunv schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das Problem sind NICHT die Kennwörter
    >
    > Etwas aus dem Zusammenhang gerissen, ABER:
    > Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder
    > teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch
    > SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen
    > werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken
    > eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.
    >
    > Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine
    > Wunschvorstellung.
    Auch salzen bringt nicht genug. Der Aufwand, eine eigene Rainbow-Table für das gesalzene PW aufzubauen, ist zu gering. Und darauf, dass nur der SQL geknackt wird, kann man sich auch nicht verlassen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Delta Energy Systems (Germany) GmbH, Teningen
  2. ESG Elektroniksystem- und Logistik-GmbH, München
  3. Bosch Gruppe, Stuttgart
  4. BWI GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 119,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

  1. Latenz: Der Eine-Millisekunde-Mythos im Mobilfunkstandard 5G
    Latenz
    Der Eine-Millisekunde-Mythos im Mobilfunkstandard 5G

    Der kommende Mobilfunkstandard 5G ist in erster Linie breitbandig und extrem reaktionsschnell. So liest man es immer wieder. Doch was hat es mit der Latenz von einer Millisekunde auf sich?

  2. Dark Vishnya: Kaspersky warnt Banken vor Insider-Angriffen
    Dark Vishnya
    Kaspersky warnt Banken vor Insider-Angriffen

    Der Virenspezialist Kaspersky fand Hardware-basierte Attacken über das lokale Netzwerk in mindestens acht osteuropäischen Bankhäusern. Der Schaden geht in die Millionen Euro. Potenziell gefährdet sein sollen jedoch alle Arten von Unternehmen.

  3. Security: Gehacktes Linux.org zeigte Beleidigungen und Sexismus
    Security
    Gehacktes Linux.org zeigte Beleidigungen und Sexismus

    Die Seite Linux.org sah eine Zeit lang ziemlich anders aus als sonst. Statt News und Tipps zeigte die Domain Beleidigungen in Leetspeak und sexistische Inhalte. Der Grund: Eines der Administratorkonten wurde übernommen. Die Domainverwalter entschuldigen sich.


  1. 12:01

  2. 11:55

  3. 11:54

  4. 11:19

  5. 11:04

  6. 10:49

  7. 10:11

  8. 09:20