Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Wie oft eigentlich noch

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 09:26

    Fällt eigentlich NIEMANDEN der Fehler auf?

    Oder bin ich der letzte normale Mensch auf der Erde? Ther's now 501,636,842 Passwords!

    Zum Vergleich Deutsch hat ca. 23 Millionen Wörter. Hmm. Aber naja müssen wir halt 5%&6/&&zu:,;7!"* als PW nehmen.

    Das Problem sind NICHT die Kennwörter sondern das man die Daten überhaupt abgreifen konnte. Also haben die Unternehmen Mist gebaut und wir Nutzer dürfen es noch mehr ausbaden.

    Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut genutzt werden.

    Das bitte nicht jetzt mit oAuth usw. beantworten, sondern wirklich eine generelle Lösung!

    Aber das würde bedeuten das sich "das" Internet mal zusammen setzen müsste um EINE Lösung zu bauen!

  2. Re: Wie oft eigentlich noch

    Autor: Hansdampf99 23.02.18 - 09:48

    Dein Ansatz ist löblich, aber Phantasiedenken.
    "Man müsste mal", "das Internet sollte sich..."...

    Die Welt ist nicht nur schwarz/weiss und existiert sogar zu 95% eher in Graustufen.
    Menschen sind selbstorientiert, trieb- und herdengesteuert und das wird auch so bleiben. Daher ist es gut für die 10%, "die sich damit auskennen" etwas wie oAuth/facebook/google/twitter logins anzubieten (Anzahl zu merkender Passwörter reduzieren) und die restlichen % so gut es geht mit Workarounds zu schützen.

    Ich bin bei dir, natürlich sollte man das Problem an der Quelle beheben. Initiativen wie "lets encrypt" helfen dort. Man muss sich aber bewusst sein, daß vor allem junge Firmen sich erst einmal auf die eigene Kernkompetenz konzentrieren und mit den knappen Euros das Wachstum fördern, anstatt in 5-7 stellige Security Audits zu investieren.

  3. Re: Wie oft eigentlich noch

    Autor: Danijoo 23.02.18 - 09:50

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr
    > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > genutzt werden.

    Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer authentifizieren wenn er an einem anderen Gerät sitzt ohne sich einzuloggen?

  4. Re: Wie oft eigentlich noch

    Autor: _2xs 23.02.18 - 09:59

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Keycard, Personalausweis. Bräuchte blos ein Reader in jedes Gerät integriert werden.

    Er hat recht. Passwörter sind Mist. Das ist nicht Kundenfreundlich.

  5. Re: Wie oft eigentlich noch

    Autor: cbug 23.02.18 - 10:11

    Schreckliche Vorstellung

  6. Re: Wie oft eigentlich noch

    Autor: Hunv 23.02.18 - 10:11

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Das Problem sind NICHT die Kennwörter

    Etwas aus dem Zusammenhang gerissen, ABER:
    Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.

    Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine Wunschvorstellung.

  7. Re: Wie oft eigentlich noch

    Autor: gaym0r 23.02.18 - 11:17

    Erst überhaupt nicht an die Hashes kommen, wäre was...

  8. Re: Wie oft eigentlich noch

    Autor: bombinho 23.02.18 - 11:30

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Indem mit dem Geraet ein Einmalpasswort ausgehandelt wird.
    Allerdings muesste der Nutzer streng darauf achten, dass er sich auch wieder ausloggt.
    Die Aushandlung muesste mit Hilfe einer tragbaren Vorrichtung erfolgen, welche unabhaengig Daten transportiert. Zum Beispiel ein Handy, auf welchem via SMS ein Code empfangen wird.
    Nach dem Logout ist das beliebig komplizierte Passwort wieder frei. Versuch mal eine Kollision mit 2048 Bit Pseudozufallszahl + 32bit Zufallszahl, von einem anderem System erstellt, zu erzielen.

  9. Re: Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 13:31

    Lasst mich halt mal Träumen - irgendwann muss es soweit kommen !

  10. Re: Wie oft eigentlich noch

    Autor: das_mav 24.02.18 - 23:08

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?


    Gar nicht, woher will er denn wissen ob da nicht ein RAT/Keylogger/sobstwas drauf ist?

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  11. Re: Wie oft eigentlich noch

    Autor: d/cYpher 04.03.18 - 08:54

    Hunv schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das Problem sind NICHT die Kennwörter
    >
    > Etwas aus dem Zusammenhang gerissen, ABER:
    > Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder
    > teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch
    > SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen
    > werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken
    > eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.
    >
    > Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine
    > Wunschvorstellung.
    Auch salzen bringt nicht genug. Der Aufwand, eine eigene Rainbow-Table für das gesalzene PW aufzubauen, ist zu gering. Und darauf, dass nur der SQL geknackt wird, kann man sich auch nicht verlassen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Kratzer Automation AG, Unterschleißheim
  2. Awinta GmbH, Bietigheim-Bissingen
  3. SSI SCHÄFER Automation GmbH, Giebelstadt
  4. Deloitte, Leipzig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 22,49€
  2. 12,99€
  3. (-12%) 52,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

  1. Quartalsbericht: Netflix erneut mit rückläufigem Kundenwachstum
    Quartalsbericht
    Netflix erneut mit rückläufigem Kundenwachstum

    Netflix kann ein weiteres Mal die selbstgesteckten Ziele bei der Gewinnung neuer Abonnenten nicht ganz erreichen. Doch Gewinn und Umsatz legen stark zu.

  2. Ex-Mars Cube: LED-Zauberwürfel bringt Anfängern das Puzzle bei
    Ex-Mars Cube
    LED-Zauberwürfel bringt Anfängern das Puzzle bei

    Der Ex-Mars Cube hat wie ein herkömmlicher Zauberwürfel sechs Seiten mit je neun Farbkacheln - das System kann allerdings auch als Brettspielwürfel oder Dekolicht genutzt werden und Anfängern die Logik dahinter erklären.

  3. FWA: Huawei verspricht schnellen Glasfaserausbau ohne Spleißen
    FWA
    Huawei verspricht schnellen Glasfaserausbau ohne Spleißen

    Huawei hat Komponenten für den Glasfaserausbau entwickelt, die das Spleißen überflüssig machen sollen. Statt in 360 Minuten könne mit End-to-End-Plug-and-Play der Prozess in nur 36 Minuten erfolgen.


  1. 22:46

  2. 17:41

  3. 16:29

  4. 16:09

  5. 15:42

  6. 15:17

  7. 14:58

  8. 14:43