Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Wie oft eigentlich noch

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 09:26

    Fällt eigentlich NIEMANDEN der Fehler auf?

    Oder bin ich der letzte normale Mensch auf der Erde? Ther's now 501,636,842 Passwords!

    Zum Vergleich Deutsch hat ca. 23 Millionen Wörter. Hmm. Aber naja müssen wir halt 5%&6/&&zu:,;7!"* als PW nehmen.

    Das Problem sind NICHT die Kennwörter sondern das man die Daten überhaupt abgreifen konnte. Also haben die Unternehmen Mist gebaut und wir Nutzer dürfen es noch mehr ausbaden.

    Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut genutzt werden.

    Das bitte nicht jetzt mit oAuth usw. beantworten, sondern wirklich eine generelle Lösung!

    Aber das würde bedeuten das sich "das" Internet mal zusammen setzen müsste um EINE Lösung zu bauen!

  2. Re: Wie oft eigentlich noch

    Autor: Hansdampf99 23.02.18 - 09:48

    Dein Ansatz ist löblich, aber Phantasiedenken.
    "Man müsste mal", "das Internet sollte sich..."...

    Die Welt ist nicht nur schwarz/weiss und existiert sogar zu 95% eher in Graustufen.
    Menschen sind selbstorientiert, trieb- und herdengesteuert und das wird auch so bleiben. Daher ist es gut für die 10%, "die sich damit auskennen" etwas wie oAuth/facebook/google/twitter logins anzubieten (Anzahl zu merkender Passwörter reduzieren) und die restlichen % so gut es geht mit Workarounds zu schützen.

    Ich bin bei dir, natürlich sollte man das Problem an der Quelle beheben. Initiativen wie "lets encrypt" helfen dort. Man muss sich aber bewusst sein, daß vor allem junge Firmen sich erst einmal auf die eigene Kernkompetenz konzentrieren und mit den knappen Euros das Wachstum fördern, anstatt in 5-7 stellige Security Audits zu investieren.

  3. Re: Wie oft eigentlich noch

    Autor: Danijoo 23.02.18 - 09:50

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr
    > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > genutzt werden.

    Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer authentifizieren wenn er an einem anderen Gerät sitzt ohne sich einzuloggen?

  4. Re: Wie oft eigentlich noch

    Autor: _2xs 23.02.18 - 09:59

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Keycard, Personalausweis. Bräuchte blos ein Reader in jedes Gerät integriert werden.

    Er hat recht. Passwörter sind Mist. Das ist nicht Kundenfreundlich.

  5. Re: Wie oft eigentlich noch

    Autor: cbug 23.02.18 - 10:11

    Schreckliche Vorstellung

  6. Re: Wie oft eigentlich noch

    Autor: Hunv 23.02.18 - 10:11

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Das Problem sind NICHT die Kennwörter

    Etwas aus dem Zusammenhang gerissen, ABER:
    Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.

    Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine Wunschvorstellung.

  7. Re: Wie oft eigentlich noch

    Autor: gaym0r 23.02.18 - 11:17

    Erst überhaupt nicht an die Hashes kommen, wäre was...

  8. Re: Wie oft eigentlich noch

    Autor: bombinho 23.02.18 - 11:30

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Indem mit dem Geraet ein Einmalpasswort ausgehandelt wird.
    Allerdings muesste der Nutzer streng darauf achten, dass er sich auch wieder ausloggt.
    Die Aushandlung muesste mit Hilfe einer tragbaren Vorrichtung erfolgen, welche unabhaengig Daten transportiert. Zum Beispiel ein Handy, auf welchem via SMS ein Code empfangen wird.
    Nach dem Logout ist das beliebig komplizierte Passwort wieder frei. Versuch mal eine Kollision mit 2048 Bit Pseudozufallszahl + 32bit Zufallszahl, von einem anderem System erstellt, zu erzielen.

  9. Re: Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 13:31

    Lasst mich halt mal Träumen - irgendwann muss es soweit kommen !

  10. Re: Wie oft eigentlich noch

    Autor: das_mav 24.02.18 - 23:08

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?


    Gar nicht, woher will er denn wissen ob da nicht ein RAT/Keylogger/sobstwas drauf ist?

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  11. Re: Wie oft eigentlich noch

    Autor: d/cYpher 04.03.18 - 08:54

    Hunv schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das Problem sind NICHT die Kennwörter
    >
    > Etwas aus dem Zusammenhang gerissen, ABER:
    > Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder
    > teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch
    > SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen
    > werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken
    > eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.
    >
    > Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine
    > Wunschvorstellung.
    Auch salzen bringt nicht genug. Der Aufwand, eine eigene Rainbow-Table für das gesalzene PW aufzubauen, ist zu gering. Und darauf, dass nur der SQL geknackt wird, kann man sich auch nicht verlassen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. Omniga GmbH & Co. KG, Regensburg
  3. Dürr Systems AG, Bietigheim-Bissingen
  4. Bosch Gruppe, Immenstaad am Bodensee

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 59,99€/69,99€ mit Vorbesteller-Preisgarantie (Release 28.09.)
  2. 12,99€
  3. 14,99€
  4. 47,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
Leistungsschutzrecht
So viel Geld würden die Verlage von Google bekommen

Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
Eine Analyse von Friedhelm Greis

  1. Netzpolitik Willkommen im europäischen Filternet
  2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
  3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

  1. iOS 12: Apples Carplay unterstützt nun Google Maps
    iOS 12
    Apples Carplay unterstützt nun Google Maps

    Mit iOS 12 hat Apple seinen Carplay-Dienst um die Unterstützung von Mapping-Diensten von Drittanbietern ergänzt. Als erstes lässt sich Google Maps auf dem Autodisplay nutzen.

  2. Nach Chemnitz-Äußerungen: Seehofer holt sich Verfassungsschutzchef Maaßen
    Nach Chemnitz-Äußerungen
    Seehofer holt sich Verfassungsschutzchef Maaßen

    Nach seinen umstrittenen Äußerungen zu ausländerfeindlichen Angriffen muss Verfassungsschutzpräsident Maaßen seinen Posten räumen und wird zum Staatssekretär befördert. Im NSA-Ausschuss war er durch unbelegte Vorwürfe gegen US-Whistleblower Edward Snowden aufgefallen.

  3. Videoportal: Youtube Gaming wird abgeschafft
    Videoportal
    Youtube Gaming wird abgeschafft

    Die Nutzer finden die Trennung zwischen Youtube und Youtube Gaming zu verwirrend, jetzt zieht das Videoportal die Konsequenzen: Spieleinhalte sind künftig im normalen Angebot zu finden - mit ein paar spannenden Extras.


  1. 07:24

  2. 19:02

  3. 18:30

  4. 18:24

  5. 17:45

  6. 15:11

  7. 15:00

  8. 13:40