Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Wie oft eigentlich noch

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 09:26

    Fällt eigentlich NIEMANDEN der Fehler auf?

    Oder bin ich der letzte normale Mensch auf der Erde? Ther's now 501,636,842 Passwords!

    Zum Vergleich Deutsch hat ca. 23 Millionen Wörter. Hmm. Aber naja müssen wir halt 5%&6/&&zu:,;7!"* als PW nehmen.

    Das Problem sind NICHT die Kennwörter sondern das man die Daten überhaupt abgreifen konnte. Also haben die Unternehmen Mist gebaut und wir Nutzer dürfen es noch mehr ausbaden.

    Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut genutzt werden.

    Das bitte nicht jetzt mit oAuth usw. beantworten, sondern wirklich eine generelle Lösung!

    Aber das würde bedeuten das sich "das" Internet mal zusammen setzen müsste um EINE Lösung zu bauen!

  2. Re: Wie oft eigentlich noch

    Autor: Hansdampf99 23.02.18 - 09:48

    Dein Ansatz ist löblich, aber Phantasiedenken.
    "Man müsste mal", "das Internet sollte sich..."...

    Die Welt ist nicht nur schwarz/weiss und existiert sogar zu 95% eher in Graustufen.
    Menschen sind selbstorientiert, trieb- und herdengesteuert und das wird auch so bleiben. Daher ist es gut für die 10%, "die sich damit auskennen" etwas wie oAuth/facebook/google/twitter logins anzubieten (Anzahl zu merkender Passwörter reduzieren) und die restlichen % so gut es geht mit Workarounds zu schützen.

    Ich bin bei dir, natürlich sollte man das Problem an der Quelle beheben. Initiativen wie "lets encrypt" helfen dort. Man muss sich aber bewusst sein, daß vor allem junge Firmen sich erst einmal auf die eigene Kernkompetenz konzentrieren und mit den knappen Euros das Wachstum fördern, anstatt in 5-7 stellige Security Audits zu investieren.

  3. Re: Wie oft eigentlich noch

    Autor: Danijoo 23.02.18 - 09:50

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr
    > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > genutzt werden.

    Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer authentifizieren wenn er an einem anderen Gerät sitzt ohne sich einzuloggen?

  4. Re: Wie oft eigentlich noch

    Autor: _2xs 23.02.18 - 09:59

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Keycard, Personalausweis. Bräuchte blos ein Reader in jedes Gerät integriert werden.

    Er hat recht. Passwörter sind Mist. Das ist nicht Kundenfreundlich.

  5. Re: Wie oft eigentlich noch

    Autor: cbug 23.02.18 - 10:11

    Schreckliche Vorstellung

  6. Re: Wie oft eigentlich noch

    Autor: Hunv 23.02.18 - 10:11

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Das Problem sind NICHT die Kennwörter

    Etwas aus dem Zusammenhang gerissen, ABER:
    Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.

    Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine Wunschvorstellung.

  7. Re: Wie oft eigentlich noch

    Autor: gaym0r 23.02.18 - 11:17

    Erst überhaupt nicht an die Hashes kommen, wäre was...

  8. Re: Wie oft eigentlich noch

    Autor: bombinho 23.02.18 - 11:30

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Indem mit dem Geraet ein Einmalpasswort ausgehandelt wird.
    Allerdings muesste der Nutzer streng darauf achten, dass er sich auch wieder ausloggt.
    Die Aushandlung muesste mit Hilfe einer tragbaren Vorrichtung erfolgen, welche unabhaengig Daten transportiert. Zum Beispiel ein Handy, auf welchem via SMS ein Code empfangen wird.
    Nach dem Logout ist das beliebig komplizierte Passwort wieder frei. Versuch mal eine Kollision mit 2048 Bit Pseudozufallszahl + 32bit Zufallszahl, von einem anderem System erstellt, zu erzielen.

  9. Re: Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 13:31

    Lasst mich halt mal Träumen - irgendwann muss es soweit kommen !

  10. Re: Wie oft eigentlich noch

    Autor: das_mav 24.02.18 - 23:08

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?


    Gar nicht, woher will er denn wissen ob da nicht ein RAT/Keylogger/sobstwas drauf ist?

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  11. Re: Wie oft eigentlich noch

    Autor: d/cYpher 04.03.18 - 08:54

    Hunv schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das Problem sind NICHT die Kennwörter
    >
    > Etwas aus dem Zusammenhang gerissen, ABER:
    > Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder
    > teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch
    > SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen
    > werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken
    > eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.
    >
    > Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine
    > Wunschvorstellung.
    Auch salzen bringt nicht genug. Der Aufwand, eine eigene Rainbow-Table für das gesalzene PW aufzubauen, ist zu gering. Und darauf, dass nur der SQL geknackt wird, kann man sich auch nicht verlassen.

Neues Thema Ansicht wechseln


Dieses Thema wurde geschlossen.

Stellenmarkt
  1. Personalwerk Holding GmbH, Wiesbaden
  2. ENERCON GmbH, Bremen, Aurich, Magdeburg, Kiel
  3. adesso AG, verschiedene Einsatzorte
  4. Robert Bosch GmbH, Reutlingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 39,99€ statt 59,99€
  2. 1.099€
  3. ab 349€
  4. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
    Kreuzschifffahrt
    Wie Brennstoffzellen Schiffe sauberer machen

    Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
    Von Werner Pluta

    1. Roboat MIT-Forscher drucken autonom fahrende Boote
    2. Elektromobilität Norwegen baut mehr Elektrofähren
    3. Elektromobilität Norwegische Elektrofähre ist sauber und günstig

    Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
    Sonnet eGFX Box 650 im Test
    Wenn die Vega 64 am Thinkpad rechnet

    Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Razer Core X eGPU-Box kostet 300 Euro
    2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
    3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

    1. Dying Light 2: Stadtentwicklung mit Schwung
      Dying Light 2
      Stadtentwicklung mit Schwung

      E3 2018 Klettern und kraxeln im Parcours-Stil, dazu tolle Grafik und eine verschachtelte Handlung mit sichtbaren Auswirkungen auf eine riesige Stadt: Das polnische Entwicklerstudio Techland hat für Dying Light 2 große Pläne.

    2. DNS Rebinding: Google Home verrät, wo du wohnst
      DNS Rebinding
      Google Home verrät, wo du wohnst

      Besitzer eines Google Home oder Chromecast können von Webseiten auf wenige Meter genau lokalisiert werden. Hintergrund des Angriffs ist eine Technik namens DNS Rebinding.

    3. Projekthoster: Teahub will gemeinnützige Alternative zu Github erstellen
      Projekthoster
      Teahub will gemeinnützige Alternative zu Github erstellen

      Das Projekt Teahub will eine gemeinnützige Organisation gründen und so mit seiner gleichnamigen Plattform zahlreichen Open-Source-Projekten eine neue Heimat bieten. Der Dienst ist als Alternative zu kommerziellen Hostern wie etwa Github gedacht.


    1. 17:54

    2. 16:21

    3. 14:03

    4. 13:50

    5. 13:31

    6. 13:19

    7. 13:00

    8. 12:53