Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

Wie oft eigentlich noch

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 09:26

    Fällt eigentlich NIEMANDEN der Fehler auf?

    Oder bin ich der letzte normale Mensch auf der Erde? Ther's now 501,636,842 Passwords!

    Zum Vergleich Deutsch hat ca. 23 Millionen Wörter. Hmm. Aber naja müssen wir halt 5%&6/&&zu:,;7!"* als PW nehmen.

    Das Problem sind NICHT die Kennwörter sondern das man die Daten überhaupt abgreifen konnte. Also haben die Unternehmen Mist gebaut und wir Nutzer dürfen es noch mehr ausbaden.

    Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut genutzt werden.

    Das bitte nicht jetzt mit oAuth usw. beantworten, sondern wirklich eine generelle Lösung!

    Aber das würde bedeuten das sich "das" Internet mal zusammen setzen müsste um EINE Lösung zu bauen!

  2. Re: Wie oft eigentlich noch

    Autor: Hansdampf99 23.02.18 - 09:48

    Dein Ansatz ist löblich, aber Phantasiedenken.
    "Man müsste mal", "das Internet sollte sich..."...

    Die Welt ist nicht nur schwarz/weiss und existiert sogar zu 95% eher in Graustufen.
    Menschen sind selbstorientiert, trieb- und herdengesteuert und das wird auch so bleiben. Daher ist es gut für die 10%, "die sich damit auskennen" etwas wie oAuth/facebook/google/twitter logins anzubieten (Anzahl zu merkender Passwörter reduzieren) und die restlichen % so gut es geht mit Workarounds zu schützen.

    Ich bin bei dir, natürlich sollte man das Problem an der Quelle beheben. Initiativen wie "lets encrypt" helfen dort. Man muss sich aber bewusst sein, daß vor allem junge Firmen sich erst einmal auf die eigene Kernkompetenz konzentrieren und mit den knappen Euros das Wachstum fördern, anstatt in 5-7 stellige Security Audits zu investieren.

  3. Re: Wie oft eigentlich noch

    Autor: Danijoo 23.02.18 - 09:50

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel mehr
    > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > genutzt werden.

    Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer authentifizieren wenn er an einem anderen Gerät sitzt ohne sich einzuloggen?

  4. Re: Wie oft eigentlich noch

    Autor: _2xs 23.02.18 - 09:59

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Keycard, Personalausweis. Bräuchte blos ein Reader in jedes Gerät integriert werden.

    Er hat recht. Passwörter sind Mist. Das ist nicht Kundenfreundlich.

  5. Re: Wie oft eigentlich noch

    Autor: cbug 23.02.18 - 10:11

    Schreckliche Vorstellung

  6. Re: Wie oft eigentlich noch

    Autor: Hunv 23.02.18 - 10:11

    VigarLunaris schrieb:
    --------------------------------------------------------------------------------
    > Das Problem sind NICHT die Kennwörter

    Etwas aus dem Zusammenhang gerissen, ABER:
    Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.

    Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine Wunschvorstellung.

  7. Re: Wie oft eigentlich noch

    Autor: gaym0r 23.02.18 - 11:17

    Erst überhaupt nicht an die Hashes kommen, wäre was...

  8. Re: Wie oft eigentlich noch

    Autor: bombinho 23.02.18 - 11:30

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?

    Indem mit dem Geraet ein Einmalpasswort ausgehandelt wird.
    Allerdings muesste der Nutzer streng darauf achten, dass er sich auch wieder ausloggt.
    Die Aushandlung muesste mit Hilfe einer tragbaren Vorrichtung erfolgen, welche unabhaengig Daten transportiert. Zum Beispiel ein Handy, auf welchem via SMS ein Code empfangen wird.
    Nach dem Logout ist das beliebig komplizierte Passwort wieder frei. Versuch mal eine Kollision mit 2048 Bit Pseudozufallszahl + 32bit Zufallszahl, von einem anderem System erstellt, zu erzielen.

  9. Re: Wie oft eigentlich noch

    Autor: VigarLunaris 23.02.18 - 13:31

    Lasst mich halt mal Träumen - irgendwann muss es soweit kommen !

  10. Re: Wie oft eigentlich noch

    Autor: das_mav 24.02.18 - 23:08

    Danijoo schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was wir brauchen sind keine PW-Liste, keine Hacktips, Tips für PW zu
    > > erzeugen und auf jeder Seite ein "anderes" PW zu haben, sondern viel
    > mehr
    > > eine Möglichkeit "einmal" einzuloggen und danach kann die Seitenflut
    > > genutzt werden.
    >
    > Wie genau stellst du dir das denn vor? Wie soll sich ein Nutzer
    > authentifizieren wenn er an einem anderen Gerät sitzt ohne sich
    > einzuloggen?


    Gar nicht, woher will er denn wissen ob da nicht ein RAT/Keylogger/sobstwas drauf ist?

    Dass das Dass mit das verwechselt wird, führt irgendwann dazu, dass das Dass das nicht mehr erträgt und dass das Dass das Das dann tötet.

  11. Re: Wie oft eigentlich noch

    Autor: d/cYpher 04.03.18 - 08:54

    Hunv schrieb:
    --------------------------------------------------------------------------------
    > VigarLunaris schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das Problem sind NICHT die Kennwörter
    >
    > Etwas aus dem Zusammenhang gerissen, ABER:
    > Die gelisteten Kennwörter sind bekannt. D.h. es gibt dazu bereits ganz oder
    > teilweise Rainbowtables, welche gängige Algorithmen wie SHA1, MD5 oder auch
    > SHA256 enthalten. Dadurch müssen die Kennwörter nur noch nachgeschlagen
    > werden und nichtmal mehr "durchprobiert" werden. Dies macht das knacken
    > eines Kennworts, sofern es nicht gesalzen wurden, sehr leicht und riskant.
    >
    > Worauf du hinaus willst wäre super, aber in etwa wie der Weltfrieden - eine
    > Wunschvorstellung.
    Auch salzen bringt nicht genug. Der Aufwand, eine eigene Rainbow-Table für das gesalzene PW aufzubauen, ist zu gering. Und darauf, dass nur der SQL geknackt wird, kann man sich auch nicht verlassen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bosch Gruppe, Leonberg
  2. Dederichs GmbH, Euskirchen
  3. motan Gruppe, Isny
  4. BWI GmbH, Meckenheim oder München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-83%) 3,33€
  2. 18,49€
  3. (-44%) 11,11€
  4. 32,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch


    Microsoft: Die ganz normale, lautlose Cloud-Apokalypse
    Microsoft
    Die ganz normale, lautlose Cloud-Apokalypse

    Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
    Von Sebastian Grüner

    1. Services Gemeinsames Accenture Microsoft Business arbeitet bereits
    2. Business Accenture und Microsoft gründen gemeinsame Service-Sparte
    3. AWS, Azure, Alibaba, IBM Cloud Wo die Cloud hilft - und wo nicht

    Next Generation Car: Das Fahrzeug der Zukunft ist modular
    Next Generation Car
    Das Fahrzeug der Zukunft ist modular

    Ein Fahrzeug braucht eine Kabine und einen Antrieb. Müssen aber beide eine fest verbundene Einheit sein? Forscher des DLR arbeiten an verschiedenen Konzepten für das Auto der Zukunft. Eines davon ist ein modulares Fahrzeug, das für verschiedene Zwecke eingesetzt werden kann.
    Von Werner Pluta

    1. DLR Phylax erkennt Sprengstoffreste per Laser
    2. Raumfahrt DLR testet 3D-gedrucktes Raketentriebwerk
    3. Eden ISS Raumfahrt-Salat für Antarktis-Bewohner

    1. Streaming: Erstes Apple TV mit TVOS erhält neuen Namen
      Streaming
      Erstes Apple TV mit TVOS erhält neuen Namen

      Anlässlich der Vorstellung von Apple TV+ hat Apple eines seiner Streaminggeräte umbenannt. Damit dürfte klar sein, dass das erste Apple TV mit TVOS noch eine Weile im Angebot bleiben wird.

    2. Apple: MacOS Mojave 10.14.4 unterstützt Apple TV Plus
      Apple
      MacOS Mojave 10.14.4 unterstützt Apple TV Plus

      Apple hat die finale Version von MacOS Mojave 10.14.4 veröffentlicht. Das geschieht zeitgleich mit der Freigabe der meisten anderen Betriebssysteme Apples. Das Betriebssystem-Update unterstützt die neuen Zahlungsdienste des Konzerns.

    3. Kuhhandel zu Nord Stream?: Was eine Gaspipeline mit Uploadfiltern zu tun haben könnte
      Kuhhandel zu Nord Stream?
      Was eine Gaspipeline mit Uploadfiltern zu tun haben könnte

      Schon seit Wochen gibt es Spekulationen, dass die Einigung zu Uploadfiltern zwischen Deutschland und Frankreich nicht nur etwas mit dem Urheberrecht zu tun haben könnte. Nun soll es dazu konkrete Hinweise geben.


    1. 07:33

    2. 07:13

    3. 23:12

    4. 20:47

    5. 20:10

    6. 19:41

    7. 19:03

    8. 19:00