1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Microsoft will Passwort…

Hat nur leider den gegenteiligen Effekt ...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Hat nur leider den gegenteiligen Effekt ...

    Autor: Dadie 28.05.16 - 15:01

    In dem Microsoft den Raum der möglichen Passwörter einschränkt, reduziert Microsoft faktisch die Sicherheit des Passworts. Ähnlichen "Unsinn" hat man sich ja schon bei PayPal einfallen lassen. Dort sind Passwörter sofort "unsicher", wenn irgendwo der Teilstring "asd" oder "sdf" auftaucht (gibt aber AFAIK noch weite illegale Teilstrings). Hatte leider nur den Effekt, dass in Cracker-Kreisen entsprechende Algos. angepasst wurden und die Cracker nun noch schneller zu einem gültigen Passwort kommen, weil schlicht der Passwort-Raum drastisch gesenkt wurde.

    Passwörter wie "Passwort", "Love1234" oder "12345" müssen erhalten bleiben. Nicht damit User diese benutzen, sondern damit Cracker diese Passwörter ausprobieren müssen, weil die Chance besteht, dass der Nutzer dieses Passwort gewählt hat.

  2. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: Keep The Focus 28.05.16 - 15:09

    ob der cracker jetzt 1000 Passwörter mehr oder weniger durchprobiert, macht das Kraut auch nicht mehr fett

  3. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: unbuntu 28.05.16 - 15:17

    Dadie schrieb:
    --------------------------------------------------------------------------------
    > und die
    > Cracker nun noch schneller zu einem gültigen Passwort kommen, weil schlicht
    > der Passwort-Raum drastisch gesenkt wurde.

    Drastisch? Es werden ein paar der billigsten Passwörter verboten, mehr nicht. Du tust so als gäbe es nur 100 mögliche Passwörter...

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  4. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: lear 28.05.16 - 16:27

    Grundsätzlich ist die Kritik berechtigt, passt hier aber nicht ;-)

    Die Regularien bzgl. Groß/Kleinschreibung, Zahlen und Sonderzeichen senken effektiv die Entropie des Passwortes, sie machen also "sichere" Passwörter unsicherer.

    Blacklists treffen aber "unsichere" Passwörter; Also solche, die ohnehin in Wörterbüchern auftauchen - die Entropie ist hier eh' NULLLKOMMANIX, da gibt's nichts mehr zu senken (die Passwörter sind nicht zufällig)


    Wenn ich aber so einen Schwachsinn hier lese:

    "Dieses Passwort wird bereits verwendet, suchen Sie ein anderes"

    bezweifele ich doch ernsthaft, daß die Verantwortlichen wissen was sie tun.
    Wörterbuchverifikation frei Haus. Danke, Microsoft.
    Ich kriege also ein gültiges Passwort und muß damit nur noch die Accounts abgrasen um einen Login zu kapern.
    Auauauauauauaaaa m(

  5. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: derats 28.05.16 - 17:50

    lear schrieb:
    --------------------------------------------------------------------------------
    > "Dieses Passwort wird bereits verwendet, suchen Sie ein anderes"
    >
    > bezweifele ich doch ernsthaft, daß die Verantwortlichen wissen was sie
    > tun.
    > Wörterbuchverifikation frei Haus. Danke, Microsoft.

    +1

    Zeigt außerdem, dass sie offenbar keine Salts benutzen, sonst müsste für diesen Test das fragliche Passwort für jeden Account in deren DB separat gehasht werden (i.e. für n Accounts muss jeder Hash+Salt abgerufen werden, das fragliche Passwort wird mit dem Salt gehasht und dann verglichen), was nicht praktikabel ist - es sei denn es werden keine Salts genutzt.

  6. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: Wallbreaker 28.05.16 - 18:58

    Dadie schrieb:
    --------------------------------------------------------------------------------
    > Passwörter wie "Passwort", "Love1234" oder "12345" müssen erhalten bleiben.
    > Nicht damit User diese benutzen, sondern damit Cracker diese Passwörter
    > ausprobieren müssen, weil die Chance besteht, dass der Nutzer dieses
    > Passwort gewählt hat.

    Das glaubst doch nicht ernsthaft? Einen Brute-Forcer interessiert das herzlich wenig, ob da etwas fehlt oder weggelassen werden muss. Das reduziert den Aufwand nicht ansatzweise, wenn die Passwörter komplex sein müssen, da sie sonst abgelehnt werden. Und alles was komplex ist kann ein Brute-Forcer nicht länger adressieren, und schon gar nicht wenn es Delays und IP-Sperren gibt. Die schlechten Passwörter auszusondern ist rein positiv. Vom rechnerischen Standpunkt her, ist der Bereich der billigen Passwörter sehr schnell abgearbeitet, dass fällt nicht einmal unter Arbeit.

  7. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: Wallbreaker 28.05.16 - 19:04

    lear schrieb:
    --------------------------------------------------------------------------------
    > Die Regularien bzgl. Groß/Kleinschreibung, Zahlen und Sonderzeichen senken
    > effektiv die Entropie des Passwortes, sie machen also "sichere" Passwörter
    > unsicherer.

    Du meinst wohl das Einschränken dieser Zeichen? Weil die Nutzung selbst steigert die Entropie erheblich.

    > Wenn ich aber so einen Schwachsinn hier lese:
    >
    > "Dieses Passwort wird bereits verwendet, suchen Sie ein anderes"
    >
    > bezweifele ich doch ernsthaft, daß die Verantwortlichen wissen was sie
    > tun.
    > Wörterbuchverifikation frei Haus. Danke, Microsoft.
    > Ich kriege also ein gültiges Passwort und muß damit nur noch die Accounts
    > abgrasen um einen Login zu kapern.
    > Auauauauauauaaaa m(

    looool ;D
    Da hat man wohl nur bis zur nächsten Ecke gedacht. Aber auch die Hashes werden nicht gesalzen, sonst würden sie ja Rainbow-Tables ausschliessen.

  8. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: Pete Sabacker 28.05.16 - 19:06

    derats schrieb:
    --------------------------------------------------------------------------------
    > Zeigt außerdem, dass sie offenbar keine Salts benutzen, sonst müsste für
    > diesen Test das fragliche Passwort für jeden Account in deren DB separat
    > gehasht werden (i.e. für n Accounts muss jeder Hash+Salt abgerufen werden,
    > das fragliche Passwort wird mit dem Salt gehasht und dann verglichen), was
    > nicht praktikabel ist - es sei denn es werden keine Salts genutzt.

    Was? Welcher Test? Warum benutzen sie zwangsweise keine Salts?



    1 mal bearbeitet, zuletzt am 28.05.16 19:07 durch Pete Sabacker.

  9. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: Wallbreaker 28.05.16 - 19:10

    unbuntu schrieb:
    --------------------------------------------------------------------------------
    > Drastisch? Es werden ein paar der billigsten Passwörter verboten, mehr
    > nicht. Du tust so als gäbe es nur 100 mögliche Passwörter...

    Nun ja je nach Passwort sind die Kombinationen nicht gerade bedeutend hoch. Am liebsten wäre mir wenn Unicode-Passwörter möglich wären. Wird aber wohl aus Kompatibilitätsgründen ein Traum bleiben. Hätte aber dennoch was, wenn bereits ein 5 stelliges Passwort unknackbar wäre, bei 1,2 Millionen möglichen Zeichen pro Stelle. Auch wenn der ASCII-Zeichensatz schon eine ganze Menge ermöglicht. ;D

  10. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: JackyChun 28.05.16 - 21:10

    lear schrieb:
    --------------------------------------------------------------------------------

    > Wenn ich aber so einen Schwachsinn hier lese:
    >
    > "Dieses Passwort wird bereits verwendet, suchen Sie ein anderes"
    >
    > bezweifele ich doch ernsthaft, daß die Verantwortlichen wissen was sie
    > tun.
    > Wörterbuchverifikation frei Haus. Danke, Microsoft.
    > Ich kriege also ein gültiges Passwort und muß damit nur noch die Accounts
    > abgrasen um einen Login zu kapern.
    > Auauauauauauaaaa m(

    Man ernsthaft? Du denkst weil dort steht "Dieses Passwort wird bereits verwendet, suchen Sie ein anderes" prüfen die ob ein Passwort tatsächlich bereits in Benutzung ist? Da könnte auch stehen "Für Käsekuchen benötigen sie folgende Zutaten:..." das ist einfach nur ein Satz um auszudrücken "Ne das Passwort kannste bei uns nicht benutzen weil es in jedem Wörterbuch zu den ersten 1000 geprüften gehört."
    Mehr nicht. Daraus rückzuschließen das hier keine Salts genutzt werden ist, gelinde gesagt, naiv. Ja ist denn heute noch Freitag?

    Live with an open mind, or die with your mouth shut.

  11. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: lear 28.05.16 - 21:15

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Du meinst wohl das Einschränken dieser Zeichen? Weil die Nutzung selbst
    > steigert die Entropie erheblich.

    Während die Erweiterung des Zeichensatzes die Entropie steigert, wird sie durch Vorgaben zur Struktur wieder eingeschränkt.
    Letzteres (8-13 Zeichen, mind. eine Zahl und ein Sonderzeichen) wird gerne gespielt um schwache Passwörter zu verhindern (das Ergebnis ist dann meist "p455w0r7" - wie groß ist schon die W'keit, daß ein Hacker 1337 spricht ...)

    Groteskes Bsp.: 2 Zeichen, alphanumerisch, case insensitive.
    Buchstaben ODER Zahlen: 36^2 Kombinationen (1296)
    "Mind. eine Zahl": 10^2+2*10*26 Kombinationen (620 - weil "mind." gerne "genau" interpretiert wird: eher 520)


    Zur Hash-Problematik:
    *Theoretisch* könnten sie eine zweite Datenbank unterhalten, die die ungesalzenen Hashes (oder den Klartext ...) zählt (also ohne Zuordnung zu den accounts)
    Wohlgemert: "theoretisch"...
    (aber wer soweit kommt, hätte vorher vermutlich bemerkt, daß die Bekanntgabe valider Passwörter eine selten dämliche Idee ist)

  12. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: lear 28.05.16 - 21:22

    Soweit ich den Golem-Artikel richtig verstanden habe, gibt es unterschiedliche Begründungen.

    Ob und wie clever MS die Leute damit in die Irre führt, kann ich ohne meinen Aluhut nicht beurteilen.
    Ich kann mich nur an die gegebenen Informationen halten und die implizieren erstmal keine besonders clevere Vorgehensweise.

    Zur Saltproblematik hatte ich mich übrigens bis dato überhaupt nicht geäußert; das vordergründige Problem ist die Aussage zur generellen Passwortvalidität gegenüber jedermann (ohne daß direkter Zugriff auf die Datenbank erfolgen muß)

  13. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: JackyChun 28.05.16 - 22:22

    Ja aber sorry das ist doch keine Frage von implizieren. Das ist doch eine Frage von Wissen, Erfahrung und gesundem Menschenverstand. Das sind doch keine Idioten oder Amateure. Keiner würde so einen Check machen und das noch nichtmal aus den naheliegendsten Gründen: erhöht die Unsicherheit, erleichtert es Hackern usw.

    Ne auch aus technischer Sicht ist das Unsinn. Wir reden von einer "Select Password from AllExistingUsers,UserEntry where Password.UserEntry = Password.AllExistinUsers" Querry. Kannst du dir vorstellen wie lange so ein Querry bei einem Anbieter wie Microsoft dauern würde? Da denken die Benutzer schnell da hat was nicht geklappt. Weiter würde solch ein Vergleich wahrscheinlich schon nach kurzer Zeit aber sicherlich mittelfristig dazu führen das Benutzer n-fache Versuche machen müssten um ein gültiges Passwort zu finden, und bei jedem Versuch wieder ein Querry, welche den User warten lässt und die Server belastet. Es ist ja nicht umsonst so, dass Pw-Wörterbücher Top-Listen haben.

    Live with an open mind, or die with your mouth shut.

  14. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: lear 28.05.16 - 22:59

    Ich weiß nicht was sie tun. Ich weiß, was der Golem-Artikel über ihre Aussagen zur Passwortkollision sagt.
    Letztere kann (und muß) man kritisieren.

    Wenn das insgeheim nach dem BOFH excuse-of-the-day Modell funktioniert: schön*
    Darauf zu spekulieren entbehrt aber jeder seriösen Grundlage, MS kann das ja klarstellen.

    * sehr schön sogar, das würde ich zu gerne sehen >-)

  15. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: Keep The Focus 28.05.16 - 23:23

    natürlich kann man unicode passwörter, die die Zeichen ausschöpfen dann noch vernünftig eintipppen - nicht

  16. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: violator 28.05.16 - 23:43

    Dadie schrieb:
    --------------------------------------------------------------------------------
    > In dem Microsoft den Raum der möglichen Passwörter einschränkt, reduziert
    > Microsoft faktisch die Sicherheit des Passworts.

    Was ist das denn für ne dämliche Logik? Demnach würde ja jeder die Sicherheit einschränken, wenn der vorgibt, dass das PW ne bestimmte Länge und Sonderzeichen etc. haben muss, weils nunmal viele Kombinationen ausschließt. O_o

  17. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: RipClaw 29.05.16 - 00:25

    Pete Sabacker schrieb:
    --------------------------------------------------------------------------------
    > derats schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Zeigt außerdem, dass sie offenbar keine Salts benutzen, sonst müsste für
    > > diesen Test das fragliche Passwort für jeden Account in deren DB separat
    > > gehasht werden (i.e. für n Accounts muss jeder Hash+Salt abgerufen
    > werden,
    > > das fragliche Passwort wird mit dem Salt gehasht und dann verglichen),
    > was
    > > nicht praktikabel ist - es sei denn es werden keine Salts genutzt.
    >
    > Was? Welcher Test? Warum benutzen sie zwangsweise keine Salts?

    lt. dem Blog Post will Microsoft all zu häufig verwendete Passwörter sperren. Aber um das zu machen müssen sie die Passwortdatenbank schnell durchsuchen können was nicht möglich ist wenn man einen Salt verwendet.
    Ein Beispiel das Passwort "Passwort" sieht als MD5 Hash z.B. so aus:

    f6e04d6e87ef69d67207bc32030717dd

    Das ist ohne Salt. Aber wenn man ein Verfahren mit Salt verwendet wie z.B. MD5-Crypt dann kann das gleiche Passwort völlig verschieden aussehen:

    $1$hF/1T70G$wSuwKSM/vxmDcNmw8148T0
    $1$KcIla2Bm$kntokmyNimhRGjegOhNnL/
    $1$bdpsOCdo$KqsRdQPrsSvmVKOWeLywM/
    $1$jViNR/LV$92g8IzKSJMN1wUkblP5IS.
    $1$1efNNiUg$ukcAfZsOT1a4SONqmhZtN0
    $1$/hGs3VCc$ieTam28OMnjenDCtgw8VF0

    Jedesmal ist das Passwort "Passwort" aber effektiv durchsuchbar ist das nicht und bei Millionen von Passwörtern in der Datenbank kann man nicht das aktuell eingegebene Passwort gegen jedes Passwort in der Datenbank testen um festzustellen ob es schon mal benutzt wurde.

    Alternativ kann ich mir vorstellen das Microsoft eine separate Datenbank pflegt in der jedes Passwort abgelegt wird das jemals eingegeben wurde aber die müssen mindestens mit einem Hash Verfahren gesichert werden damit nicht einfach jemand die Datenbank klaut und das ganze als Passwortliste zum knacken der Accounts verwendet.

  18. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: bombinho 29.05.16 - 01:31

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > lt. dem Blog Post will Microsoft all zu häufig verwendete Passwörter
    > sperren. Aber um das zu machen müssen sie die Passwortdatenbank schnell
    > durchsuchen können was nicht möglich ist wenn man einen Salt verwendet.
    > Ein Beispiel das Passwort "Passwort" sieht als MD5 Hash z.B. so aus:
    >
    > f6e04d6e87ef69d67207bc32030717dd

    Solange kein pseudozufaelliger Salt mit zu grosser Komplexitaet verwendet wird, laesst sich eine solche Datenbank als InMemoryDB fuer zig Millionen Kunden nahezu verzoegerungsfrei abfragen. Bei 50 Mio. Kunden sollte eine CustomDatenbank mit Index gerademal ~3GB fressen (z.B. fuer SHA256) . Das kann noch eine performante Workstation wuppen. Wenn es mehr wird, da geht noch ganz viel in Hardware.

    Da Passwortaenderungen wesentlich seltener sind als Abfragen, kann man sich beim Einpflegen Zeit lassen.

  19. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: bombinho 29.05.16 - 01:48

    Generell sollte man Aussagen von Microsoft bezueglich eines Passwortes mit einer Prise Salz nehmen. Schon seit Urzeiten kann man z.B. bei den Geschaeftsversionen von Windows einstellen, dass bei Bruteforce gelogen wird. Da kann man bis zum juengsten Tag probieren und es kommt immer die Antwort, dass das Passwort falsch ist, ob das stimmt oder nicht.

    Also fuer Bruteforce ohne direkten Zugriff auf die Daten der Datenbank wuerde ich heutzutage noch nichteinmal einen Gedanken verschwenden.

  20. Re: Hat nur leider den gegenteiligen Effekt ...

    Autor: css_profit 29.05.16 - 10:31

    violator schrieb:
    --------------------------------------------------------------------------------

    > Was ist das denn für ne dämliche Logik? Demnach würde ja jeder die
    > Sicherheit einschränken, wenn der vorgibt, dass das PW ne bestimmte Länge
    > und Sonderzeichen etc. haben muss, weils nunmal viele Kombinationen
    > ausschließt. O_o

    Und was ist daran falsch?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Tegel Projekt GmbH, Berlin
  2. Dasko GmbH, Wietzendorf
  3. procilon IT-Solutions GmbH, Sachsen
  4. Vodafone GmbH, Düsseldorf, Ratingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Computer-Zubehör, Fernseher und Games zu Aktionspreisen)
  2. (u. a. Die Sims 4 Vollversion und Add-ons günstiger (PC-Code Origin))


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberpunk 2077: So wunderbar kaputt!
Cyberpunk 2077
So wunderbar kaputt!

Auch nach einem Monat mit Cyberpunk 2077 sind uns schlechte Grafik auf der PS4 oder die zahlreichen Bugs egal. Die toll inszenierte Dystopie macht uns nachdenklich und wird über Jahre unerreicht bleiben. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch und Sebastian Grüner

  1. CD Projekt Red Crunch trifft auf Cyberpunk 2077
  2. Open Source Niemand hat die Absicht, Sicherheitslücken zu schließen
  3. Disney+ Disney muss seinen Katalog aufstocken

Akkuforschung: Keine Superakkus, sondern einfach bessere Kathoden
Akkuforschung
Keine Superakkus, sondern einfach bessere Kathoden

Die großen Herausforderungen der Forschung an Akkus sind mehr Energiedichte und weniger Abhängigkeit von Rohstoffen.
Von Frank Wunderlich-Pfeiffer

  1. EU-Kommission Tesla kann von EU-Batterieförderung profitieren
  2. Akkuforschung Wie Lithium-Akkus noch mehr Energie speichern sollen
  3. Akkuforschung 2020 In Zukunft gibt es spottbillige Akkus in riesigen Mengen

IT-Security outsourcen: Besser als gar keine Sicherheit
IT-Security outsourcen
Besser als gar keine Sicherheit

Security as a Service (SECaaS) verspricht ein Höchstmaß an Sicherheit. Das Auslagern eines so heiklen Bereichs birgt jedoch auch Risiken.
Von Boris Mayer

  1. Joe Biden Stellenanzeige im Quellcode von Whitehouse.gov versteckt
  2. Sturm auf Kapitol Pelosis Laptop sollte Russland angeboten werden
  3. Malware Offenbar Ermittlungen gegen Jetbrains nach Solarwinds-Hack

  1. Wallstreetbets: Gamestop sollte jetzt Valve übernehmen
    Wallstreetbets
    Gamestop sollte jetzt Valve übernehmen

    Investoren sollten auf den Gamestop-Trollzug aufspringen und versuchen, Valve zu übernehmen. Dafür müsste nur Gabe Newell in Rente gehen.

  2. 2,1 GHz: Telekom erweitert 5G-Netz mit 225 MBit/s
    2,1 GHz
    Telekom erweitert 5G-Netz mit 225 MBit/s

    Der Ausbau des langsameren 5G geht bei der Telekom weiter. Auch mehr LTE-Standorte wurden aufgebaut. Immerhin 400 Standorte haben das schnelle Gigabit-5G.

  3. Homeoffice: Jitsi-Team startet eigenes Hosting-Angebot
    Homeoffice
    Jitsi-Team startet eigenes Hosting-Angebot

    Die Macher des freien Videochats Jitsi bieten nun auch sorgenfreies Hosting der Software. Das soll die Nutzung in anderen Apps vereinfachen.


  1. 14:00

  2. 13:30

  3. 13:15

  4. 13:00

  5. 13:00

  6. 12:45

  7. 12:00

  8. 11:55