-
Nervosität
Autor: Gungosh 03.01.12 - 12:07
...und wieder ist sie geweckt. Meine Nervosität "ich sollte wirklich mal Kennwörter überarbeiten, sichere Kennwörter anlegen, mit einem USB-Stick-Passwort-Safe arbeiten" und so weiter...
Demnächst gehe ich das an.
Ganz bestimmt.
Glaube ich.
Frohes neues Jahr :-)
_____________________________
<loriot>Ach was?</loriot> -
Re: Nervosität
Autor: 9life-Moderator 03.01.12 - 12:13
Was ich dabei erschreckend finde: Da sind einige Passwörter bei, welche ich eigentlich als recht sicher eingestuft hätte.
Ich habe neulich das WLAN für einen Freund eingerichtet und den Router mit einem 20-Stelligem Passwort "verschlossen".
Ich habe die Regeln der Groß- und Kleinschreibung, der Zahlen und der Sonderzeichen berücksichtigt. Doch wie lange würde es dauern, bis so etwas mittels z.B. "BruteForce" geknackt wäre?
Ich würde mir wünschen, dass eine Passwort abfrage bei falscher Anfrage künstliche Pausen einlegt, um der hohen Rechengeschwindigkeit entgegenzuwirken. Quasi nur alle 10 Sekunden eine neue Anfrage akzeptiert. -
Re: Nervosität
Autor: parafin 03.01.12 - 12:26
9life-Moderator schrieb:
> Ich würde mir wünschen, dass eine Passwort abfrage bei falscher Anfrage
> künstliche Pausen einlegt, um der hohen Rechengeschwindigkeit
> entgegenzuwirken. Quasi nur alle 10 Sekunden eine neue Anfrage akzeptiert.
Bringt Dir halt nix wenn der Angreifer wie hier den Hash hat... -
Re: Nervosität
Autor: ThorstenMUC 03.01.12 - 12:29
9life-Moderator schrieb:
--------------------------------------------------------------------------------
> Ich würde mir wünschen, dass eine Passwort abfrage bei falscher Anfrage
> künstliche Pausen einlegt, um der hohen Rechengeschwindigkeit
> entgegenzuwirken. Quasi nur alle 10 Sekunden eine neue Anfrage akzeptiert.
Bei den normalen Pwd-Eingabemasken wird das ja gemacht... und nach x falschen Eingaben ist der Account gesperrt usw...
Nur bringt das nichts, wenn jemand wie hier an die Hashes der Passwörter kommt... der wird ja nicht so blöd sein bei seinem eigenen Test gegen die "Rohdaten" eine Pause einzubauen.
Deshalb:
- Sichere Passwörter sollten keine Wörter aus dem Wörterbuch sein (das wird zuerst durchprobiert - auch leichte Abwandlungen wie Wort123)
- Für unterschiedliche Dienste unterschiedliche Passwörter
- Passwörter sollten eine ausreichende Mindestlänge haben (4-5 Stellige permutiert ein moderner Rechner mal eben an nem Nachmittag durch)
Diese Regeln hört man seit Jahren immer wieder - aber offensichtlich glauben das etliche Nutzer immer noch nicht. -
Re: Nervosität
Autor: Gâteaux 03.01.12 - 12:38
9life-Moderator schrieb:
--------------------------------------------------------------------------------
> Was ich dabei erschreckend finde: Da sind einige Passwörter bei, welche ich
> eigentlich als recht sicher eingestuft hätte.
>
> Ich habe neulich das WLAN für einen Freund eingerichtet und den Router mit
> einem 20-Stelligem Passwort "verschlossen".
Kommt darauf an. WPA2 sollte AES-256 sein, und 20 stellig sagst du? Das dauert noch Jahrzehnte selbst auf NSA-Servern.
Für Domains wie Golem.de nutze Ich grundsätzlich nur low-security-level Passwörter mit 6 Zeichen. Im Falle eines Golem-Hacks würden keine weltbewegenden Daten von mir kompromittiert werden und alles was dann unter meinem Namen gepostet wird kommt eh von einer anderen IP. Für meinen E-Mail Account dürfen es schon 16 Zeichen sein mindestens.
Passwörter wie g3h31m1$$ sind sowieso gequirlte ******** weil es einer Maschine egal ist welche Sonderzeichen sie Bruteforcen muss.
Mit IGHASHGPU v0.90 von Ivan Golubev, http://golubev.com
kannst du bereits mit einer 4 Jahre alten ATI 4870 einen Hash von einem 7 Zeichen starken PW in unter einer Minute knacken, mit jedem Sonderzeichen. Für alles stärkere kann man sich auch Rechenzeit auf Top-Servern mieten.
Was du als recht sicher einstufst ist einem PC vollkommen egal. Der schluckt das Prozentzeichen genauso wie einen Buchstaben.
Lasst den Sonderzeichen und Leetspeak-Wahnsinn Leute, es bringt nichts bei der Passwort-Entropie:
hwaescher schrieb:
--------------------------------------------------------------------------------
> Mein erster Gedanke beim Lesen des Artikels:
> http://xkcd.com/936/
Genau so macht man das ;)
4 mal bearbeitet, zuletzt am 03.01.12 12:41 durch Gâteaux. -
Re: Nervosität
Autor: Gungosh 03.01.12 - 12:54
Merci für kompetente Auskunft :-)
Was mir beispielsweise ziemlich auf den Zeiger geht ist, dass meine EC-Karten-PIN gleichzeitig das 5-stellige Zugangskennwort ist. Hallo? Bank? 5-stellig? Merkbefreit?
Da würde ich erwarten, dass ein deutlich längeres Kennwort für Anmeldungen hinterlegt werden kann und die PIN selbst überhaupt nicht mehr für Anmeldungen verwendet/gebraucht wird.
_____________________________
<loriot>Ach was?</loriot> -
Re: Nervosität
Autor: tingelchen 03.01.12 - 12:57
Dann änder doch dein Kennwort :) Also bei meiner Bank kann ich das. Ich kann sogar einen Benutzernamen festlegen.
-
Re: Nervosität
Autor: c3rl 03.01.12 - 13:01
Gungosh schrieb:
--------------------------------------------------------------------------------
> Was mir beispielsweise ziemlich auf den Zeiger geht ist, dass meine
> EC-Karten-PIN gleichzeitig das 5-stellige Zugangskennwort ist. Hallo? Bank?
> 5-stellig? Merkbefreit?
Genau aus dem Grund hab ich meinen Benutzernamen fürs Onlinebanking auf einen 32 Zeichen langen Zufallstext geändert ;) -
Re: Nervosität
Autor: LH 03.01.12 - 13:38
Gâteaux schrieb:
--------------------------------------------------------------------------------
> > Mein erster Gedanke beim Lesen des Artikels:
> > xkcd.com
>
> Genau so macht man das ;)
Nein, macht man nicht. Wenn es alle so machen würden, wären die Passwörter wieder unsicher.
Der Comic ist zwar nett, aber an sich falsch. Es suggeriert das die bisherige Idee falsch war, und es eine neue bessere gibt.
Der Fehler ist nicht der Ansatz, sondern das alle es gleich machen. In dem Beispiel ist die entropie so niedrig weil das Prinzip, das hinter dem Passwort steht, vorhersehbar ist. In Wirklichkeit, würde das niemand sonst so machen, wäre es wohl um die 70 bits wenn ich mich nicht vertue.
Nutzen alle einfache Sätze, und nutzen dort nur kleinbuchstaben, wären die Passwörter wieder extrem leicht zu erraten. Nur WEIL eben alle komplexe Passwörter nutzen, ist der lange Satz mit simplen Zeichen das was eher am Schluss getestet wird.
Tauchen nun aber vermehrt sehr lange Passwörter auf, so könnten die Tools einfach wörter kombinieren. 4 beliebte Wörter mit Leerstellen getrennt? Da rennt ein Computer doch durchs Oxford Dict. nur so durch. Der Wortschatz der meisten ist arg begrenzt...
Weil es aber unwahrscheinlich war (!) das so etwas jemand heute noch macht, wurde das nicht direkt getestet.
Das sicherste Passwort ist das Passwort, das von den Tools nicht getestet wird. 8-10 stellige, reine Zufallspasswörter, sind noch immer sicher. Aber eben schwer zu merken. Aber wir merken uns eben auch alle Dinge nach dem gleichen Prinzip leicht, und damit ist man immer angreifbar. Vor allem wenn die Prinzipien weit verbreitet werden, die "Tricks". Die kennen eben auch die Leute, welche die Passwörter angreifen wollen, womit man viel an Sicherheit verliert.
Wer also dem Trick von xkcd nun noch folgt begeht einen Fehler. Und das leichte Abwandlungen kaum Helfen dürfte der Artikel ja auch klar gemacht haben. Selbst bei so langen Passwörtern.
Ich bin gespannt wann der erste "correct donkey battery staple" und co. in den Listen auftaucht ;) -
Re: Nervosität
Autor: Gâteaux 03.01.12 - 13:46
LH schrieb:
--------------------------------------------------------------------------------
> Das sicherste Passwort ist das Passwort, das von den Tools nicht getestet
> wird. 8-10 stellige, reine Zufallspasswörter, sind noch immer sicher. Aber
> eben schwer zu merken. Aber wir merken uns eben auch alle Dinge nach dem
> gleichen Prinzip leicht, und damit ist man immer angreifbar. Vor allem wenn
> die Prinzipien weit verbreitet werden, die "Tricks". Die kennen eben auch
> die Leute, welche die Passwörter angreifen wollen, womit man viel an
> Sicherheit verliert.
Du weisst gar nicht wie SEHR du dich irrst. Ich wollte es selbst nicht wahrhaben als ich meine ersten versuche mit dem Prog gemacht habe, aber lade dir IGHASHGPU von http://golubev.com herunter und fange an deinen eigenen PW-Hashes zu bruteforcen! (gute Hardware ist Vorraussetzung)
Random-PW mit 8 Chars auf meiner Machine in unter 15 min erraten.
Random-PW mit 10 Chars in unter einem Tag.
Miete dir einen Server mit einem vielfachen der Leistung meines PC für knapp 50 Euro und knack gleich mal eine ganze Liste von PWs in wenigen Stunden.
Der Comic hat recht, wir haben PWs die schwer sind von Menschen erraten zu werden aber einem PC ist das gerade mal egal.
2 mal bearbeitet, zuletzt am 03.01.12 13:48 durch Gâteaux. -
Re: Nervosität
Autor: Autor-Free 03.01.12 - 14:27
Gungosh schrieb:
--------------------------------------------------------------------------------
> Was mir beispielsweise ziemlich auf den Zeiger geht ist, dass meine
> EC-Karten-PIN gleichzeitig das 5-stellige Zugangskennwort ist. Hallo? Bank?
> 5-stellig?
Meine liebe Bank(Bawag PSK) hat Regeln wie das Passwort aussehen muss. Sprich das Kennwort muss mit einer Zahl beginnen und mit Buchstaben aufhören.
Hallo? Lange Passwörter werden nicht sicher wenn man vorgaben macht wie es aussieht.
1337helm ist nicht sicherer als iamBAUMtortehelfenGEIASOu
teKKno -
Re: Nervosität
Autor: LH 03.01.12 - 14:30
Gâteaux schrieb:
--------------------------------------------------------------------------------
> Der Comic hat recht, wir haben PWs die schwer sind von Menschen erraten zu
> werden aber einem PC ist das gerade mal egal.
Auch das Alternativpasswort im Comic ist unsicher.
Zudem hängt es am Ende auch am Hash-Algorithmus wie viele Versuche am Ende pro Sekunde gemacht werden können. Das hilft wiederum bei den 8-10 stelligen Passwörtern. Reines MD5, auch mit salt, ist kein problem mehr. Mit z.B. bcrypt geht das alles nicht mehr so leicht, und da fängt es wieder an interessant zu werden.
1 mal bearbeitet, zuletzt am 03.01.12 14:34 durch LH. -
Re: Nervosität
Autor: lanzer 03.01.12 - 17:14
Ich lese hier doch sehr viel bullshit über IGHASHGPU zum einem braucht es wesentlich länger zum knacken der Passwörter als hier angegeben wird zum anderem ist das Programm erst bei Version 0.8 (anderer Poster meinte 0.9).
Ich habe gerade einen bruteforce auf ein zwölfstelliges Passwort am laufen (seit 2h) der hat noch nichtmal die erste Stelle gefunden und seit der Countdown auf 0 runter war sagt mir das Tool es braucht noch MINDESTENS SECHS TAGE
Von wegen wenige Stunden/ein Nachmittag! Ich wette keiner von euch hat das Tool bisher RICHTIG gestestet sondern nur die erste Ausgabe der Software hier als definitive ETA gepostet!
> \ighashgpu_v0.80.16.1>ighashgpu.exe -c:a -min:6 -max:12 -t:md5 -h:MD5-HASH
> CURPWD: @U#-(5 DONE: 00.17% ETA: 6d 13h CURSPD: 132.3M
Gesucht wird ein Zwölfstelliges Passwort mit zwei Sonderzeichen und zwei Numerischen Zeichen welches Groß/Kleinbuchstaben enthält... -
Re: Nervosität
Autor: Gâteaux 03.01.12 - 17:28
lanzer schrieb:
--------------------------------------------------------------------------------
> Ich lese hier doch sehr viel bullshit über IGHASHGPU zum einem braucht es
> wesentlich länger zum knacken der Passwörter als hier angegeben wird zum
> anderem ist das Programm erst bei Version 0.8 (anderer Poster meinte 0.9).
>
> Ich habe gerade einen bruteforce auf ein zwölfstelliges Passwort am laufen
> (seit 2h) der hat noch nichtmal die erste Stelle gefunden und seit der
> Countdown auf 0 runter war sagt mir das Tool es braucht noch MINDESTENS
> SECHS TAGE
>
> Von wegen wenige Stunden/ein Nachmittag! Ich wette keiner von euch hat das
> Tool bisher RICHTIG gestestet sondern nur die erste Ausgabe der Software
> hier als definitive ETA gepostet!
>
> > \ighashgpu_v0.80.16.1>ighashgpu.exe -c:a -min:6 -max:12 -t:md5
> -h:MD5-HASH
> > CURPWD: @U#-(5 DONE: 00.17% ETA: 6d 13h CURSPD: 132.3M
>
> Gesucht wird ein Zwölfstelliges Passwort mit zwei Sonderzeichen und zwei
> Numerischen Zeichen welches Groß/Kleinbuchstaben enthält...
Das liegt daran das du sehr viel Halbwissen hast und noch dazu einen stinklahmen PC, wenn man nicht weiss wo man sich die (Alpha-)Betaversionen lädt und es an entsprechender Hardware mangelt dauert es natürlich ewig. Sprich: Du bekommst es nicht gebacken :D
EDIT: Kauf die mal die GTX580 und nen 2600k, dann erzielst du auch Resultate!
-> Computational science (hauptberuflich)
PS: Hoffe das klang jetzt nicht zu sehr gepöbelt.
This software using ATI RV 7X0/8X0 and nVidia "CUDA" video cards to brute-force MD4, MD5 & SHA1 hashes. Speed depends on GPU.
IGHASHGPU v0.93.17.1 ist vom 11-Jan-2011
4 mal bearbeitet, zuletzt am 03.01.12 17:40 durch Gâteaux. -
Re: Nervosität
Autor: lanzer 03.01.12 - 18:37
Na na mir Halbwissen zu unterstellen weil ich eine ältere GPU bemühen musste weil das Tool meine HD 6970 nicht bedienen kann ist schon etwas Grenzwertig und kommt pöbelnd rüber und sorry die letzte auf der HP verlinkte Version ist nunmal: v0.80.16.1 wenn du via Mail oder ein Forum oder woherauchimmer eine andere Version hast ändert das nichts an der Tatsache das auf der HP v0.80.16.1 verlinkt ist als aktuelle Beta...
Zudem sprachen wir ja wohl von Passwort knacken auf Desktop Rechnern oder? Eine GTX580 mit einem 2600K findet man wohl kaum in standard Dektop Rechnern...Sowas haben Gamer oder Grafiker verbaut nicht aber eine 0815 Desktopkiste...
Und wenn du das so gut kannst und die Mördermachine @hand hast: Wie wäre es mit einer Herrausforderung?
bf45d4f8cb7fecb463ac958b9704fef4 24h ab JETZT! -
Re: Nervosität
Autor: Gâteaux 03.01.12 - 19:19
Ne lass mal lieber, nur dass dann so etwas wie:
"dubisteintrottelxdxdxdxd"
herauskommt lass ich den PC nicht 24 h x 1000 Watt ziehen.
Du kannst mir ruhig glauben das es geht, aber ich bin so gesehen von zu
phlegmatischen Wesen als das ich mich auf solche Wettkämpfe einlasse.
Sehe es einfach als dein 2:1 gegen mich ;) -
Re: Nervosität
Autor: Artikelhasser 03.01.12 - 20:16
name: user
pass: password
Darauf wird nie einer kommen. !! -
Re: Nervosität
Autor: d333wd 03.01.12 - 21:42
Bald weiß ja jeder Kleinstblog wie er zu seiner "Wir wurden gehackt"-Hypemaschienerie kommen kann.
~d333wd -
Re: Nervosität
Autor: lanzer 03.01.12 - 21:56
Hehe nee "dubisteintrottelxdxdxdxd" wäre dabei nicht rausgekommen, es wäre "@D0.FlONkH42" gewesen *grabscht nach dem punkt* und ich bin immer noch überzeugt das du es nicht in 24h geschafft hättest!
Vorallem seit ich eine Version gefunden habe mit der ich eine HD 6850 nutzen kann: ighashgpu_v0.90.17.5.zip. Ich komme mit der Version und der Karte auf ~2000M! (Für eine einzelne Mittelklasse GPU garnicht sooo schlecht) Würde aber immernoch über einen Tag brauchen und wer sagt mir das der Counter nicht einfach später dann nochmal nen Tag oderso dranhängt?
Weil:
> ighashgpu.exe /c:a /min:12 /max:12 /fun /cpudontcare /hm:80 /t:md5 /h:bf45d4f8cb7fecb463ac958b9704fef4
> CURPWD: "`jQ "6 DONE: 00.00% ETA: 9878155y 290d CURSPD: 1966.9M
1 mal bearbeitet, zuletzt am 03.01.12 21:58 durch lanzer. -
Abgewandelte Worte vs. Passphrasen
Autor: ID51248 03.01.12 - 22:28
LH schrieb:
--------------------------------------------------------------------------------
> Gâteaux schrieb:
> ---------------------------------------------------------------------------
> -----
> > > Mein erster Gedanke beim Lesen des Artikels:
> > > xkcd.com
> >
> > Genau so macht man das ;)
>
> Nein, macht man nicht. Wenn es alle so machen würden, wären die Passwörter
> wieder unsicher.
>
> Der Comic ist zwar nett, aber an sich falsch. Es suggeriert das die
> bisherige Idee falsch war, und es eine neue bessere gibt.
Sofern man sich für seine zig Web-Logins keine 10 stelligen Zufallszeichenfolgen merken kann, suggeriert er absolut richtig. Ein gängiger Tipp, um sich kryptische Passworte zu merken ist sogar, Sätze daraus zu bilden LllndMiMsz (La le lu nur der Mann im Mond schaut zu). Warum nicht gleich den ganzen Satz schreiben?
Wer denkt er könne sein Lieblingspasswort mit Zahlen-Substitution und 2-3 angehängten Zufallszeichen weiter Benutzen, irrt sich einfach. Der Comic-Autor zeigt, dass man "schlecht zu merken" nicht mit "schlecht zu erraten" gleich setzen darf.
> Der Fehler ist nicht der Ansatz, sondern das alle es gleich machen. In dem
> Beispiel ist die entropie so niedrig weil das Prinzip, das hinter dem
> Passwort steht, vorhersehbar ist. In Wirklichkeit, würde das niemand sonst
> so machen, wäre es wohl um die 70 bits wenn ich mich nicht vertue.
Ich denke, der Comic-Autor hat durchaus Ahnung wovon er schreibt. Er hat ja auch bei der 2. Variante nicht die Brute-Force Entropie (26^25) angegeben, sondern die eines Angreifers, der Wortfolgen erwartet.
Es gibt auf der Seite auch eine längeren Thread dazu, falls sich jemand austoben will:
http://forums.xkcd.com/viewtopic.php?f=7&t=73384
Selbst wenn das 2. Passwort nur gleich-stark wäre, wäre gegenüber dem ersten klar im Vorteil, weil man es sich merken kann. Ein erweiterter Wortschatz verbessert die Entropie übrigens, ohne dass sich der Benutzer besonders Mühe geben muss. "CaptainPicardFurztInDerJeffriesRöhre" hat eine ordentliche Entropie (obwohl es grammatische Regeln befolgt) und ist dennoch leicht zu merken. Gleichzeitig kann man es so zügig eintippen, dass man es nicht so leicht erspähen kann.
Grüße
Sascha



