1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Yubikey: Nie mehr schlechte Passwörter

Sicherheitsexperten raten

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Sicherheitsexperten raten

    Autor: Beeblox 11.05.15 - 12:49

    Internetuser wissen:

    https://xkcd.com/936/

  2. Re: Sicherheitsexperten raten

    Autor: gardwin 11.05.15 - 13:05

    Tja ob was was hilft?

    https://xkcd.com/538/

  3. Re: Sicherheitsexperten raten

    Autor: most 11.05.15 - 13:17

    Alt, aber witzig und vor allem richtig.

    Ich habe Keepass in der Dropbox mit 12stelligem Passwort(unsinniger Satz) und einem Keyfile lokal auf PC und Handy. 100% sicher? bestimmt nicht. Sicher genug? Hoffen wir es.

    Ein Freund von mir wurde mit Hilfe eines Küchenmessers und seiner EC Karte um 1000¤ erleichtert. Er war etwas alkoholisiert, die Drohung hat vollkommen ausgereicht, weitere Drogen oder rohe Gewalt waren nicht notwendig, damit er seine Pin verrät.

    Einem entfernten Verwandten wurde Gold aus dem Bankschließfach geklaut, Versicherung weigert sich schon seit vielen Jahren den Schaden zu bezahlen.

    Das Leben ist voller Risiken.

  4. Re: Sicherheitsexperten raten

    Autor: derdiedas 11.05.15 - 13:28

    Ja ja der Unsinn mit den Bankschließfächern. 80%+ von denen sind nämlich nicht versichert. Nur noch wenige Banken bieten versicherte Schließfächer an.

    Hätte er das Gold daheim in einen billigen Baumarktsafe getan, die Hausratversicherung hätte es ersetzt.

  5. Re: Sicherheitsexperten raten

    Autor: Cerdo 11.05.15 - 13:58

    Beeblox schrieb:
    --------------------------------------------------------------------------------
    > Internetuser wissen:
    >
    > https://xkcd.com/936/
    Ich wollts grad scheiben :-D

    Blöd nur, dass viele "IT-Fachleute" immernoch glauben, dass das mit den Sonderzeichen wirklich was bringt.
    Immer wieder hab ich das Problem "Sie müssen noch folgende Zeichen verwenden: ..." oder ganz schlimm: das Passwort darf manchmal nicht sehr lang sein. Oft ist bei 20 Zeichen schon Schluss. Als ob man damit den Serverspeicher überlasten würde.

  6. Re: Sicherheitsexperten raten

    Autor: plutoniumsulfat 11.05.15 - 14:59

    Beeblox schrieb:
    --------------------------------------------------------------------------------
    > Internetuser wissen:
    >
    > xkcd.com

    Damit siehst du bei einem Wörterbuchangriff jedoch ziemlich alt aus.

  7. Re: Sicherheitsexperten raten

    Autor: Cerdo 11.05.15 - 15:06

    plutoniumsulfat schrieb:
    --------------------------------------------------------------------------------
    > Beeblox schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Internetuser wissen:
    > >
    > > xkcd.com
    >
    > Damit siehst du bei einem Wörterbuchangriff jedoch ziemlich alt aus.
    Stimmt nicht. Damit probierst du nur die Wörter selbst durch. Wenn du alle Wörter in ihren verschiedenen Kombinationen durchprobieren willst bist du auch Jahre beschäftigt.

  8. Re: Sicherheitsexperten raten

    Autor: most 11.05.15 - 15:10

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Ja ja der Unsinn mit den Bankschließfächern. 80%+ von denen sind nämlich
    > nicht versichert. Nur noch wenige Banken bieten versicherte Schließfächer
    > an.
    >
    > Hätte er das Gold daheim in einen billigen Baumarktsafe getan, die
    > Hausratversicherung hätte es ersetzt.

    Der Baumarktsafe weckt schon wieder Begehrlichkeiten. Eingemauert im Keller ist doch noch am sichersten. Gut, unerwartete Erben bekommen davon vielleicht nichts mit, ein versiegelter Brief beim Notar könnte helfen.
    Aber auch hier: 100% Sicherheit gibt es nicht.

  9. Re: Sicherheitsexperten raten

    Autor: kaymvoit 11.05.15 - 16:06

    Ist wohl eher sinnvoll gegen Brand, also für Unterlagen und Backups.

  10. Re: Sicherheitsexperten raten

    Autor: kaymvoit 11.05.15 - 16:13

    Nicht, dass das nicht im Comic erklärt wäre ...
    Nehmen wir mal NUR den deutschen Duden, ohne Flexionen und Sonderzeichen. Das sind 140.000 Worte. Damit hast Du 3,8416×10²⁰ Kombinationen. Bei 10^10-Versuchen pro Sekunde (davon sind wir vermutlich WEIT entfernt), sind das 1000 Jahre.
    Davon abgesehen entspricht es einem zehnstelligen, schwer zu merkenden Passwort, das aus den 106 einfach einzugebenden Zeichen Deiner Tastatur (ohne Alt Gr) gewählt ist (mit allem Problemen auf fremden Layouts, ich versuche immer, nur Zeichen zu verwenden, die bei AMilayout auch gehen).
    Mit einfachen leetspeak-Ersetzungen und/oder Eigennamen/Flexionen/Slang kommst Du sehr schnell auf eine Entropie, die Du merkbar nicht mit Zufallszeichenketten leisten kannst.

  11. Re: Sicherheitsexperten raten

    Autor: PersilAriel 11.05.15 - 17:07

    Länge schlägt Komplexität.

    Ganz einfach und trotzdem kommt bei 90% der Anmeldemasken im Internet "Bitte ein Passwort mit einer maximalen Länge von 12 Zeichen, Zahlen, Sonderzeichen...". Bullshit, lasst mich mein "der grüne elefant backt autoreifen" nehmen und gut ist. Kann ich mir merken und wird niemals geknackt, also was soll die scheisse mit Sonderzeichen und Zahlen und klein/groß. "k$3fMQd)(2dn", ja das kann ich mir gut merken...

    Lieber die Menschheit terrorisieren und verunsichern und nebenbei Sicherheitssoftware verkaufen..

  12. Re: Sicherheitsexperten raten

    Autor: violator 11.05.15 - 17:56

    Cerdo schrieb:
    --------------------------------------------------------------------------------
    > Blöd nur, dass viele "IT-Fachleute" immernoch glauben, dass das mit den
    > Sonderzeichen wirklich was bringt.

    Natürlich bringts was, weil man dann einen Typ Zeichen mehr austesten muss, wenn man Bruteforce nutzt.

  13. Re: Sicherheitsexperten raten

    Autor: violator 11.05.15 - 17:58

    Aber nur wenn man EIN Wort hat, nicht wenn man mehrere Wörter in unsinnigen Kombinationen hat.

  14. Passwortkomplexität völlig überbewertet

    Autor: Käx 11.05.15 - 18:21

    Das Zeichen muss auch so bei einer BruteForce Attacke getestet werden, wenn es die Eingabemaske zulässt.

    Der springende Punkt ist aber: BruteForce sollte garnicht erst möglich sein in dem Ausmaß. Für sowas gibt's temporäre Sperren für den Account (zuerst nur für die IP dann generell) bzw. verzögerte Reaktion und/oder Captchas. Die Admins, die so hyperkomplizierte Passwörter mit besonderer Komplexität fordern stellen da nur ihre eigene Inkompetenz zur Schau -nämlich dass sie das System nicht vernünftig absichern können.

  15. Re: Sicherheitsexperten raten

    Autor: plutoniumsulfat 11.05.15 - 20:04

    Cerdo schrieb:
    --------------------------------------------------------------------------------
    > plutoniumsulfat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Beeblox schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Internetuser wissen:
    > > >
    > > > xkcd.com
    > >
    > > Damit siehst du bei einem Wörterbuchangriff jedoch ziemlich alt aus.
    > Stimmt nicht. Damit probierst du nur die Wörter selbst durch. Wenn du alle
    > Wörter in ihren verschiedenen Kombinationen durchprobieren willst bist du
    > auch Jahre beschäftigt.

    Und die Wörter zu kombinieren ist Zauberkunst?

  16. Re: Sicherheitsexperten raten

    Autor: Cerdo 11.05.15 - 21:54

    plutoniumsulfat schrieb:
    --------------------------------------------------------------------------------
    > Und die Wörter zu kombinieren ist Zauberkunst?
    Nee, aber aufwendig. Buchstaben zu kombinieren ist auch keine Zauberkunst, aber es gibt eben viele.

    Wenn du wie kaymvoit schreibt im Wörterbuch 140 000 Wörter hast und vier davon aneinander reihst, dann hast du 140 000^4 Möglichkeiten, also 38416x10^16.

  17. Re: Sicherheitsexperten raten

    Autor: plutoniumsulfat 11.05.15 - 22:49

    Dürfte aber immer noch besser kommen als reiner Bruteforce, wenn sich diese Möglichkeit der Passworterstellung weiter verbreitet.

  18. Re: Passwortkomplexität völlig überbewertet

    Autor: spYro 11.05.15 - 23:00

    Schonmal den realen Ablauf von Hackern mitbekommen/nachgelesen?

    1. Sicherheitslücke finden, dump der DB ziehen
    2. Davon ausgehen, dass Passwörter MD5 sind
    3. Rainbowtable der häufigsten x-Millionen Passwörter gegen den Dump laufen lassen
    4. Die Accounts abgreifen, die einen Treffer erzielen

    Bei einem Passwort, das zwischen 8 und 32 Zeichen lang ist, Bruteforced doch keiner. Wenn, dann garantiert nicht mit Sonderzeichen wie "&" o.ä. .
    Von daher ist es schon korrekt zu sagen:
    Ein Sicheres Passwort kann aus einem langen und bekannten Wort/Satz bestehen, bei dem Zeichen so geändert werden, dass Dictionary-Attacken ins leere laufen und Bruteforce zu lange dauert.

    z.B.: "Mein Hut der hat 3 Ecken" Wird durch "Mein1Hut9der8hat83!Ecken" zu einem komplexen und langen Satz, dabei habe ich nur mein Geburtsjahr auf die Leerzeichen aufgeteilt + ein "!" ergänzt.
    Das sind 24 Zeichen, Groß/Kleinschreibung, Zahlen und Sonderzeichen.

    Laut "howsecureismypassword.net" dauert es "14 octillion years" es zu knacken (Bruteforce). Wörterbuchattacken bringen ebenfalls nichts, da es das "eine Wort" nicht gibt, ebenso wenig die Wortverbindungen mit den Zahlen dazwischen.

    Lg

  19. Re: Passwortkomplexität völlig überbewertet

    Autor: YaelSchlichting 12.05.15 - 01:10

    Es gibt genügend Admins, denen kannst Du die /etc/shadow oder .htpasswd unter dem Arsch wegziehen und die merken's nicht. Hernach kannst Du in aller Seelenruhe die Passwörter mit brute force suchen. Heutzutage bietet sich dafür wohl am ehesten ein Bot-Netz an.

  20. Re: Passwortkomplexität völlig überbewertet

    Autor: violator 12.05.15 - 07:33

    Käx schrieb:
    --------------------------------------------------------------------------------
    > Das Zeichen muss auch so bei einer BruteForce Attacke getestet werden, wenn
    > es die Eingabemaske zulässt.

    Ja aber erst später. Zuerst werden ganz normal Buchstaben in Kleinschreibung durchgetestet usw., weil die eben am häufigsten verwendet werden. Erst später dann die ganzen Sonderzeichen. Und je mehr unterschiedliche Typen verwendet werden, umso später würde man beim Bruteforcen erst drauf stoßen.

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. WEINMANN Emergency Medical Technology GmbH & Co. KG, Hamburg
  2. Interhyp Gruppe, München
  3. Lidl Digital, Neckarsulm
  4. HEGLA GmbH & Co. KG, Beverungen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 15,49€
  2. (u. a. Star Wars: Squadrons für 29,99€, Star Wars Jedi: Fallen Order für 29,99€, Star Wars...
  3. gratis


Haben wir etwas übersehen?

E-Mail an news@golem.de


The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
    Vivo X51 im Test
    Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

    Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
    Ein Test von Tobias Költzsch

    1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
    2. Jetpack Compose Android bekommt neues UI-Framework
    3. Google Android bekommt lokale Sharing-Funktion

    CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
    CalyxOS im Test
    Ein komfortables Android mit einer Extraportion Privacy

    Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
    Ein Test von Moritz Tremmel

    1. Alternatives Android im Test /e/ will Google ersetzen