1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Was bringt ein komplexes Passwort?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was bringt ein komplexes Passwort?

    Autor: McWiesel 08.04.19 - 12:29

    Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren Bruteforce erraten.

    Und bei welchem anderen System funktioniert sowas? Welcher Server im Internet, welcher Router, welches sonstige Gerät erlaubt hunderte vom Einlogg-Versuchen pro Sekunde, die es benötigt, um wenigstens 3BIER in einer vernünftigen Gesamtzeit als Kennwort zu erraten?

    Die meisten Systeme haben nach mehr als 5 Versuchen eine Zeitsperrre, erwarten ein zweiten Faktor oder sogar ein Anruf beim Kundensupport, der dann auch weitere Daten als zweiten Faktor erfragt.

    Also, solang mein Passwort nicht auf den Top10 Passwortlisten vertreten und in keinem Lexikon aufgelistet ist, halte ich es für dermaßen sinnlos hier 14 Stellen mit allerlei Sonderzeichen einzugeben. Denn dann kann es schlichtweg nicht erraten werden. Alle anderen Szenarien setzen eine Sicherheitslücke im System voraus und dann kann sowohl 3BIER als auch /&§$&hasdjhgKM|!° aus einer korrupten Datenbank, aufgebrochene Verschlüsselung o.ä. zurückgerechnet werden.



    2 mal bearbeitet, zuletzt am 08.04.19 12:31 durch McWiesel.

  2. Re: Was bringt ein komplexes Passwort?

    Autor: endless 08.04.19 - 12:30

    Wenn aber die Datenbank gehackt und gedumpt wird hat der Angreifer das Passwort lokal auf seiner Maschine und kann solange und so oft testen wie er will.

  3. Re: Was bringt ein komplexes Passwort?

    Autor: dabbes 08.04.19 - 13:19

    In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext sondern nur der Hash und mit dem kann man nix anfangen.

  4. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 13:43

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext
    > sondern nur der Hash und mit dem kann man nix anfangen.
    Die Sicherheit des gehashten Passwortes hängt aber vom verwendeten Hash-Algorithmus und eben der Komplexität (Länge etc.) des Passwortes ab. Der Hash eines 6-stelliges Passwortes ist heutzutage trivial knackbar, egal welcher Hash-Algorithmus verwendet wurde...

  5. Passworthash

    Autor: nohoschi 08.04.19 - 14:19

    Vor allem wird der Pasworthash durch ein langes Passwort kein bisschen länger oder kompliziertert, weswegen wir ja Hashes verwenden.

  6. Re: Was bringt ein komplexes Passwort?

    Autor: nohoschi 08.04.19 - 14:28

    Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und die Mindestlänge um zwei Stellen erhöhen.

    Der Login ist die Verteidungslinie, der Hash+SALT die für den Fall, dass die erste Linie schon umgangen worden ist. Der SALT erhöht den Aufwand für einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung der Verteidigungslinie schlagen zu können.

    Der Login und das Passwort sind für Menschen, gegen Computer verwendet man am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein öffentlicher und privater Schlüssel nahe.

    Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und bleibt sinnvoll.

  7. Re: Was bringt ein komplexes Passwort?

    Autor: SJ 08.04.19 - 14:50

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext

    Ah ja? Verschiedene Datenlecks in jüngster Vergangenheit zeigen aber eine andere Realität auch - nicht zuletzt auch bei Facebook.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 14:56

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und
    > die Mindestlänge um zwei Stellen erhöhen.
    Ich habe nie irgendwas von extremen Passwortlängen gesagt?
    Damit Passwörter nicht unvernünftig lang sein müssen, sollten zum hashen moderne Verfahren eingesetzt werden. Aber auch die nützen natürlich nichts bei sehr kurzen Passwörtern.

    > Der Login ist die Verteidungslinie,
    Nicht wirklich, die Liste mit den Passworthashes ist das, wo alle ran wollen.
    Niemand probiert 1000x den normalen Passwortlogin des Webservers.

    > der Hash+SALT die für den Fall, dass
    > die erste Linie schon umgangen worden ist.

    Haben die Angreifer die Passworthashliste ergattert, diese aber gescheit gehasht und gesalzen, dann ist man mit einem guten Passwort relativ sicher, die Angreifer greifen sich die schlechten Passwörter und ziehen (erstmal) weiter.

    > Der SALT erhöht den Aufwand für
    > einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung
    > der Verteidigungslinie schlagen zu können.
    Der Salt verhindert nur einen Angriff mit einer Rainbow-Table, also quasi im Vorfeld "gespeicherter" Bruteforce. Gegen Bruteforce an sich hilft er nicht.

    > Der Login und das Passwort sind für Menschen, gegen Computer verwendet man
    > am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein
    > öffentlicher und privater Schlüssel nahe.
    Leute die mit asymmetrischer Verschlüsselung (Schlüsseln) umgehen können, sollten mit Passwörtern eigentlich auch keine Probleme haben...

    > Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und
    > bleibt sinnvoll.

    Wer sein Passwort für Email noch irgendwo anders benutzt, handelt grob fahrlässig. Zumindest das sollte Gebetsmühlenartig verbreitet werden.
    Wenn damit der Kopf noch nicht platzt, dann eigene Passwörter für alle wichtigen Logins predigen.
    Und so weiter...

  9. Re: Was bringt ein komplexes Passwort?

    Autor: bummelbär 08.04.19 - 15:05

    Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für alle, oder sogar gleich im Klartext in der Datenbank steht? Das Passwort wird doch heute von den Serverbetreibern auf dem Silbertablett serviert. Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.

    Vielleicht wirds was mit Webauthn. Ich frage mich nur, wie ich das auf allen Geräten, die irgendwelche Logins benötigen, verwenden soll. Ich hab zwar so ein paar Hardwaretokens, aber viel anfangen kann ich mit denen bisher nicht. Was schade ist. Vielleicht verbreitet sich das ja noch und es gibt einfach verwendbare offene Libs, für alle.

  10. Re: Was bringt ein komplexes Passwort?

    Autor: Auspuffanlage 08.04.19 - 16:39

    bummelbär schrieb:
    --------------------------------------------------------------------------------
    > Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt
    > mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern
    > ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für
    > alle, oder sogar gleich im Klartext in der Datenbank steht?
    Mitarbeiter mit Zugriff auf die Tabelle würden sich freuen...

    Besser kein Klartext ;)

    > Das Passwort
    > wird doch heute von den Serverbetreibern auf dem Silbertablett serviert.
    Wie meinst du diese Aussage?
    > Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz
    > nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.
    Da sage ich noch nichts zu ;)

  11. Re: Was bringt ein komplexes Passwort?

    Autor: violator 08.04.19 - 16:51

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht.

    Äh doch? Weil der Aufwand sich mit jedem zusätzlichen Zeichen stark erhöht. Und je nach Varianz der verwendeten Zeichen sogar extrem. PCs werden aber nicht in der Art dauernd schneller.
    aaaaaaaaaa könnte man in 59min knacken.
    aaaaaaaaaaa bräuchte 1 Tag.
    aaaaaaaaaaaa 4 Wochen.
    Rein rechnerisch.



    1 mal bearbeitet, zuletzt am 08.04.19 16:52 durch violator.

  12. Re: Was bringt ein komplexes Passwort?

    Autor: SchrubbelDrubbel 08.04.19 - 20:51

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich
    > vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren
    > Bruteforce erraten.
    >
    Unfug, PKZIP ist geknackt. Und mit der Plaintextattacke gehts noch schneller. 13 Bytes brauch man nur.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SAP, Hallbergmoos
  2. DEKRA SE, Stuttgart
  3. Dataport, Hamburg
  4. LDB Analytics Services GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 295,00€ (Bestpreis!)
  2. (u. a. Farming Simulator 19 für 17,99€, The Surge 2 für 39,99€, The Guild 2 Gold Edition für...
  3. 149,00€ (Bestpreis! zzgl. Versandkosten)
  4. 499,00€ (Bestpreis! zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

Red Dead Redemption 2 für PC angespielt: Schusswechsel mit Startschwierigkeiten
Red Dead Redemption 2 für PC angespielt
Schusswechsel mit Startschwierigkeiten

Die PC-Version von Red Dead Redemption 2 bietet schönere Grafik als die Konsolenfassung - aber nach der Installation dauert es ganz schön lange bis zum ersten Feuergefecht in den Weiten des Wilden Westens.

  1. Rockstar Games Red Dead Redemption 2 belegt 150 GByte auf PC-Festplatte
  2. Rockstar Games Red Dead Redemption 2 erscheint für Windows-PC und Stadia
  3. Rockstar Games Red Dead Online wird zum Rollenspiel

  1. Tele Columbus: Rocket Internet kauft größeren Anteil an United Internet
    Tele Columbus
    Rocket Internet kauft größeren Anteil an United Internet

    Rocket Internet hat sich für 320 Millionen Euro bei United Internet eingekauft. Beide Firmen haben Anteile an dem Kabelnetzbetreiber Tele Columbus.

  2. 5G: Ausschluss von Huawei führt "zur schlimmsten Gefahr"
    5G
    Ausschluss von Huawei führt "zur schlimmsten Gefahr"

    Im Bundestag wurde trotz einer Entscheidung der Kanzlerin noch einmal die Huawei-Frage bei 5G diskutiert. Kein einzelner Staat und auch keine einzelne Firma könne allein solche Systeme beherrschen, betonte ein Experte.

  3. Malware-Schutz: Microsofts Defender ATP soll 2020 für Linux kommen
    Malware-Schutz
    Microsofts Defender ATP soll 2020 für Linux kommen

    Die Sicherheitssoftware und Malware-Schutz Defender ATP von Microsoft soll im kommenden Jahr auch auf Linux laufen. Eine Mac-Version gibt es bereits seit einem halben Jahr.


  1. 20:03

  2. 18:05

  3. 17:22

  4. 15:58

  5. 15:26

  6. 14:55

  7. 13:17

  8. 12:59