1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Was bringt ein komplexes Passwort?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was bringt ein komplexes Passwort?

    Autor: McWiesel 08.04.19 - 12:29

    Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren Bruteforce erraten.

    Und bei welchem anderen System funktioniert sowas? Welcher Server im Internet, welcher Router, welches sonstige Gerät erlaubt hunderte vom Einlogg-Versuchen pro Sekunde, die es benötigt, um wenigstens 3BIER in einer vernünftigen Gesamtzeit als Kennwort zu erraten?

    Die meisten Systeme haben nach mehr als 5 Versuchen eine Zeitsperrre, erwarten ein zweiten Faktor oder sogar ein Anruf beim Kundensupport, der dann auch weitere Daten als zweiten Faktor erfragt.

    Also, solang mein Passwort nicht auf den Top10 Passwortlisten vertreten und in keinem Lexikon aufgelistet ist, halte ich es für dermaßen sinnlos hier 14 Stellen mit allerlei Sonderzeichen einzugeben. Denn dann kann es schlichtweg nicht erraten werden. Alle anderen Szenarien setzen eine Sicherheitslücke im System voraus und dann kann sowohl 3BIER als auch /&§$&hasdjhgKM|!° aus einer korrupten Datenbank, aufgebrochene Verschlüsselung o.ä. zurückgerechnet werden.



    2 mal bearbeitet, zuletzt am 08.04.19 12:31 durch McWiesel.

  2. Re: Was bringt ein komplexes Passwort?

    Autor: endless 08.04.19 - 12:30

    Wenn aber die Datenbank gehackt und gedumpt wird hat der Angreifer das Passwort lokal auf seiner Maschine und kann solange und so oft testen wie er will.

  3. Re: Was bringt ein komplexes Passwort?

    Autor: dabbes 08.04.19 - 13:19

    In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext sondern nur der Hash und mit dem kann man nix anfangen.

  4. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 13:43

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext
    > sondern nur der Hash und mit dem kann man nix anfangen.
    Die Sicherheit des gehashten Passwortes hängt aber vom verwendeten Hash-Algorithmus und eben der Komplexität (Länge etc.) des Passwortes ab. Der Hash eines 6-stelliges Passwortes ist heutzutage trivial knackbar, egal welcher Hash-Algorithmus verwendet wurde...

  5. Passworthash

    Autor: nohoschi 08.04.19 - 14:19

    Vor allem wird der Pasworthash durch ein langes Passwort kein bisschen länger oder kompliziertert, weswegen wir ja Hashes verwenden.

  6. Re: Was bringt ein komplexes Passwort?

    Autor: nohoschi 08.04.19 - 14:28

    Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und die Mindestlänge um zwei Stellen erhöhen.

    Der Login ist die Verteidungslinie, der Hash+SALT die für den Fall, dass die erste Linie schon umgangen worden ist. Der SALT erhöht den Aufwand für einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung der Verteidigungslinie schlagen zu können.

    Der Login und das Passwort sind für Menschen, gegen Computer verwendet man am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein öffentlicher und privater Schlüssel nahe.

    Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und bleibt sinnvoll.

  7. Re: Was bringt ein komplexes Passwort?

    Autor: SJ 08.04.19 - 14:50

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext

    Ah ja? Verschiedene Datenlecks in jüngster Vergangenheit zeigen aber eine andere Realität auch - nicht zuletzt auch bei Facebook.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 14:56

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und
    > die Mindestlänge um zwei Stellen erhöhen.
    Ich habe nie irgendwas von extremen Passwortlängen gesagt?
    Damit Passwörter nicht unvernünftig lang sein müssen, sollten zum hashen moderne Verfahren eingesetzt werden. Aber auch die nützen natürlich nichts bei sehr kurzen Passwörtern.

    > Der Login ist die Verteidungslinie,
    Nicht wirklich, die Liste mit den Passworthashes ist das, wo alle ran wollen.
    Niemand probiert 1000x den normalen Passwortlogin des Webservers.

    > der Hash+SALT die für den Fall, dass
    > die erste Linie schon umgangen worden ist.

    Haben die Angreifer die Passworthashliste ergattert, diese aber gescheit gehasht und gesalzen, dann ist man mit einem guten Passwort relativ sicher, die Angreifer greifen sich die schlechten Passwörter und ziehen (erstmal) weiter.

    > Der SALT erhöht den Aufwand für
    > einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung
    > der Verteidigungslinie schlagen zu können.
    Der Salt verhindert nur einen Angriff mit einer Rainbow-Table, also quasi im Vorfeld "gespeicherter" Bruteforce. Gegen Bruteforce an sich hilft er nicht.

    > Der Login und das Passwort sind für Menschen, gegen Computer verwendet man
    > am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein
    > öffentlicher und privater Schlüssel nahe.
    Leute die mit asymmetrischer Verschlüsselung (Schlüsseln) umgehen können, sollten mit Passwörtern eigentlich auch keine Probleme haben...

    > Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und
    > bleibt sinnvoll.

    Wer sein Passwort für Email noch irgendwo anders benutzt, handelt grob fahrlässig. Zumindest das sollte Gebetsmühlenartig verbreitet werden.
    Wenn damit der Kopf noch nicht platzt, dann eigene Passwörter für alle wichtigen Logins predigen.
    Und so weiter...

  9. Re: Was bringt ein komplexes Passwort?

    Autor: bummelbär 08.04.19 - 15:05

    Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für alle, oder sogar gleich im Klartext in der Datenbank steht? Das Passwort wird doch heute von den Serverbetreibern auf dem Silbertablett serviert. Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.

    Vielleicht wirds was mit Webauthn. Ich frage mich nur, wie ich das auf allen Geräten, die irgendwelche Logins benötigen, verwenden soll. Ich hab zwar so ein paar Hardwaretokens, aber viel anfangen kann ich mit denen bisher nicht. Was schade ist. Vielleicht verbreitet sich das ja noch und es gibt einfach verwendbare offene Libs, für alle.

  10. Re: Was bringt ein komplexes Passwort?

    Autor: Auspuffanlage 08.04.19 - 16:39

    bummelbär schrieb:
    --------------------------------------------------------------------------------
    > Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt
    > mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern
    > ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für
    > alle, oder sogar gleich im Klartext in der Datenbank steht?
    Mitarbeiter mit Zugriff auf die Tabelle würden sich freuen...

    Besser kein Klartext ;)

    > Das Passwort
    > wird doch heute von den Serverbetreibern auf dem Silbertablett serviert.
    Wie meinst du diese Aussage?
    > Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz
    > nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.
    Da sage ich noch nichts zu ;)

  11. Re: Was bringt ein komplexes Passwort?

    Autor: violator 08.04.19 - 16:51

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht.

    Äh doch? Weil der Aufwand sich mit jedem zusätzlichen Zeichen stark erhöht. Und je nach Varianz der verwendeten Zeichen sogar extrem. PCs werden aber nicht in der Art dauernd schneller.
    aaaaaaaaaa könnte man in 59min knacken.
    aaaaaaaaaaa bräuchte 1 Tag.
    aaaaaaaaaaaa 4 Wochen.
    Rein rechnerisch.



    1 mal bearbeitet, zuletzt am 08.04.19 16:52 durch violator.

  12. Re: Was bringt ein komplexes Passwort?

    Autor: SchrubbelDrubbel 08.04.19 - 20:51

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich
    > vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren
    > Bruteforce erraten.
    >
    Unfug, PKZIP ist geknackt. Und mit der Plaintextattacke gehts noch schneller. 13 Bytes brauch man nur.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ADAC Hansa e.V., Hamburg
  2. Bindt Systems GmbH, Garbsen
  3. Gertraud Gruber Kosmetik GmbH & Co. KG, Rottach-Egern
  4. CITTI Handelsgesellschaft mbH & Co. KG, Kiel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Renault Elektro-Twingo soll nicht schnellladefähig sein
  2. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  3. Renault City K-ZE Dacia plant City-Elektroauto

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Frauen in der Technik Von wegen keine Vorbilder!
  2. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  3. Arbeit Was IT-Recruiting von der Bundesliga lernen kann

  1. Rip and Replace Act: Huawei-Ersatz im US-Mobilfunknetz kostet 1 Milliarde Dollar
    Rip and Replace Act
    Huawei-Ersatz im US-Mobilfunknetz kostet 1 Milliarde Dollar

    Der US-Senat hat dem sogenannten Rip and Replace Act zugestimmt, der die Demontage von Huawei-Technik finanziert. Das politische Verbot wird für den Steuerzahler teuer.

  2. Elektromobilität: Die Post baut keine Streetscooter mehr
    Elektromobilität
    Die Post baut keine Streetscooter mehr

    Der Streetscooter, ein elektrisch angetriebener Lieferwagen aus Aachen, galt als Vorzeigeprojekt der Elektromobilität. Ein wirtschaftlicher Erfolg war das Auto aber nicht. Deshalb hat die Deutsche Post bekannt gegeben, dass sie die Produktion des Elektroautos beende.

  3. 22FDX-Verfahren: Globalfoundries produziert eMRAM-Designs
    22FDX-Verfahren
    Globalfoundries produziert eMRAM-Designs

    Erste Tape-outs noch 2020: Globalfoundries hat die die Fertigung von Chips mit Embedded MRAM aufgenommen, dahinter steht das 22FDX-Verfahren. Foundries wie Samsung arbeiten ebenfalls an eMRAM-Designs.


  1. 18:16

  2. 17:56

  3. 17:05

  4. 16:37

  5. 16:11

  6. 15:48

  7. 15:29

  8. 15:12