1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Was bringt ein komplexes Passwort?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was bringt ein komplexes Passwort?

    Autor: McWiesel 08.04.19 - 12:29

    Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren Bruteforce erraten.

    Und bei welchem anderen System funktioniert sowas? Welcher Server im Internet, welcher Router, welches sonstige Gerät erlaubt hunderte vom Einlogg-Versuchen pro Sekunde, die es benötigt, um wenigstens 3BIER in einer vernünftigen Gesamtzeit als Kennwort zu erraten?

    Die meisten Systeme haben nach mehr als 5 Versuchen eine Zeitsperrre, erwarten ein zweiten Faktor oder sogar ein Anruf beim Kundensupport, der dann auch weitere Daten als zweiten Faktor erfragt.

    Also, solang mein Passwort nicht auf den Top10 Passwortlisten vertreten und in keinem Lexikon aufgelistet ist, halte ich es für dermaßen sinnlos hier 14 Stellen mit allerlei Sonderzeichen einzugeben. Denn dann kann es schlichtweg nicht erraten werden. Alle anderen Szenarien setzen eine Sicherheitslücke im System voraus und dann kann sowohl 3BIER als auch /&§$&hasdjhgKM|!° aus einer korrupten Datenbank, aufgebrochene Verschlüsselung o.ä. zurückgerechnet werden.



    2 mal bearbeitet, zuletzt am 08.04.19 12:31 durch McWiesel.

  2. Re: Was bringt ein komplexes Passwort?

    Autor: endless 08.04.19 - 12:30

    Wenn aber die Datenbank gehackt und gedumpt wird hat der Angreifer das Passwort lokal auf seiner Maschine und kann solange und so oft testen wie er will.

  3. Re: Was bringt ein komplexes Passwort?

    Autor: dabbes 08.04.19 - 13:19

    In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext sondern nur der Hash und mit dem kann man nix anfangen.

  4. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 13:43

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext
    > sondern nur der Hash und mit dem kann man nix anfangen.
    Die Sicherheit des gehashten Passwortes hängt aber vom verwendeten Hash-Algorithmus und eben der Komplexität (Länge etc.) des Passwortes ab. Der Hash eines 6-stelliges Passwortes ist heutzutage trivial knackbar, egal welcher Hash-Algorithmus verwendet wurde...

  5. Passworthash

    Autor: nohoschi 08.04.19 - 14:19

    Vor allem wird der Pasworthash durch ein langes Passwort kein bisschen länger oder kompliziertert, weswegen wir ja Hashes verwenden.

  6. Re: Was bringt ein komplexes Passwort?

    Autor: nohoschi 08.04.19 - 14:28

    Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und die Mindestlänge um zwei Stellen erhöhen.

    Der Login ist die Verteidungslinie, der Hash+SALT die für den Fall, dass die erste Linie schon umgangen worden ist. Der SALT erhöht den Aufwand für einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung der Verteidigungslinie schlagen zu können.

    Der Login und das Passwort sind für Menschen, gegen Computer verwendet man am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein öffentlicher und privater Schlüssel nahe.

    Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und bleibt sinnvoll.

  7. Re: Was bringt ein komplexes Passwort?

    Autor: SJ 08.04.19 - 14:50

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext

    Ah ja? Verschiedene Datenlecks in jüngster Vergangenheit zeigen aber eine andere Realität auch - nicht zuletzt auch bei Facebook.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 14:56

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und
    > die Mindestlänge um zwei Stellen erhöhen.
    Ich habe nie irgendwas von extremen Passwortlängen gesagt?
    Damit Passwörter nicht unvernünftig lang sein müssen, sollten zum hashen moderne Verfahren eingesetzt werden. Aber auch die nützen natürlich nichts bei sehr kurzen Passwörtern.

    > Der Login ist die Verteidungslinie,
    Nicht wirklich, die Liste mit den Passworthashes ist das, wo alle ran wollen.
    Niemand probiert 1000x den normalen Passwortlogin des Webservers.

    > der Hash+SALT die für den Fall, dass
    > die erste Linie schon umgangen worden ist.

    Haben die Angreifer die Passworthashliste ergattert, diese aber gescheit gehasht und gesalzen, dann ist man mit einem guten Passwort relativ sicher, die Angreifer greifen sich die schlechten Passwörter und ziehen (erstmal) weiter.

    > Der SALT erhöht den Aufwand für
    > einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung
    > der Verteidigungslinie schlagen zu können.
    Der Salt verhindert nur einen Angriff mit einer Rainbow-Table, also quasi im Vorfeld "gespeicherter" Bruteforce. Gegen Bruteforce an sich hilft er nicht.

    > Der Login und das Passwort sind für Menschen, gegen Computer verwendet man
    > am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein
    > öffentlicher und privater Schlüssel nahe.
    Leute die mit asymmetrischer Verschlüsselung (Schlüsseln) umgehen können, sollten mit Passwörtern eigentlich auch keine Probleme haben...

    > Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und
    > bleibt sinnvoll.

    Wer sein Passwort für Email noch irgendwo anders benutzt, handelt grob fahrlässig. Zumindest das sollte Gebetsmühlenartig verbreitet werden.
    Wenn damit der Kopf noch nicht platzt, dann eigene Passwörter für alle wichtigen Logins predigen.
    Und so weiter...

  9. Re: Was bringt ein komplexes Passwort?

    Autor: bummelbär 08.04.19 - 15:05

    Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für alle, oder sogar gleich im Klartext in der Datenbank steht? Das Passwort wird doch heute von den Serverbetreibern auf dem Silbertablett serviert. Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.

    Vielleicht wirds was mit Webauthn. Ich frage mich nur, wie ich das auf allen Geräten, die irgendwelche Logins benötigen, verwenden soll. Ich hab zwar so ein paar Hardwaretokens, aber viel anfangen kann ich mit denen bisher nicht. Was schade ist. Vielleicht verbreitet sich das ja noch und es gibt einfach verwendbare offene Libs, für alle.

  10. Re: Was bringt ein komplexes Passwort?

    Autor: Auspuffanlage 08.04.19 - 16:39

    bummelbär schrieb:
    --------------------------------------------------------------------------------
    > Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt
    > mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern
    > ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für
    > alle, oder sogar gleich im Klartext in der Datenbank steht?
    Mitarbeiter mit Zugriff auf die Tabelle würden sich freuen...

    Besser kein Klartext ;)

    > Das Passwort
    > wird doch heute von den Serverbetreibern auf dem Silbertablett serviert.
    Wie meinst du diese Aussage?
    > Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz
    > nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.
    Da sage ich noch nichts zu ;)

  11. Re: Was bringt ein komplexes Passwort?

    Autor: violator 08.04.19 - 16:51

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht.

    Äh doch? Weil der Aufwand sich mit jedem zusätzlichen Zeichen stark erhöht. Und je nach Varianz der verwendeten Zeichen sogar extrem. PCs werden aber nicht in der Art dauernd schneller.
    aaaaaaaaaa könnte man in 59min knacken.
    aaaaaaaaaaa bräuchte 1 Tag.
    aaaaaaaaaaaa 4 Wochen.
    Rein rechnerisch.



    1 mal bearbeitet, zuletzt am 08.04.19 16:52 durch violator.

  12. Re: Was bringt ein komplexes Passwort?

    Autor: SchrubbelDrubbel 08.04.19 - 20:51

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich
    > vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren
    > Bruteforce erraten.
    >
    Unfug, PKZIP ist geknackt. Und mit der Plaintextattacke gehts noch schneller. 13 Bytes brauch man nur.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Weleda AG, Schwäbisch Gmünd
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf, Hagen, Köln
  3. über duerenhoff GmbH, Wien (Österreich)
  4. Deutsche Bahn AG, Frankfurt (Main)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 999,90€ + Versand (Vergleichspreis für derzeit günstigste RTX 2080 Ti + EKWB-Kühlblock über 1...
  2. 548€ + 7,99€ Versand (Vergleichspreis CPU 437,99€ und Mainboard 229,90€)
  3. 479€ + Versand (Vergleichspreis 649€)
  4. (aktuell u. a. Seagate Backup Plus Portable 4 TB für 88€ und Expansion+ Desktop 4 TB für 77€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Ein Besuch im tschechischen Grünheide
Elektromobilität
Ein Besuch im tschechischen Grünheide

Der Autohersteller Hyundai fertigt einen Teil seiner Kona Elektros jetzt in der EU. Im tschechischen Nošovice rollen pro Jahr bis zu 35.000 Elektroautos vom Band - sollte es keine Corona-bedingten Unterbrechungen geben. Ein Werksbesuch.
Von Dirk Kunde

  1. Crossover-Elektroauto Model Y fährt effizienter als Model 3
  2. Wohnungseigentumsgesetz Regierung beschließt Anspruch auf private Ladestelle
  3. Plugin-Hybride BMW setzt Anreize für höhere Stromerquote

Next-Gen: Welche neue Konsole darf's denn sein?
Next-Gen
Welche neue Konsole darf's denn sein?

Playstation 5 oder Xbox Series X: Welche Konsole besser wird, wissen wir auch noch nicht. Grundüberlegungen zur Hardware und den Ökosystemen.
Ein IMHO von Peter Steinlechner

  1. Elektroschrott Kauft keine kleinen Konsolen!
  2. IMHO Porsche prescht beim Preis übers Ziel hinaus

Disney+ im Test: Ein Fest für Filmfans
Disney+ im Test
Ein Fest für Filmfans

Wir haben Disney+ vor dem Deutschlandstart getestet und sind begeistert. Das Abo ist perfekt für Familien mit Schulkindern. Filmfans können sich über Bonusmaterial freuen, das Amazon Prime Video, Netflix und Sky gar nicht kennen.
Ein Test von Ingo Pakalski

  1. Rabatte für Disney+ Disney erlaubt Aussetzen des vergünstigten Jahresabos
  2. Netflix-Konkurrenz Disney+ für Telekom-Kunden ein halbes Jahr gratis
  3. Konkurrenz für Netflix und Prime Video Disney nennt Filme und Serien für Disney+ in Deutschland