1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Was bringt ein komplexes Passwort?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was bringt ein komplexes Passwort?

    Autor: McWiesel 08.04.19 - 12:29

    Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren Bruteforce erraten.

    Und bei welchem anderen System funktioniert sowas? Welcher Server im Internet, welcher Router, welches sonstige Gerät erlaubt hunderte vom Einlogg-Versuchen pro Sekunde, die es benötigt, um wenigstens 3BIER in einer vernünftigen Gesamtzeit als Kennwort zu erraten?

    Die meisten Systeme haben nach mehr als 5 Versuchen eine Zeitsperrre, erwarten ein zweiten Faktor oder sogar ein Anruf beim Kundensupport, der dann auch weitere Daten als zweiten Faktor erfragt.

    Also, solang mein Passwort nicht auf den Top10 Passwortlisten vertreten und in keinem Lexikon aufgelistet ist, halte ich es für dermaßen sinnlos hier 14 Stellen mit allerlei Sonderzeichen einzugeben. Denn dann kann es schlichtweg nicht erraten werden. Alle anderen Szenarien setzen eine Sicherheitslücke im System voraus und dann kann sowohl 3BIER als auch /&§$&hasdjhgKM|!° aus einer korrupten Datenbank, aufgebrochene Verschlüsselung o.ä. zurückgerechnet werden.



    2 mal bearbeitet, zuletzt am 08.04.19 12:31 durch McWiesel.

  2. Re: Was bringt ein komplexes Passwort?

    Autor: endless 08.04.19 - 12:30

    Wenn aber die Datenbank gehackt und gedumpt wird hat der Angreifer das Passwort lokal auf seiner Maschine und kann solange und so oft testen wie er will.

  3. Re: Was bringt ein komplexes Passwort?

    Autor: dabbes 08.04.19 - 13:19

    In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext sondern nur der Hash und mit dem kann man nix anfangen.

  4. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 13:43

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext
    > sondern nur der Hash und mit dem kann man nix anfangen.
    Die Sicherheit des gehashten Passwortes hängt aber vom verwendeten Hash-Algorithmus und eben der Komplexität (Länge etc.) des Passwortes ab. Der Hash eines 6-stelliges Passwortes ist heutzutage trivial knackbar, egal welcher Hash-Algorithmus verwendet wurde...

  5. Passworthash

    Autor: nohoschi 08.04.19 - 14:19

    Vor allem wird der Pasworthash durch ein langes Passwort kein bisschen länger oder kompliziertert, weswegen wir ja Hashes verwenden.

  6. Re: Was bringt ein komplexes Passwort?

    Autor: nohoschi 08.04.19 - 14:28

    Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und die Mindestlänge um zwei Stellen erhöhen.

    Der Login ist die Verteidungslinie, der Hash+SALT die für den Fall, dass die erste Linie schon umgangen worden ist. Der SALT erhöht den Aufwand für einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung der Verteidigungslinie schlagen zu können.

    Der Login und das Passwort sind für Menschen, gegen Computer verwendet man am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein öffentlicher und privater Schlüssel nahe.

    Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und bleibt sinnvoll.

  7. Re: Was bringt ein komplexes Passwort?

    Autor: SJ 08.04.19 - 14:50

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext

    Ah ja? Verschiedene Datenlecks in jüngster Vergangenheit zeigen aber eine andere Realität auch - nicht zuletzt auch bei Facebook.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 14:56

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und
    > die Mindestlänge um zwei Stellen erhöhen.
    Ich habe nie irgendwas von extremen Passwortlängen gesagt?
    Damit Passwörter nicht unvernünftig lang sein müssen, sollten zum hashen moderne Verfahren eingesetzt werden. Aber auch die nützen natürlich nichts bei sehr kurzen Passwörtern.

    > Der Login ist die Verteidungslinie,
    Nicht wirklich, die Liste mit den Passworthashes ist das, wo alle ran wollen.
    Niemand probiert 1000x den normalen Passwortlogin des Webservers.

    > der Hash+SALT die für den Fall, dass
    > die erste Linie schon umgangen worden ist.

    Haben die Angreifer die Passworthashliste ergattert, diese aber gescheit gehasht und gesalzen, dann ist man mit einem guten Passwort relativ sicher, die Angreifer greifen sich die schlechten Passwörter und ziehen (erstmal) weiter.

    > Der SALT erhöht den Aufwand für
    > einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung
    > der Verteidigungslinie schlagen zu können.
    Der Salt verhindert nur einen Angriff mit einer Rainbow-Table, also quasi im Vorfeld "gespeicherter" Bruteforce. Gegen Bruteforce an sich hilft er nicht.

    > Der Login und das Passwort sind für Menschen, gegen Computer verwendet man
    > am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein
    > öffentlicher und privater Schlüssel nahe.
    Leute die mit asymmetrischer Verschlüsselung (Schlüsseln) umgehen können, sollten mit Passwörtern eigentlich auch keine Probleme haben...

    > Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und
    > bleibt sinnvoll.

    Wer sein Passwort für Email noch irgendwo anders benutzt, handelt grob fahrlässig. Zumindest das sollte Gebetsmühlenartig verbreitet werden.
    Wenn damit der Kopf noch nicht platzt, dann eigene Passwörter für alle wichtigen Logins predigen.
    Und so weiter...

  9. Re: Was bringt ein komplexes Passwort?

    Autor: bummelbär 08.04.19 - 15:05

    Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für alle, oder sogar gleich im Klartext in der Datenbank steht? Das Passwort wird doch heute von den Serverbetreibern auf dem Silbertablett serviert. Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.

    Vielleicht wirds was mit Webauthn. Ich frage mich nur, wie ich das auf allen Geräten, die irgendwelche Logins benötigen, verwenden soll. Ich hab zwar so ein paar Hardwaretokens, aber viel anfangen kann ich mit denen bisher nicht. Was schade ist. Vielleicht verbreitet sich das ja noch und es gibt einfach verwendbare offene Libs, für alle.

  10. Re: Was bringt ein komplexes Passwort?

    Autor: Auspuffanlage 08.04.19 - 16:39

    bummelbär schrieb:
    --------------------------------------------------------------------------------
    > Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt
    > mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern
    > ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für
    > alle, oder sogar gleich im Klartext in der Datenbank steht?
    Mitarbeiter mit Zugriff auf die Tabelle würden sich freuen...

    Besser kein Klartext ;)

    > Das Passwort
    > wird doch heute von den Serverbetreibern auf dem Silbertablett serviert.
    Wie meinst du diese Aussage?
    > Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz
    > nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.
    Da sage ich noch nichts zu ;)

  11. Re: Was bringt ein komplexes Passwort?

    Autor: violator 08.04.19 - 16:51

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht.

    Äh doch? Weil der Aufwand sich mit jedem zusätzlichen Zeichen stark erhöht. Und je nach Varianz der verwendeten Zeichen sogar extrem. PCs werden aber nicht in der Art dauernd schneller.
    aaaaaaaaaa könnte man in 59min knacken.
    aaaaaaaaaaa bräuchte 1 Tag.
    aaaaaaaaaaaa 4 Wochen.
    Rein rechnerisch.



    1 mal bearbeitet, zuletzt am 08.04.19 16:52 durch violator.

  12. Re: Was bringt ein komplexes Passwort?

    Autor: SchrubbelDrubbel 08.04.19 - 20:51

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich
    > vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren
    > Bruteforce erraten.
    >
    Unfug, PKZIP ist geknackt. Und mit der Plaintextattacke gehts noch schneller. 13 Bytes brauch man nur.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über MARTIN & PARTNER - Societät für Unternehmensberatung, Horb am Neckar
  2. Würth Industrie Service GmbH & Co. KG, Bad Mergentheim, Großraum Würzburg
  3. Evangelische Zusatzversorgungskasse, Darmstadt
  4. über duerenhoff GmbH, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 23,49€
  2. 17,99€
  3. 4,99€
  4. (-72%) 8,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dauerbrenner: Bis dass der Tod uns ausloggt
Dauerbrenner
Bis dass der Tod uns ausloggt

Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
Von Daniel Ziegener

  1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
  2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

Workflows: Wenn Digitalisierung aus 2 Papierseiten 20 macht
Workflows
Wenn Digitalisierung aus 2 Papierseiten 20 macht

Die Digitalisierung von Prozessen scheitert selten an der Technik. Oft ist es Unwissenheit über wichtige Grundregeln, die Projekte nach hinten losgehen lässt - ein wichtiges Change-Modell hilft dagegen.
Ein Erfahrungsbericht von Markus Kammermeier

  1. Digitalisierung Aber das Faxgerät muss bleiben!
  2. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  3. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"

  1. Network Slicing: Nokia bietet wichtige 5G-Funktion in LTE-Netzen
    Network Slicing
    Nokia bietet wichtige 5G-Funktion in LTE-Netzen

    Mit Network Slicing will Nokia zugesicherte Datenkapazität oder Latenz in LTE-Netzen bieten. Einer der wichtigsten Partner ist A1 in Österreich.

  2. Statt Github: FSF will eigene Code-Hosting-Plattform starten
    Statt Github
    FSF will eigene Code-Hosting-Plattform starten

    Noch in diesem Jahr will die Free Software Foundation eine Plattform für Code-Hosting und Kollaboration online stellen. Welche Software zum Einsatz kommen soll, ist noch nicht klar.

  3. Mars Insight: Messdaten von einsamer Marsstation veröffentlicht
    Mars Insight
    Messdaten von einsamer Marsstation veröffentlicht

    Über den Aufbau des Planeten hat Mars Insight bislang nur wenig gelernt. 174 Erdbeben sind nachgewiesen, aber nur drei verortet worden. Der Maulwurf steckt fest. Wissenschaftler warten auf ein großes Beben, um mehr zu lernen. Viele Kompromisse in der Planung behindern das Ziel der Mission.


  1. 14:42

  2. 14:21

  3. 14:00

  4. 13:15

  5. 12:01

  6. 11:56

  7. 11:50

  8. 11:38