1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Was bringt ein komplexes Passwort?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was bringt ein komplexes Passwort?

    Autor: McWiesel 08.04.19 - 12:29

    Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren Bruteforce erraten.

    Und bei welchem anderen System funktioniert sowas? Welcher Server im Internet, welcher Router, welches sonstige Gerät erlaubt hunderte vom Einlogg-Versuchen pro Sekunde, die es benötigt, um wenigstens 3BIER in einer vernünftigen Gesamtzeit als Kennwort zu erraten?

    Die meisten Systeme haben nach mehr als 5 Versuchen eine Zeitsperrre, erwarten ein zweiten Faktor oder sogar ein Anruf beim Kundensupport, der dann auch weitere Daten als zweiten Faktor erfragt.

    Also, solang mein Passwort nicht auf den Top10 Passwortlisten vertreten und in keinem Lexikon aufgelistet ist, halte ich es für dermaßen sinnlos hier 14 Stellen mit allerlei Sonderzeichen einzugeben. Denn dann kann es schlichtweg nicht erraten werden. Alle anderen Szenarien setzen eine Sicherheitslücke im System voraus und dann kann sowohl 3BIER als auch /&§$&hasdjhgKM|!° aus einer korrupten Datenbank, aufgebrochene Verschlüsselung o.ä. zurückgerechnet werden.



    2 mal bearbeitet, zuletzt am 08.04.19 12:31 durch McWiesel.

  2. Re: Was bringt ein komplexes Passwort?

    Autor: endless 08.04.19 - 12:30

    Wenn aber die Datenbank gehackt und gedumpt wird hat der Angreifer das Passwort lokal auf seiner Maschine und kann solange und so oft testen wie er will.

  3. Re: Was bringt ein komplexes Passwort?

    Autor: dabbes 08.04.19 - 13:19

    In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext sondern nur der Hash und mit dem kann man nix anfangen.

  4. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 13:43

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext
    > sondern nur der Hash und mit dem kann man nix anfangen.
    Die Sicherheit des gehashten Passwortes hängt aber vom verwendeten Hash-Algorithmus und eben der Komplexität (Länge etc.) des Passwortes ab. Der Hash eines 6-stelliges Passwortes ist heutzutage trivial knackbar, egal welcher Hash-Algorithmus verwendet wurde...

  5. Passworthash

    Autor: nohoschi 08.04.19 - 14:19

    Vor allem wird der Pasworthash durch ein langes Passwort kein bisschen länger oder kompliziertert, weswegen wir ja Hashes verwenden.

  6. Re: Was bringt ein komplexes Passwort?

    Autor: nohoschi 08.04.19 - 14:28

    Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und die Mindestlänge um zwei Stellen erhöhen.

    Der Login ist die Verteidungslinie, der Hash+SALT die für den Fall, dass die erste Linie schon umgangen worden ist. Der SALT erhöht den Aufwand für einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung der Verteidigungslinie schlagen zu können.

    Der Login und das Passwort sind für Menschen, gegen Computer verwendet man am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein öffentlicher und privater Schlüssel nahe.

    Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und bleibt sinnvoll.

  7. Re: Was bringt ein komplexes Passwort?

    Autor: SJ 08.04.19 - 14:50

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > In einer Datenbank liegt das Kennwort normalerweise ja nicht im Klartext

    Ah ja? Verschiedene Datenlecks in jüngster Vergangenheit zeigen aber eine andere Realität auch - nicht zuletzt auch bei Facebook.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  8. Re: Was bringt ein komplexes Passwort?

    Autor: Stebs 08.04.19 - 14:56

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht. Sonst muss dein Login alle vier Wochen das Passwort verwerfen und
    > die Mindestlänge um zwei Stellen erhöhen.
    Ich habe nie irgendwas von extremen Passwortlängen gesagt?
    Damit Passwörter nicht unvernünftig lang sein müssen, sollten zum hashen moderne Verfahren eingesetzt werden. Aber auch die nützen natürlich nichts bei sehr kurzen Passwörtern.

    > Der Login ist die Verteidungslinie,
    Nicht wirklich, die Liste mit den Passworthashes ist das, wo alle ran wollen.
    Niemand probiert 1000x den normalen Passwortlogin des Webservers.

    > der Hash+SALT die für den Fall, dass
    > die erste Linie schon umgangen worden ist.

    Haben die Angreifer die Passworthashliste ergattert, diese aber gescheit gehasht und gesalzen, dann ist man mit einem guten Passwort relativ sicher, die Angreifer greifen sich die schlechten Passwörter und ziehen (erstmal) weiter.

    > Der SALT erhöht den Aufwand für
    > einen Angreifer, mittels Brute Force irgendwas sinnvolles aus der Umgehung
    > der Verteidigungslinie schlagen zu können.
    Der Salt verhindert nur einen Angriff mit einer Rainbow-Table, also quasi im Vorfeld "gespeicherter" Bruteforce. Gegen Bruteforce an sich hilft er nicht.

    > Der Login und das Passwort sind für Menschen, gegen Computer verwendet man
    > am besten Computer. Und wenn keine Menschen beteiligt sind, liegt ein
    > öffentlicher und privater Schlüssel nahe.
    Leute die mit asymmetrischer Verschlüsselung (Schlüsseln) umgehen können, sollten mit Passwörtern eigentlich auch keine Probleme haben...

    > Abgesehen davon, die Regel verschiedene Passwörter zu verwenden, ist und
    > bleibt sinnvoll.

    Wer sein Passwort für Email noch irgendwo anders benutzt, handelt grob fahrlässig. Zumindest das sollte Gebetsmühlenartig verbreitet werden.
    Wenn damit der Kopf noch nicht platzt, dann eigene Passwörter für alle wichtigen Logins predigen.
    Und so weiter...

  9. Re: Was bringt ein komplexes Passwort?

    Autor: bummelbär 08.04.19 - 15:05

    Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für alle, oder sogar gleich im Klartext in der Datenbank steht? Das Passwort wird doch heute von den Serverbetreibern auf dem Silbertablett serviert. Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.

    Vielleicht wirds was mit Webauthn. Ich frage mich nur, wie ich das auf allen Geräten, die irgendwelche Logins benötigen, verwenden soll. Ich hab zwar so ein paar Hardwaretokens, aber viel anfangen kann ich mit denen bisher nicht. Was schade ist. Vielleicht verbreitet sich das ja noch und es gibt einfach verwendbare offene Libs, für alle.

  10. Re: Was bringt ein komplexes Passwort?

    Autor: Auspuffanlage 08.04.19 - 16:39

    bummelbär schrieb:
    --------------------------------------------------------------------------------
    > Das schwächste Glied ist heute die IT auf der Serverseite, würde ich jetzt
    > mal stark behaupten. Was genau soll der User mit hochkomplexen Passwörtern
    > ausrichten, wenn das verdammte Passwort mit md5, saltfrei, einem salt für
    > alle, oder sogar gleich im Klartext in der Datenbank steht?
    Mitarbeiter mit Zugriff auf die Tabelle würden sich freuen...

    Besser kein Klartext ;)

    > Das Passwort
    > wird doch heute von den Serverbetreibern auf dem Silbertablett serviert.
    Wie meinst du diese Aussage?
    > Und wenn man 5000 mal versuchen kann sich einzuloggen, ist man wohl kurz
    > nach Konrad Zuse bei der IT-Sicherheit stehen geblieben.
    Da sage ich noch nichts zu ;)

  11. Re: Was bringt ein komplexes Passwort?

    Autor: violator 08.04.19 - 16:51

    nohoschi schrieb:
    --------------------------------------------------------------------------------
    > Das nützt dir nichts, weil Computer immer leistungsfähriger werden. Mit
    > extremen Passwortlängen dagegen auf Nutzerseite zu kämpfen, funktioniert
    > nicht.

    Äh doch? Weil der Aufwand sich mit jedem zusätzlichen Zeichen stark erhöht. Und je nach Varianz der verwendeten Zeichen sogar extrem. PCs werden aber nicht in der Art dauernd schneller.
    aaaaaaaaaa könnte man in 59min knacken.
    aaaaaaaaaaa bräuchte 1 Tag.
    aaaaaaaaaaaa 4 Wochen.
    Rein rechnerisch.



    1 mal bearbeitet, zuletzt am 08.04.19 16:52 durch violator.

  12. Re: Was bringt ein komplexes Passwort?

    Autor: SchrubbelDrubbel 08.04.19 - 20:51

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Eine mit einem relativ komplexen Passwort geschützte Zip-Datei kann ich
    > vielleicht mit einem Durchschnitts-PC mit guter Grafikkarte nach 2 Jahren
    > Bruteforce erraten.
    >
    Unfug, PKZIP ist geknackt. Und mit der Plaintextattacke gehts noch schneller. 13 Bytes brauch man nur.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Berufsförderungswerk Leipzig, Leipzig
  2. ARIBYTE GmbH, Berlin
  3. Allianz Deutschland AG, Stuttgart
  4. Ministerium des Innern und für Kommunales des Landes Brandenburg, Potsdam

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€
  2. 37,99€
  3. (-53%) 18,99€
  4. (-53%) 27,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Data Scientist: Ein Mann, der mit Daten Leben retten will
Data Scientist
Ein Mann, der mit Daten Leben retten will

Senfgelbes Linoleum im Büro und weniger Geld als in der freien Wirtschaft - egal, der Data Scientist Danilo Schmidt liebt seinen Job an der Charité. Mit Ärzten entwickelt er Lösungen für Patienten. Die größten Probleme dabei: Medizinersprech und Datenschutz.
Ein Porträt von Maja Hoock

  1. Computerlinguistik "Bordstein Sie Ihre Erwartung!"
  2. OpenAI Roboterarm löst Zauberwürfel einhändig
  3. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Pathfinder 2 angespielt: Abenteuer als wohlwollender Engel oder rasender Dämon
Pathfinder 2 angespielt
Abenteuer als wohlwollender Engel oder rasender Dämon

Das erste Pathfinder war mehr als ein Achtungserfolg. Mit dem Nachfolger möchte das Entwicklerstudio Owlcat Games nun richtig durchstarten. Golem.de konnte eine frühe Version des Rollenspiels bereits ausprobieren.
Von Peter Steinlechner

  1. 30 Jahre Champions of Krynn Rückkehr ins Reich der Drachen und Drakonier
  2. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

  1. Microsoft: Windows Terminal v0.9 kann beim Start mehrere Tabs öffnen
    Microsoft
    Windows Terminal v0.9 kann beim Start mehrere Tabs öffnen

    Das Windows Terminal 0.9 ist die letzte große Preview-Version vor der fertigen Software. Anwender können die Applikation über die Kommandozeile jetzt mit zwei oder mehr Tabs starten. Außerdem sollte durch einen Dialog verhindert werden, dass Nutzer aus Versehen alle geöffneten Tabs schließen.

  2. Echo und Co.: Armband stört Mikrofone von smarten Lautsprechern
    Echo und Co.
    Armband stört Mikrofone von smarten Lautsprechern

    Wissenschaftler haben in den USA ein Gerät entworfen, das mittels Ultraschall sämtliche Mikrofone in der Umgebung stört und um das Handgelenk getragen wird. Unter anderem können smarte Lautsprecher Unterhaltungen nicht mehr verstehen, wenn das Gerät aktiviert ist.

  3. CPU-Befehlssatz: Open Power zeigt erstmals geplante Open-Source-Lizenz
    CPU-Befehlssatz
    Open Power zeigt erstmals geplante Open-Source-Lizenz

    Die Open Power Foundation hat den finalen Entwurf für die neue offene Lizenz der Power-ISA veröffentlicht. Damit sollen Unternehmen eigene Power-CPUs erstellen können.


  1. 11:15

  2. 11:00

  3. 10:19

  4. 09:20

  5. 09:01

  6. 08:27

  7. 08:00

  8. 07:44