1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Gema-Hack: Standardpasswörter…

Jetzt mal ernsthaft...

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Jetzt mal ernsthaft...

    Autor: Threat-Anzeiger 24.08.11 - 14:46

    Ich habe mir grade den dump von den GEMA-logins angesehen(http://pastebin.com/UdAJasbd)

    auch wenns irgendwie offtopic ist, aber sind nutzer wirklich so dämlich? nicht ein einziges passwort ist dabei, das auch nur annähernd als sicher zu bezeichnen wäre? ich dachte immer meine PWs seien unsicher, aber die beinhalten wenigstens eine minimallänge, keine namensbestandteile, gross, klein, numerische und sonderzeichen.

    Jetzt mal hand aufs herz, benutzt wirklich noch jemand so schlechte passwörter?

    *ungläubig den kopf schüttel*

  2. Re: Jetzt mal ernsthaft...

    Autor: Lammi 24.08.11 - 14:55

    ja, die gibts. sogar massenhaft. bis ich hier bei uns automatisch generierte passwörter eingeführt habe, hatten benutzer namens katherina als passwort kat.

  3. Re: Jetzt mal ernsthaft...

    Autor: 7hyrael 24.08.11 - 14:58

    naja sonderzeichen kann man in der regel weglassen. ein zeichen mehr macht weitaus viel mehr aus, als die Sonderzeichen in die Passwörter mitreinzunehmen.

    Zumal man bei unbedarften usern auch gerne mal probleme bekommt wenn die im ausland sind und sich vonnem fremden rechner aus wo einloggen wollen und das sonderzeichen nicht zu finden ist (anderes tastaturlayout, mit äöüß gibts da gern ma probleme (: )

    alphanumerische passwörter, mit groß-kleinschreibung und vielleicht mal nen "_" oder "-" reichen eigentlich völlig. 8-10 zeichen solltens aber schon sein. wer nicht total auf den kopf gefallen ist, schafft es sich ein gut zu merkendes, sicheres passwort mit diesen bedinungen zu erstellen (Vorname rückwärts mit zahlen des Geburtsdatums zwischen den Buchstaben als beispiel...) . und natürlich ein brauchbares verfahren um sie zu verschlüsseln.

  4. Re: Jetzt mal ernsthaft...

    Autor: 7hyrael 24.08.11 - 15:00

    auch total beliebt bei den sql-servern: SA//mySQL ....
    Oder admin//db ...

    und wenn man als nicht-entscheidungsbefugter sagt man wolle es ändern bekommt man gerne mal vom (ehemaligen) chef eins aufs dach, das wäre ja sicher genug und er müsse sich so schon zu viel merken... wenn dann aber was ist, is man natürlich derjenige der nicht für genug sicherheit gesorgt hat!

  5. Re: Jetzt mal ernsthaft...

    Autor: Wolf als Gast 24.08.11 - 15:01

    ich hab in der Grundi vom Bund als Systemadmin gearbeitet.
    Die Passwörter der Leute, selbst die, welche mit Brisanten Daten gearbeitet haben, waren simpel. Oft einfach der Loginname nochmals. Vorname, Name vom Hund, der Tochter usw.
    Auch rückte jeder sofort das Passwort raus, oder klebte es an den Schirm, wenn er wusste das ich komme, aber selbst nicht am Platz war.

  6. Re: Jetzt mal ernsthaft...

    Autor: Arkonos 24.08.11 - 15:06

    http://xkcd.com/936/

  7. Re: Jetzt mal ernsthaft...

    Autor: Replay 24.08.11 - 15:07

    Genügend, wie man bei der GEMA sieht. Es gab hier bei Golem erst vor einigen Tagen einen Artikel über WLAN-Router von den Telekomikern und von Vodafone. Und wie man in die WLANs eindringen kann, wenn, wie es eben oft passiert, die Standardpaßwörter nicht geändert werden.

    Meine Paßwörter für sensible Dinge sind nicht nur sehr lang, sie enthalten auch viele Sonderzeichen, Zahlen und Wörter aus dem Dialekt.

    Krieg ist Frieden, Freiheit ist Sklaverei, Unwissenheit ist Stärke. Das Ministerium für Wahrheit.

  8. Re: Jetzt mal ernsthaft...

    Autor: Wolf als Gast 24.08.11 - 15:13

    Bist du dann einmal über ein Remoteprogramm oder einem nicht Zeichensatz kompatiblen Gerät sitzt.
    Du musst nicht mal ins Ausland, das kann dir auch so passieren.
    Und schon kommst nicht mehr rein.
    Jemand zu Sonderzeichen in Passwörtern zu raten ist fahrlässig.

  9. Re: Jetzt mal ernsthaft...

    Autor: Dadie 24.08.11 - 15:21

    Wolf als Gast schrieb:
    --------------------------------------------------------------------------------
    > ich hab in der Grundi vom Bund als Systemadmin gearbeitet.
    > Die Passwörter der Leute, selbst die, welche mit Brisanten Daten gearbeitet
    > haben, waren simpel. Oft einfach der Loginname nochmals. Vorname, Name vom
    > Hund, der Tochter usw.

    Was aber an sich erst einmal kein "schwaches" Passwort darstellt. Gerede Wort-Passwörter sind relative brutforcesicher bedingt durch ihre Länge.

    Folgendes Bild fällt mir selber dann immer wieder ein:
    http://img823.imageshack.us/img823/2092/passwordstrengthe.png


    Wenn wir von Regenbogen-Tabellen ausgehen ist es eigentlich egal was für ein Passwort verwendet wurde. Bei Regenbogen-Tabellen hilft einem nur Salz und die Hoffnung dass niemand Zugriff auf das Salz hat. Falls doch kann man nur hoffen dass es erst sehr sehr spät in der Regenbogen-Tabelle eine Kollision auftaucht.

    In sofern halte ich immer noch "BuchKatzeWurstbrotmitMettdazuHaustürRechnungHeins" für ein sichereres Passwort als "a898nklJHn8HGl7"

  10. Re: Jetzt mal ernsthaft...

    Autor: DiDiDo 24.08.11 - 15:23

    Wolf als Gast schrieb:
    --------------------------------------------------------------------------------
    > Bist du dann einmal über ein Remoteprogramm oder einem nicht Zeichensatz
    > kompatiblen Gerät sitzt.
    > Du musst nicht mal ins Ausland, das kann dir auch so passieren.
    > Und schon kommst nicht mehr rein.
    > Jemand zu Sonderzeichen in Passwörtern zu raten ist fahrlässig.


    Wenn Sensieble Systeme aus den Ausland oder ähnlichen erreicht werden können ist das auch fahrlässig

    ---------------------------------------------------------------------
    Fly Save o/

  11. Re: Jetzt mal ernsthaft...

    Autor: Replay 24.08.11 - 15:26

    Mit Sonderzeichen meinte ich keine sprachspezifischen Sonderzeichen (Umlaute), sondern Anführungszeichen, Klammern und solches „Zeug“, was im allgemeinen Sprachgebrauch bei Laien als Sonderzeichen verstanden wird (speziell Laien muß man das so verständlich machen).

    Beispiel: )mU1iCh§4"biet)(sCH#n95

    Das frei erfundene Paßwort enthält den bayerischen Begriff für Milchschale/Milchbehältnis mit diversen „Sonderzeichen“ und kann so auf jeder Tastatur mit lateinischen Buchstaben eingegeben werden.

    Sitzt man vor einer Tastatur mit arabischen oder asiatischen Schriftzeichen, wird's sowieso unmöglich... Davon abgesehen habe ich mein eigenes Gerät (Telefon/Tablett) dabei, mit welchem ich Zugänge zu meinen „Einrichtungen“ herstellen kann. Also gingen auch deutsche Umlaute, was ich aber trotzdem nicht mache.

    Krieg ist Frieden, Freiheit ist Sklaverei, Unwissenheit ist Stärke. Das Ministerium für Wahrheit.

  12. Re: Jetzt mal ernsthaft...

    Autor: MarcusX 24.08.11 - 15:51

    Kennwortrichtlinien sind leider manchmal einfach nicht praktikabel.

    Wir haben hier dutzende Anwendungen mit eigener Benutzerverwaltung. Unsere Mitarbeiter laufen den ganzen Tag umher und müssen sich an verschiedenen Systemen anmelden um kurz was einzugeben. Da ist's nicht verwunderlich wenn einfache Kennwörter verwendet werden.
    Das schreit nach Biometrie, aber ist bislang an den Kosten gescheitert.

  13. Re: Jetzt mal ernsthaft...

    Autor: Threat-Anzeiger 24.08.11 - 15:53

    Wolf als Gast schrieb:
    --------------------------------------------------------------------------------
    > Bist du dann einmal über ein Remoteprogramm oder einem nicht Zeichensatz
    > kompatiblen Gerät sitzt.
    > Du musst nicht mal ins Ausland, das kann dir auch so passieren.
    > Und schon kommst nicht mehr rein.
    > Jemand zu Sonderzeichen in Passwörtern zu raten ist fahrlässig.


    ich bin linuxer, ssh ist mein zweiter vorname. Dennoch gibt es für remotelogins sichere verfahren, wie zb Signaturbasierte Authentifizierung. und ja, meine passwörter lasen sich allesamt an jedem system verwenden, das über eine eingabe mit lateinischen schriftzeichen verfügt.

  14. Re: Jetzt mal ernsthaft...

    Autor: Threat-Anzeiger 24.08.11 - 15:54

    Wolf als Gast schrieb:
    --------------------------------------------------------------------------------
    > ich hab in der Grundi vom Bund als Systemadmin gearbeitet.
    > Die Passwörter der Leute, selbst die, welche mit Brisanten Daten gearbeitet
    > haben, waren simpel. Oft einfach der Loginname nochmals. Vorname, Name vom
    > Hund, der Tochter usw.
    > Auch rückte jeder sofort das Passwort raus, oder klebte es an den Schirm,
    > wenn er wusste das ich komme, aber selbst nicht am Platz war.


    benutzen sie immernoch Marine01 und Marine12 als defaultpws beim Bund?

  15. Re: Jetzt mal ernsthaft...

    Autor: Threat-Anzeiger 24.08.11 - 15:56

    Dadie schrieb:
    --------------------------------------------------------------------------------
    > Wolf als Gast schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ich hab in der Grundi vom Bund als Systemadmin gearbeitet.
    > > Die Passwörter der Leute, selbst die, welche mit Brisanten Daten
    > gearbeitet
    > > haben, waren simpel. Oft einfach der Loginname nochmals. Vorname, Name
    > vom
    > > Hund, der Tochter usw.
    >
    > Was aber an sich erst einmal kein "schwaches" Passwort darstellt. Gerede
    > Wort-Passwörter sind relative brutforcesicher bedingt durch ihre Länge.
    >
    > Folgendes Bild fällt mir selber dann immer wieder ein:
    > img823.imageshack.us
    >
    > Wenn wir von Regenbogen-Tabellen ausgehen ist es eigentlich egal was für
    > ein Passwort verwendet wurde. Bei Regenbogen-Tabellen hilft einem nur Salz
    > und die Hoffnung dass niemand Zugriff auf das Salz hat. Falls doch kann man
    > nur hoffen dass es erst sehr sehr spät in der Regenbogen-Tabelle eine
    > Kollision auftaucht.
    >
    > In sofern halte ich immer noch
    > "BuchKatzeWurstbrotmitMettdazuHaustürRechnungHeins" für ein sichereres
    > Passwort als "a898nklJHn8HGl7"


    das salt darf bekannt sein und ist in der regel bkannt. Selbst wenn der salt bekannt ist, ist eine RT ineffizient, da man sie für den salt komplett neu erstellen müsste, wobei sich dann schon ein direkter Brute-Force angriff wieder eher lohnt

  16. Re: Jetzt mal ernsthaft...

    Autor: Tantalus 24.08.11 - 16:04

    MarcusX schrieb:
    --------------------------------------------------------------------------------
    > Das schreit nach Biometrie, aber ist bislang an den Kosten gescheitert.

    Smartcard? Token? Kostet auch nimmer die Welt.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  17. Re: Jetzt mal ernsthaft...

    Autor: Neutraler 24.08.11 - 16:14

    Dadie schrieb:
    > In sofern halte ich immer noch
    > "BuchKatzeWurstbrotmitMettdazuHaustürRechnungHeins" für ein sichereres
    > Passwort als "a898nklJHn8HGl7"

    Und damit bist Du ganz weit vorn dabei .-))
    http://www.faq-o-matic.net/2011/08/11/sichere-kennwrter/
    Die Artikel dahinter sind auch nett.

  18. Re: Jetzt mal ernsthaft...

    Autor: frankabc 24.08.11 - 16:17

    Ich habe mir damals den Spaß erlaubt..in einem Unternehmen mit ca. 400 Mitarbeitern die Windows- und Netzwerkzugangsdaten zu entschlüsseln (lassen) und dabei kam nach rund 1 Stunde heraus, dass 2/3 der User "sommer", "mutter" & co als PW verwenden.

  19. Re: Jetzt mal ernsthaft...

    Autor: Anonymer Nutzer 24.08.11 - 22:38

    Auch ein Grund warum Beamte auf Windows schwören und sich gerne jeden Scheiß Zertifizieren lassen und an die Wand kleben. Irgendwie muss man die eigene Dummheit ja vertuschen :)

  20. Re: Jetzt mal ernsthaft...

    Autor: Der Kaiser! 28.12.11 - 21:31

    > Bei Regenbogen-Tabellen hilft einem nur Salz

    Wie funktioniert das mit dem "Salz"?

    ___

    Die ganz grossen Wahrheiten sind EINFACH!

    Wirkung und Gegenwirkung.
    Variation und Selektion.
    Wie im grossen, so im kleinen.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über ARTS Holding SE, Bremen
  2. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen, Bamberg
  3. BROCKHAUS AG, Lünen
  4. Bundeskartellamt, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 69,90€ (Bestpreis)
  2. (u. a. Razer Basilisk Ultimate Wireless Gaming-Maus und Mouse Dock für 129€, Asus ROG Strix G17...
  3. (u. a. Samsung GQ65Q80T 65 Zoll QLED für 1.199€, Corsair HS60 Over-ear-Gaming-Headset Carbon...
  4. für PC, PS4/PS5, Xbox und Nintendo Switch


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme