Forum: Netzwelt
IT-Sicherheit: Mein verrücktes Passwort errät keiner - oder?
Monika Skolimowska/ DPA

Ein gutes Passwort zu finden, ist schwer - und wird immer schwerer. Ein Hacker erklärt, warum von Menschen erdachte Kennwörter oft unsicher sind und regelmäßige Wechsel sogar schädlich sein können.

Seite 10 von 13
unglaublich_ungläubig 26.08.2019, 11:32
90.

Zitat von Besserwissser
wiegen sich in falscher Sicherheit, denn während ich den Angriff auf die Passwort Datei ja bereits erwähnt hatte (das hatte ich bei dem überfliegen das Artikels überlesen das die Angriffe auf die vorliegenden Hashes waren, deswegen auch meine Frage nach der Praxis) kann ich mir vorstellen, daß die SW in "Ihrer" Cloud bzw. des Passwortmanagers so instrumentiert ist, daß er die Daten im Klartext, oder wegen mir als Hash irgendwo abspeichert oder gleicht die Transaktion umleitet. Es bedarf nur der nächsten ausgebeuteten Lücke in der Kette wo Sie eigendlich in wollen. Klar das ist eine Stufe aufwendiger aber kommt sicher noch.
An irgendeinem Punkt vertrauen Sie immer. Sie vertrauen der Tastatur, dem Controller-Chip, der sie verbindet, den Betriebssystem, der CPU (die Sie mit Meltdown im Stich lässt). Auf einer Website vertrauen Sie, dass niemand die Eingabemaske manipuliert hat, das TLS-Zertifikat geklaut und den DNS-Eintrag manipuliert hat und Ihnen eine falsche Maske vorspiegelt. Gegen all diese möglichen Gefahren hilft Ihre Methode ebenso wenig wie meine.

Die Kryptografie in meinem Passwortmanager kann ich überprüfen, sein Netzwerkverhalten auch. Viele andere tun das ebenfalls.

Die größte Gefahr bleibt für uns alle sowieso, dass unser E-Mail-Konto aufgebrochen und wegen der tollen Passwort-Reset-Funktionen überall damit dem Angreifer der Generalschlüssel in die Hände fällt.

Wichtig ist: man muss zwischen breit angelegten Schrotschuss-Attacken und gezielten Attacken auf eine Person unterscheiden. Gegen erstere helfen die von mir genannten Verfahren, gegen letztere nicht (unbedingt). Wenn Sie sich mit aller Konsequenz gegen gezielte Angriffe auf Ihre Person schützen wollen, werden Sie es im (Online-)Leben sehr, sehr schwer haben. Sichere und sicher gespeicherte Passwörter sind da Ihr geringstes Problem.

Beitrag melden Antworten / Zitieren
hrmblgrmpf 26.08.2019, 11:33
91.

Zitat von itharkua
dass einige echt glauben, dass ein Hacker sich an den Rechner setzt, Passwörter ausprobiert und nach drei Versuchen dann leider aufgeben muss.
Vor allem, dass gefühlt 27 Leute das immer wieder neu schreiben, nachdem schon 10* beschrieben wurde dass es genau darum nicht geht, sondern um erbeutete Datenbanken.

Auch das Misstrauen in Passwortmanager oder gar deren Diffamierung als "Schlangenöl" ist geradezu paranoid. Es ist immer noch besser, etliche zufällige oder zumindestens hinreichend komplexe Passwörter dort zu hinterlegen und mit einem hinreichend sicheren Passport (das dann das einzige ist, das man sich wirklich merken muss, und daher irgendwann auswendig gelernt ist *) zu schützen, als lauter unsichere, weil gut zu merkende Passwörter oder schlimmer noch ein schlechtes für alle Dienste zu nehmen.
Online-Passwortmanagern würde ich auch kein Vertrauen entgegenbringen, aber Offline-Variante wie KeePass verschlüsseln den gesamten lokalen Passwortspeicher mit einem Schlüssel, der aus dem Masterpasswort erzeugt wird. "Kein Masterpasswort" heißt dann wirklich (mathematisch beweisbar) kein Zugriff auf die Daten. Wenn dieser zentrale Schutz korrekt implementiert ist, kann auch kein "böser russischer Hacker" an die Daten gelangen.

* Wenn man befürchtet es zu vergessen, ist auf Papier schreiben und an unüblicher Stelle verstecken immer noch sicher genug, um nicht Cyber-Angriffen zum Opfer zu fallen.

Beitrag melden Antworten / Zitieren
JaIchBinEs 26.08.2019, 11:52
92. Millionen Katzenvideos gestohlen

Zitat von Skeptiker99
Der Dieb hat nun sber die Datenbank mit den Hashwerten. Er kann also so oft ausprobieren wie er will. Es geht nicht darum, dass jemand auf die Homepage von z.B. Gmx geht und dort 50000000 Passwörter ausprobiert.
Irgenwie eine Phantomdebatte.
Was um alles in der Welt nützem einem Dieb Zugriff auf Millionen E-Mail Konten:
700000 x Katzenvideos geteilt,
50000 x Omas Kochrezept für Kartoffelsalat
20000 x Bestellungen Sportunterhosen
Wenn darunter nicht ein gegnerischer Mafia-Pate/Geheimdienstler mit Nuklearwissen oder Politiker mit Karriere-Aussichten ist, wäre der Schaden überschaubar.
Ein Dieb und seine Nachkommen wären auch an die Lebensspanne unseres Sonnensystems gebunden und selbst ein Algorithmus muss sich da durchkämpfen.
Das sensible Klientel wird seine E-Mails zu verschlüsseln wissen.
Ich selbst schaffe es z.B. nicht, meine eigenen Konten aufzuräumen.

Beitrag melden Antworten / Zitieren
JaIchBinEs 26.08.2019, 12:04
93. E-Mail-Konto-Name

Zitat von unglaublich_ungläubig
Die größte Gefahr bleibt für uns alle sowieso, dass unser E-Mail-Konto aufgebrochen und wegen der tollen Passwort-Reset-Funktionen überall damit dem Angreifer der Generalschlüssel in die Hände fällt.
An den E-Mail-Kontonamen ist eben leichter ranzukommen,
in Firmenbelegschaften ist er ja öffentlich (und Sie können leicht Ihre Kollegen ärgern).
Die Passwort-Reset-Funktion ist ein Sicherheitsleck und die Provider tun wenig gegen Mißbrauch.
Es führt alles zu der Verifizierung der Identität, die theoretisch nur mit der DNA-Analyse möglich wäre.

Beitrag melden Antworten / Zitieren
unglaublich_ungläubig 26.08.2019, 12:14
94.

Zitat von JaIchBinEs
Was um alles in der Welt nützem einem Dieb Zugriff auf Millionen E-Mail Konten: [...] Das sensible Klientel wird seine E-Mails zu verschlüsseln wissen.
Wegen der Unsitte nahezu aller Online-Dienste, eine password recovery per hinterlegter E-Mail-Adresse anzubieten (die praktischerweise meist auch noch gleich der Benutzername ist), ist gerade das E-Mail-Konto das interessanteste Angriffsziel. (Und noch einmal: gemeint ist immer ein Angriff auf Millionen Konten gleichzeitig, idealerweise offline.) Verschlüsselung Ihrer E-Mails mit Ihrer Geliebten nützt da leider gar nichts. Deshalb: gerade das E-Mail-Konto muss mit einem sicheren Passwort geschützt werden. Und noch viel wichtiger: es sollte bei einem vertrauenswürdigen Anbieter sein, der seine Systeme im Griff hat und nicht für Datenschnüffelei notorisch bekannt ist (und ich meine nicht Google -- die tun sehr viel für die Sicherheit ihrer Nutzer). Wer daran spart, braucht weder Zeit noch Geld in Passwortmanager zu investieren.

Beitrag melden Antworten / Zitieren
bushmills 26.08.2019, 12:22
95.

Zitat von didohaun
wie dort bereits angesprochen: was ist mit implementierten sperren nach x fehlversuchen? Das müsste doch die »brute force« methode unmöglich machen.
Das geht aber irrtümlicherweise davon aus, dass die Passwörter am login durchprobiert werden - das ist allerdings nicht das Einsatzfeld von password-crackern. Diese arbeiten mit entwendeten "hashes", und kennen ein Sperren nach x Fehlversuchen nicht. Wird ein gefundenes Password dann an einem tatsächlichen login verwendet, ist der erste Versuch entweder bereits ein Treffer, und im Falle dass nicht, wird dann auch nicht weiter herumprobiert.

Beitrag melden Antworten / Zitieren
bushmills 26.08.2019, 12:28
96.

Zitat von zeichenkette
Ja, genau: Die Längenbegrenzung von Passwörtern aufzuheben bzw. auf einen sinnvollen Wert zu erweitern (256 Zeichen sind OK) und gleichzeitig auf einen Standard-Zeichensatz (wie UTF-8) mit vielen erlaubten Sonderzeichen zu wechseln, würde schon einen RIESIGEN Unterschied machen und ist heute wirklich trivial. Bei kurzen Passwörtern kann man noch so erfinderisch sein, da frisst sich jeder Rechner schnell blind durch. Bei langen Passwörtern wird das ganz schnell zu einer Fleißarbeit, die kaum noch zu leisten ist. Der Entropievorsprung eines Satzes anstatt eines Wortes ist fast uneinholbar und es gibt so viel mehr einmalige und doch merkbare Sätze als einmalige und halbwegs merkbare kurz Worte. Wenn Passwörter überhaupt taugen sollen, müssen sie lang sein und zuverlässig alle Zeichen erlauben, die man auf der Tastatur erzeugen kann. Dann braucht man nämlich selbst auf einem massiv schnellen Rechner tausende von Jahren, um sie zu finden. Mal ein Beispiel: 6 Zeichen Länge, A-Z in Groß- und Kleinschreibung und 0-9 dauern auf bei einem Rechner mit 15 Millionen Versuchen pro Sekunde eine Stunde. Bei 10 Zeichen Länge und einschließlich Sonderzeichen sind wir schon bei knapp einhunderttausend Jahren beim selben Tempo. Ein langer Satz mit erlaubten Sonderzeichen ist durchschnittlich selbst mit Supercomputern nicht vor dem Wärmetod des Universums zu knacken.
"langer Satz" ist kein gutes Indiz für die Sicherheit eines Passworts: Passwordcracker arbeiten üblicherweise wörterbuchbasiert: Nicht jede mögliche Zeichenkombination wird durchprobiert, sondern Kombinationen aus mittels der Wortliste vorgelegten Wörtern. Damit reduziert sich ein "langer Satz" von der Anzahl enthaltenen Buchstaben auf die Anzahl der enthaltenen Wörter, was kombinatorisch eine viel kleinere Zahl ergibt.

Beitrag melden Antworten / Zitieren
unglaublich_ungläubig 26.08.2019, 12:33
97.

Zitat von JaIchBinEs
An den E-Mail-Kontonamen ist eben leichter ranzukommen, in Firmenbelegschaften ist er ja öffentlich (und Sie können leicht Ihre Kollegen ärgern). Die Passwort-Reset-Funktion ist ein Sicherheitsleck und die Provider tun wenig gegen Mißbrauch. Es führt alles zu der Verifizierung der Identität, die theoretisch nur mit der DNA-Analyse möglich wäre.
Die Provider haben keine Chance; die Kundschaft will es so. Ich weiß leider, wovon ich rede. Wenn wenigstens Briefe an eine hinterlegte Adresse verschickt würden (natürlich gegen vorherige Zahlung des Portos) oder Ausweise im Videochat gefordert würden... selbst eine PIN per SMS ist erheblich sicherer. Aber je komplizierter Sie es machen, desto mehr verprellen Sie die typische Kundschaft, die es nicht zu schätzen weiß, dass Sie sie vor sich selbst beschützen.

DNA? Die ist bei eineiigen Zwillingen identisch und außerdem kinderleicht zu beschaffen und zu kopieren, noch leichter als ein Fingerabdruck. Aber in Ihren Kopf guckt so leicht keiner rein und holt das Masterpasswort raus.

Beitrag melden Antworten / Zitieren
remedias.cortes 26.08.2019, 13:47
98. Die meisten Passwörter werden gar nicht entschlüsselt,

sondern abgegriffen. Das ist die viel größere Gefahr.

Beitrag melden Antworten / Zitieren
Dromedar 26.08.2019, 13:50
99. Deswegen

Zitat von unglaublich_ungläubig
Die Provider haben keine Chance; die Kundschaft will es so. Ich weiß leider, wovon ich rede. Wenn wenigstens Briefe an eine hinterlegte Adresse verschickt würden (natürlich gegen vorherige Zahlung des Portos) oder Ausweise im Videochat gefordert würden... selbst eine PIN per SMS ist erheblich sicherer. Aber je komplizierter Sie es machen, desto mehr verprellen Sie die typische Kundschaft, die es nicht zu schätzen weiß, dass Sie sie vor sich selbst beschützen. DNA? Die ist bei eineiigen Zwillingen identisch und außerdem kinderleicht zu beschaffen und zu kopieren, noch leichter als ein Fingerabdruck. Aber in Ihren Kopf guckt so leicht keiner rein und holt das Masterpasswort raus.
ist es ja eine gute Idee als Provider auf die ganzen Social Auths zu setzen (also Einloggen über Google-Konto oder Facebook oder LinkedIn-Konto oder was es da auch immer noch gibt). Die haben:
- eine ziemlich gute Detection für Angriffe aller Art
- die ganze Infrastruktur (mit Benachrichtigungen/Nachfragen auf dem Handy, Email usw.), selbst wenn ein Kunde gar nicht bereit ist uns seine Handy-Nr. oder anderes preis zu geben
- erhöhen regelmäßig den Sicherheitsstandard (gerade Google ist da schon ziemlich vorbildlich) und macht es auch einfacher ggf. Sicherheits-Maintainance beim Management als Developer durchzudrücken (weil ansonsten die Anwendung nicht läuft)
- Kunden haben dies oft schon und gerade die weniger sicherheits orientierten ganz besonders und finden das dann sogar noch praktischer
- ganz praktisch, rechtlich ist man da bei Schaden leicht raus, wenn man vernünftig die AGB und die Datenschutzerklärung schreibt.

Persönlich macht mich die Datenkraken-Lösung zwar traurig, aber ist für fast alle Sachen, wo man Normal-Nutzern einen Webzugang anbieten möchte, im Moment (leider) die mit Abstand beste und sicherste Lösung.

Besser ist es eigentlich nur noch mit einem Hardwaretoken, da scheuen sich aber selbst Banken in Deutschland (Pokerstars konnte das schon vor über 10 Jahren). Allerdings ist das halt auch wiederum vielen zu unbequem, wie sie das ja schon schildern und die Kosten für einen RSA-Key/Rubikey/whatever sind auch nicht unerheblich.

Die ID via Webcam-Authentifizerung hat eigene Probleme (wenn man sie nicht inhouse macht) und läßt sich halt auch überwinden. Ist halt kostenmäßig schlecht, ganz schön invasiv (aber natürlich cool wenn man mal wissen will, wie Menschen so wohnen oder viele authentische Gesichtsbilder braucht), vom Sicherheitsstandard nur begrenzt (deutlich besser: PostID, Hardware-Token) und darüber hinaus hat es solides Potential weitere Support-Kosten zu erzeugen. Klar, für die großen Anbieter ist es aus Ihrer Sicht praktischer, aber denen geht es ja eher möglichst günstig gerade so noch rechtliche Kriterien einzuhalten.

Beitrag melden Antworten / Zitieren
Seite 10 von 13