Forum: Netzwelt
IT-Sicherheit: Mein verrücktes Passwort errät keiner - oder?
Monika Skolimowska/ DPA

Ein gutes Passwort zu finden, ist schwer - und wird immer schwerer. Ein Hacker erklärt, warum von Menschen erdachte Kennwörter oft unsicher sind und regelmäßige Wechsel sogar schädlich sein können.

Seite 13 von 13
Dromedar 26.08.2019, 18:48
120. Erklärung

Zitat von manicmecanic
ich bin Normalo aber habe egal wo ich mich einloggen muß immer nur wenige Versuche frei bis das jeweilige System sagt: ätsch zu oft falsches Paßwort,du kommst nicht mehr rein.Daher für mich unverständlich wo bitte man mit welchem cracker auch immer soviele falsche Versuche fahren kann.
2 Gründe:
- Zum einen kann man das Passwort erraten einfach auf ganz viele Nutzer machen (Computer sind gut darin). Wird zwar bei nur vielleicht jedem Hunderttausendsten klappen, aber derjenige hat dann den Zonk. So wie bei Lotto jede Woche jemand gewinnt.
- Der Hauptgrund ist aber, dass regelmäßig die Dateien mit den (zwar gehashten, also verschlüsselten) Passwörtern abhanden kommen. Da gibt es viele Gründe, aber das passiert regelmäßig und auch grossen und guten Organisationen. Und dann probiert derjenige der Reihe nach alle möglichen Passwörter aus, hasht (verschlüsselt) sie selber und vergleicht sie mit den Einträgen aus der Datenbank. Irgendwann findet derjenige Treffer und nutzt sie aus.

Grundsätzlich gibt es viel zu viele mögliche Passwörter. Aber, da Menschen sie nicht zufällig erstellen, kann man den Suchraum drastisch mit grossen Erfolgswahrscheinlichkeiten verkleinern. Diese Methoden funktionieren sehr gut, da man schon viele Passwort-Dateien entschlüsselt hat und so weiss, was für eine Art von Passwörtern Menschen erzeugen und man das sehr effizient modellieren kann. Und ein moderner Rechner kann Billiarden einfacher Operationen pro Sekunde machen, d.h. alles, was irgendwie menschlich erzeugt ist, wird auch geknackt. Dagegen hilft im Prinzip nur längere wirklich zufällige Passwörter.

Beitrag melden Antworten / Zitieren
ismirwurscht 26.08.2019, 19:40
121. Was ist eigentlich mit salt?

https://de.m.wikipedia.org/wiki/Salt_(Kryptologie) ... Das sollte doch die Hash-Werte zusätzlich verkomplizieren. Damit müsste doch sogar ein Passwort wie 'dasGehtNurMichWasAn!!' ziemlich sicher machen. Damit kann man den Hash-Wert gegen Rainbow-Tables absichern. Oder vertehe ich etwas falsch?

Beitrag melden Antworten / Zitieren
JaIchBinEs 26.08.2019, 19:46
122. Identifizierung per DNA

Zitat von unglaublich_ungläubig
DNA? Die ist bei eineiigen Zwillingen identisch und außerdem kinderleicht zu beschaffen und zu kopieren, noch leichter als ein Fingerabdruck. Aber in Ihren Kopf guckt so leicht keiner rein und holt das Masterpasswort raus.
Alle technischen Artefakte können gefälscht werden, die menschliche DNA nicht.
Für ein Bankkonte genügt ein Ausweis als Identifizierung – für kriminelle Profis kein Thema.
Wenn ich bei der persönlichen Eröffnung eine DNA-Probe abgeben muss, kann mich bei einer kritischen Transaktion, wo eine persönliche Nachprüfung fällig ist, nur mein eineiiger Zwilling betrügen.
Wenn Sie von Ihrem Opfer ein Haar ausgerissen haben, um damit eine Transaktion zu rechtfertigen, werden Sie damit keinen Erfolg haben.

Beitrag melden Antworten / Zitieren
JaIchBinEs 26.08.2019, 19:57
123. Authentifizerung

Zitat von Dromedar
Die ID via Webcam-Authentifizerung hat eigene Probleme (wenn man sie nicht inhouse macht) und läßt sich halt auch überwinden. Ist halt kostenmäßig schlecht, ganz schön invasiv (aber natürlich cool wenn man mal wissen will, wie Menschen so wohnen oder viele authentische Gesichtsbilder braucht), vom Sicherheitsstandard nur begrenzt (deutlich besser: PostID, Hardware-Token) und darüber hinaus hat es solides Potential weitere Support-Kosten zu erzeugen. Klar, für die großen Anbieter ist es aus Ihrer Sicht praktischer, aber denen geht es ja eher möglichst günstig gerade so noch rechtliche Kriterien einzuhalten.
Ich habe mein vermögendes Opfer überfallen und ihm alle Daten abgepresst (auch das Masterpasswort).
Jetzt will ich sein Konto abräumen und brauche nur ein Photo von ihm vor die Webkam halten?
Wenn jetzt dessen DNA hinterlegt wäre, hätte ich als Dieb ein Problem...

Beitrag melden Antworten / Zitieren
draco2007 26.08.2019, 20:31
124.

Zitat von ismirwurscht
https://de.m.wikipedia.org/wiki/Salt_(Kryptologie) ... Das sollte doch die Hash-Werte zusätzlich verkomplizieren. Damit müsste doch sogar ein Passwort wie 'dasGehtNurMichWasAn!!' ziemlich sicher machen. Damit kann man den Hash-Wert gegen Rainbow-Tables absichern. Oder vertehe ich etwas falsch?
Das Salt sorgt NUR dafür, dass sie einen Rainbow Table für ein bestimmtes Hash-Verfahren nicht nutzen können.

Es macht das Passwort deshalb nicht komplizierter, da das Salt zusammen mit dem Benutzernamen im Klartext gespeichert wird.

Wenn ihr Passwort also 1234 ist und das zufällig generierte Salt ist "jbdlkijbnsaö"...
Dann wird man mit einem Brute-Force eben anfangen und alle Passwortmöglichkeiten durchtesten, welche mit "jbdlkijbnsaö" enden.
Heißt man wird ganz schnell "1234jbdlkijbnsaö" testen und feststellen, dass der Hash der gleiche ist, wie der aus der Datenbank und dann weiß man, dass 1234 das Passwort war.

Und JA es ist völlig legitim den Salt im Klartext zu speichern, da er eben NICHT das Passwort verbessern soll, sondern NUR Rainbow Tables verhindern soll.

Es gibt noch eine Variante mit einem "geheimen" Zusatz, das ist dann, wer hätte es gedacht, Pepper :D
Dann wirds aber kompliziert, weil sie dieses Pepper außerhalb der Datenbank speichern müssen auf irgend einem Krypto-Gerät...

In den meisten Fällen ist Hash+Salt völlig ausreichend.

Ich hoffe die Erklärung ist verständlich.

Beitrag melden Antworten / Zitieren
ismirwurscht 26.08.2019, 22:55
125.

Zitat von draco2007
Das Salt sorgt NUR dafür, dass sie einen Rainbow Table für ein bestimmtes Hash-Verfahren nicht nutzen können. Es macht das Passwort deshalb nicht komplizierter, da das Salt zusammen mit dem Benutzernamen im Klartext gespeichert wird. Wenn ihr Passwort also 1234 ist und das zufällig generierte Salt ist "jbdlkijbnsaö"... Dann wird man mit einem Brute-Force eben anfangen und alle Passwortmöglichkeiten durchtesten, welche mit "jbdlkijbnsaö" enden. Heißt man wird ganz schnell "1234jbdlkijbnsaö" testen und feststellen, dass der Hash der gleiche ist, wie der aus der Datenbank und dann weiß man, dass 1234 das Passwort war. Und JA es ist völlig legitim den Salt im Klartext zu speichern, da er eben NICHT das Passwort verbessern soll, sondern NUR Rainbow Tables verhindern soll. Es gibt noch eine Variante mit einem "geheimen" Zusatz, das ist dann, wer hätte es gedacht, Pepper :D Dann wirds aber kompliziert, weil sie dieses Pepper außerhalb der Datenbank speichern müssen auf irgend einem Krypto-Gerät... In den meisten Fällen ist Hash+Salt völlig ausreichend. Ich hoffe die Erklärung ist verständlich.
Danke für die Erklärung! Jetzt verstehe ich es besser. Aber das heißt, dass das Passwort doch so lang und kompliziert wie möglich sein sollte. Zumindest bei der Variante ohne Pepper. Schade irgendwie...

Beitrag melden Antworten / Zitieren
bushmills 27.08.2019, 14:34
126.

Zitat von remedias.cortes
sondern abgegriffen. Das ist die viel größere Gefahr.
Die meisten Passwörter werden "verschlüsselt" (gehasht) abgegriffen, und werden dann "entschlüsselt" (maschinell viele Möglichkeiten durchprobieren) werden. Passwörter in Klartext speichern tun nur die, die kriminell leichtsinnig vorgehen, welche üblicherweise auch schnell wieder verschwinden aufgrund anderer aus Unkenntnis entstandenen eklatanten Sicherheitsmängeln, denn Klartextspeichern von Passwörtern ist ein sicherheitstechnischer Offenbarungseid, ausdrückend "von Sicherheit absolut nix kapiert".

Beitrag melden Antworten / Zitieren
bushmills 27.08.2019, 14:53
127.

Zitat von draco2007
Nicht zwingend. Wenn das Wörterbuch 10.000 Worte hat und man davon 6 zu einem zufälligen Satz zusammenwürfelt hat man die gleiche Stärke wie ein zufälliges Passwort mit 17 Stellen (buchstaben). Und man muss sich nur 6 Sachen merken und etwas mehr tippen.
Mein Punkt ist "Ein Passwort, welches aus einem Satz, zusammengesetzt aus mehreren Wörtern, besteht, ist weniger sicher wie die Anzahl Zeichen in diesem Satz suggerieren könnten."
Insbesondere Nutzung von längeren Wörtern (um einen entsprechend längeren Satz zu erhalten) fügt zwar Zeichen, aber nur wenig Sicherheit an das Passwort zu. Schließlich ging es den originalen Poster um einen "langen" Satz, auch wenn er nicht angab, ob er diesen mittels einer großen Anzahl oder mittels langen Wörtern zusammenstellen möchte.

Beitrag melden Antworten / Zitieren
Humanfaktor 29.08.2019, 08:07
128. Absolute Sicherheit gibt es nicht

Es ist grenzwertig sinnstiftend, ein State-of-the Art-Profi-Tool zum Knacken von Passwörtern als Referenz herzunehmen. Wo ist hierbei der Nutzen? Und für wen? Niemand wird den Passwörtern von Krethi und Plethi mit derartigem Aufwand auf den Pelz rücken wollen, wenn es keinen dies rechtfertigenden Nutzen gibt. Andererseits ist hier eher bewiesen worden, dass es im Grunde gar keinen vollkommenen Schutz, im Ramen noch vertretbaren, weil sinnvollen, Aufwandes gibt, vor potenziellen Zugriffen, wenn von einem Profi mit hinreichender Motivation und entsprechendem Equipment an das Knacken eines PW heran gegangen wird. Auch ein PW-Container ist vor diesem Hintergrund eher fragwürdig. Anstatt mehrere verschiedene PW zu knacken, reicht hier eines, das einem heute aktuellen und bald schon wieder veralteten Profi-Tool ja anscheinend spielend überwunden werden kann. Danach bekommt der/die Unbefugte Zutritt in Willy Wonkas ganze Schokoladenfabrik, in der alle PW, zu allen möglichen Schlössern, zu finden sind, von deren Existenz der unbefugte Zugreifer vorher möglicherweise noch nicht einmal wusste.
Jede/r muss/sollte sich darüber im Klaren sein, dass es völlige Sicherheit nicht gibt. Das Risiko zustreuen, scheint mir - nach dem alten Motto, nicht alle Eier in einen Korb zu legen - auch eine überlegenswerte Sicherheitsstrategie zu sein. Die beste aller Sicherheitsvarianten ist im Übrigen die, sich bei Online-Geschäften auf das Nötigste zu beschränken, den Rahmen zu begrenzen, keine Verknüpfungen und Verlinkungen wahllos zuzulassen (oder Accounts mit FB und Google zu verbinden, was ja leider auch von den meisten Anbietern - auch von SPON - inzwischen offenbar völlig unkritisch implementiert wird), nicht die Sicherheitstools ständig wie die Lemminge nach- und aufzurüsten, wenn jemand in einer entsprechende Veröffentlichung mit den Fingern schnippt, sondern lieber Brain.exe regelmäßige Updates zukommen zu lassen - und immer noch ein paar Trümpfe offline in der Hinterhand zube halten... ;-)

Beitrag melden Antworten / Zitieren
bassmonster 30.08.2019, 19:53
129. Es wird

kein Weg an biometrischen Verfahren vorbeigehen.

Beitrag melden Antworten / Zitieren
Seite 13 von 13