Forum: Netzwelt
IT-Sicherheit: Mein verrücktes Passwort errät keiner - oder?
Monika Skolimowska/ DPA

Ein gutes Passwort zu finden, ist schwer - und wird immer schwerer. Ein Hacker erklärt, warum von Menschen erdachte Kennwörter oft unsicher sind und regelmäßige Wechsel sogar schädlich sein können.

Seite 7 von 13
Bernd.Brincken 26.08.2019, 09:50
60.

Zitat von quark2@mailinator.com
könnte niemand mehr wild rumprobieren, es sei denn, er hätte Zugriff auf den Hash-Wert und das Hash-Verfahren.
Der Zugriff auf Hash-Werte war auch das Szenario in dem Artikel.
Das Hash-Verfahren ist i.a. aus dem Code ersichtlich.

Für Entwickler noch ein Tip:
https://en.wikipedia.org/wiki/Salt_(cryptography)

Beitrag melden Antworten / Zitieren
JaIchBinEs 26.08.2019, 09:50
61. Einweg-Verschlüsselung

Zitat von eric85
Meisten ist der Zugangsschutz ja vernünftig implementiert. Problematisch wird es, wenn mal eine Datenbank geknackt wird und so an deren Inhalt kommt und somit an die Passwörter. Die Passwörter liegen dann zwar als Hash-Wert vor (wie im Artikel beschrieben). Dann hätte ein potentieller Angreifer beliebig viele Versuche, ein Passwort zu knacken.
Nein, bei der Einweg-Verschlüsselung gibt es KEINE Umkehrfunktion.
Da nützt dem Angreifer der Hash-Wert nichts.

Beitrag melden Antworten / Zitieren
quasimodo1001 26.08.2019, 09:51
62. ... und wenn schon ? ...

Was ist wenn das Passwort (nur möglich mit Linux) einen Schreibschutz hat oder Schutz vor Lesezugriff hat ? Oder was ist, wenn das Passwort selbst in Wirklichkeit ein Wurm ist, der den Angreifer verschlüsseln kann ?

Beitrag melden Antworten / Zitieren
Axeman 26.08.2019, 09:54
63.

Problematisch ist vor allem dieselben Login-Daten bei verschiedenen Services zu nutzen. Wird eine Passwortdatenbank bei einem schlecht gesicherten Dienst gestohlen, probieren die Hacker die erbeutetn Zugangsdaten dann gerne auch bei Amazon, ebay und co aus.
Wenigstens bei dem Mail-Dienst dessen Adresse man als Accoutname nutzt sollte man ein völlig anderes und sehr sicheres Passwort nutzen.

Beitrag melden Antworten / Zitieren
unglaublich_ungläubig 26.08.2019, 09:55
64.

Zitat von Besserwissser
werden Zugänge nach 3...5 Fehlversuchen gesperrt. Wie sollen da alleine die Zahlen 1...311 erprobt werden. Klar in Zeiten in denen die- glaub es war die .login- unter linux noch für jedermann zugänglich war hat man beliebig oft probieren könne aber heutzutage ?
Sie gehören auch zu denen, die es nie kapieren. So wie beispielsweise die Sparkassen in Deutschland, die ihre 5-stelligen Online-PINs für sicher halten, weil sie ja nach 3 Fehlversuchen das Konto sperren. Sie sind also in guter Gesellschaft.

Angreifer raten nicht das Passwort eines bestimmten Kontos. Die schießen Schrot von Hunderttausenden von IPs auf Millionen von Konten. Dass sie treffen, ist sehr unwahrscheinlich für das einzelne Konto, aber eben nicht für "ich treffe schon einen". Und wenn es Ihr Konto ist, haben Sie Pech gehabt.

Der zweite, noch wichtigere Fall ist: die Datenbank mit den Hashes wird dem Angreifer bekannt. Dann kann er so viel testen, wie er will, es gibt keine Sperre nach ein paar Versuchen. Und weil die Leute faul sind und überall dasselbe Passwort benutzen (und praktischerweise auch noch denselben Benutzernamen aka E-Mail-Adresse), genügt es, an ein einziges Hash irgendwo zu kommen.

Für dieses Problem gibt es nur zwei gute Lösungen. Die eine heißt: Passwort-Manager mit Zufallspasswörtern, und die andere heißt: single-sign-on. Letztere ist mitunter riskant, weil Sie einer zentralen Stelle ermöglichen, Sie überall zu impersonieren.

Also, gönnt euch alle einen ordentlichen cloud-basierten Passwortmanager, merkt euch ein wirklich gutes Passwort (das NICHT aus Wörterbuch-Wörtern besteht), verwendet ansonsten nur noch Zufallspasswörter aus dem Generator, und ihr könnt fürderhin entspannt leben. Ich kenne meine Passwörter gar nicht; wozu auch?

Beitrag melden Antworten / Zitieren
99flow 26.08.2019, 09:58
65.

Zitat von alzaimar
"Stimmt der von Hashcat erzeugte Wert mit dem Hash überein, der in einer geleakten oder geklauten Passwortdatenbank gefunden wurde, dann müssen auch die Klartextkennwörter übereinstimmen." Das stimmt so nicht. Es reicht, das Frümzl23! und Slartib@art den gleichen Hash erzeugen.
Deswegen sollten(!) dafür ja kryptographische Hashfunktionen gewählt werden, die praktisch kollisionsresistent sind

Beitrag melden Antworten / Zitieren
unglaublich_ungläubig 26.08.2019, 10:00
66.

Zitat von Wohngebietsuwe
Dann sollte der Herr Steube das mal auch dem BSI einimpfen, die dafür sorgen, dass in Bundesministerien für Standardsysteme die Passwörter alle 6 Monate und für Zahlungssysteme alle 3 Monate gewechselt werden müssen. Manche Systeme sind dabei so alt, dass das Passwort nur X Zeichen lang sein kann und die eine Ziffer zwingend an Stelle Y stehen muss...
Ja, es ist leider sehr viel Unwissen unterwegs, auch und gerade bei Organisationen wie dem BSI -- leider. Wie Steube sagt führen Passwortwechselrichtlinien nur zu zwei Dingen: erstens werden Ziffern angehängt oder vorgestellt, was die Komplexität des Erratens nur minimal erhöht, und zweitens werden Passwörter aufgeschrieben, was konventionelle Angriffe erheblich erleichtert. (Glaubt es oder nicht: es ist viel leichter, ein Büro aufzubrechen, als einen Web-Server. Und es ist viel leichter, sich anstellen zu lassen, als von außen anzugreifen.)

Wenn Firmen sich Sorgen machen, sollen sie innerhalb der Firma SSO mit Hardware-Token implementieren. Passwörter, die es gar nicht gibt, muss man nicht wechseln und sich nicht merken.

Beitrag melden Antworten / Zitieren
Besserwissser 26.08.2019, 10:04
67. OK, das ist eben

Zitat von Vayreon
Das kann ich ihnen erklären: Angenommen Sie nutzen das gleiche Passwort (bzw. Variationen davon) bei all ihren Accounts. Ein Angreifer erbeutet die Nutzerdatenbank eines dieser Dienste (auch schon vorgekommen bei großen Firmen wie Sony oder Adobe). Im besten Fall sind die Passwörter sicher in der Datenbank gespeichert (Hash des Passwort nebst Salt). Der Angreifer hat jetzt alle Zeit der Welt, über brute force oder social engineering ihr Passwort zu erraten. Ist ihr Passwort schlecht, schafft er das schnell und hat jetzt ihre Zugangsdaten für diesen Dienst. Und jetzt kann der Angreifer einfach überall ihre Kombination aus E-Mail (steht ja auch in der erbeuteten Datenbank) und Passwort ausprobieren. Keine Loginversuch-Sperre hilft jetzt mehr.
wie die .Login früher bei Unix..

Aber wenn ich postuliere, daß die Nutzerdatenbank eines Dienstes erbeutet werden kann, dann kann man doch auch davon ausgehen, das man jegliches Andere auf diesen Rechnern unbefugt anstellen kann. Klar habe ich ein Passwort eines Nutzers ist es einfacher als wenn ich erst root des angegriffen Systems werden muss aber wenn jetzt noch das Ziel ist die Nutzerdatenbank zu erbeuten, ist es wenn alle sichere Passworte haben, eben ein anders. Die Verfügbarkeit der Nutzerdatenbank war sicher auch nicht geplant, genausowenig wie das Andere was dann erbeutet werden muss.

Beitrag melden Antworten / Zitieren
unglaublich_ungläubig 26.08.2019, 10:04
68.

Zitat von didohaun
wie dort bereits angesprochen: was ist mit implementierten sperren nach x fehlversuchen? Das müsste doch die »brute force« methode unmöglich machen.
Nein. Sie müssen den Fall bedenken, dass die Hashes dem Angreifer bekannt werden.

Außerdem erreichen Sie damit vor allem eins: Sie machen denial-of-service-Angriffe sehr einfach. Wissen Sie, wie leicht es ist, den Online-Zugang aller Kunden einer Sparkasse zu deaktivieren, so dass es Tage dauert, bis die alle wieder freigeschaltet sind? Und welchen Schaden das anrichtet? Das passiert nur nicht, weil keiner die paar Hundert Euro dafür ausgeben will, die es kostet. Manchmal frage ich mich, wie deren Admins nachts eigentlich ruhig schlafen können.

Beitrag melden Antworten / Zitieren
rudi_ralala 26.08.2019, 10:08
69.

Zitat von eldoloroso
Tach, Nun, "311Zwerg-Lakenfelder" hat zwar mit einer Entropie von 78 bit durchaus eine vernünftige Länge, aber besteht eigentlich aus zwei Termen: Einer Zahl und einem einzelnen Fachbegriff. Die Leistung der Cracker zolle ich meinen Respekt, aus dieser Ausgangslage ans Ziel zu kommen. Persönlich nutze ich Passwörter folgenden Beispieltyps "18 Pony singen Wolken lila" (108 bit Entropie), also 5 Terme ohne sachlichen Bezug zueinander. Mich würde wundern, wie der Crack-a-thon mit solchen Beispielen ausginge.
Ich gehe ähnlich vor, allerdigs nutze ich zusätzlich Sonderzeichen und Wörte die in keinem Wörterbuch zu finden sind. Mein Standardpasswort, nicht etwa Schlüsselpasswort hat 23 Stellen und das nutze ich für verschieden Zugänge. Nur dort nicht, wo ich in regelmässigen Abständen eine Passwortänderung vornehmen muss und wo es nicht möglich ist 23 Digits einzugeben.
Den Hacker würde ich gerne mal kennenlernen, der das knackt.
Da wäre ich sogar versucht meine Alterrente drauf zu verwetten.
Ich spreche jetzt nicht von Profis die mit Supercomputern arbeiten, bei der NSA würde ich die Rente nicht setzen.

Beitrag melden Antworten / Zitieren
Seite 7 von 13