Forum: Netzwelt
Sichere Passwörter: SindSieSchonGeknackt?

Passwörter sind Teil unseres Alltags, sei es die PIN am Bankautomaten oder das Login des E-Mail-Accounts. Kein Wunder, dass*wir gern*dieselben Codes nutzen - zur Freude von Kriminellen. Eine Webseite verrät, ob Ihre Passwörter schon in Umlauf sind.

Seite 2 von 10
MacGeifer 16.10.2011, 19:29
10.

Zitat von Trottel08/15
Ein Üblicher Home PC schafft MILLIONEN Möglichkeiten in der Sekunde? Halte ich mal für... Fragwürdig ;) Oder hab ich da was verpasst ^^
und doch ist es so. einfach mal ein wlan mit wep-verschlüsselung und sechsstelligem passwort nur aus buchstaben erstellen. entprechendes "tool" kostenlos via google beziehen und mal mit ner dualcorecpu probieren lassen. das ergebnis ist wenig überraschend.

was der artikel nicht erwähnt: der größte schwachpunkt sind nicht die passwörter sondern der benutzer die sie klartext in gefälschte formulare eingibt oder auf ominöse links klickt und sich den keylogger direkt zu sich nach hause holt um dann sein pw wieder im klartext weiterzugeben.

lange PW mit groß- und kleinbuchstaben sowie zahlen macht das knacken einfach unwirtschaftlich. man darf es sich nur nich anderweitig klauen lassen^^

Beitrag melden Antworten / Zitieren
whocaresbutyou 16.10.2011, 19:39
11.

irgendwie wird hier mal wieder die einfachste Lösung durch die unsinnigste ersetzt...

Drei falsche Eingaben und der Acc ist dicht.
ok... für Facebook-User vielleicht 5 ;o)
Anruf bei der Hotline, Frage -Antwort, Enstsperrung...
kein Mensch würde ernsthaft versuchen massenhaft derartige Accounts zu knacken...

Oder eine Zeitsperre, die sich mit jeder falschen Eingabe verdoppelt (5 Sekunden, 10, 20, 40, ...). Da würde das Austesten von 40 Kombinationen bereits 87.000 Jahre dauern.
Bereits bei 1022 Versuchen streikt EXCEL bei der Berechnung der Dauer in Jahren (3,5628E+300).

Da laufen alle Brute-Force- oder Wörterbuchattacken automatisch ins Leere, solange das Passwort nicht gerade "1234" oder "Porsche" ist...

Aber warum mit einfachsten Mitteln ein sicheres Portal, wenn man die Verantwortung auch dem User überbügeln kann?

Beitrag melden Antworten / Zitieren
Blackhole 16.10.2011, 19:41
12.

Zitat von Trottel08/15
Ein Üblicher Home PC schafft MILLIONEN Möglichkeiten in der Sekunde? Halte ich mal für... Fragwürdig ;) Oder hab ich da was verpasst ^^
25 Millionen Möglichkeiten in der Sekunde testen? Eher ein bißchen sehr wenig. Wenn mal in folgenden Artikel nachrechnet kommt man ungefähr auf 14,2 Mrd!
(6 stelliges Passwort mit Groß/-Kleinbuchstaben und Zahlen in vier Sekunden knacken = 62^6/4~14,2 Mrd. pro Sek.)
http://www.gulli.com/news/16285-mode...ter-2011-06-06

Beitrag melden Antworten / Zitieren
_____ 16.10.2011, 19:43
13. ShouldIChangeMyPassword ist doch Schrott!

Gebt mal bei https://shouldichangemypassword.com/ als Passwort "test" (ohne "") ein. Ich lach mich kapuut:

It looks like your passwords may be safe. No instances of compromise are recorded in this database. However, it's good practice to change your critical passwords regularly and ensure they are not re-used across multiple sites.

Scheint ja super zu funktionieren. Werde jetzt mal alle meine Passwörter auf "test" ändern.

Beitrag melden Antworten / Zitieren
Trottel08/15 16.10.2011, 19:49
14. lol

Zitat von MacGeifer
und doch ist es so. einfach mal ein wlan mit wep-verschlüsselung und sechsstelligem passwort nur aus buchstaben erstellen. entprechendes "tool" kostenlos via google beziehen und mal mit ner dualcorecpu probieren lassen. das ergebnis ist wenig überraschend.

Ähm, WEP ist ansich geknackt, der Schlüssel wird errechnet, NICHT durch rumprobieren herausgefunden, das ist etwas VÖLLIG anderes, und es ist dabei auch egal woe das Passwort aufgebaut ist, das einzige was entscheidet ist ist die Schlüssellänge ( 64-128bit )

Beitrag melden Antworten / Zitieren
chris38083 16.10.2011, 20:04
15. Emailadresse, nicht Passwort

Zitat von _____
Gebt mal bei als Passwort "test" (ohne "") ein. Ich lach mich kapuut: It looks like your passwords may be safe. No instances of compromise are recorded in this database. However, it's good practice to change your critical passwords regularly and ensure they are not re-used across multiple sites. Scheint ja super zu funktionieren. Werde jetzt mal alle meine Passwörter auf "test" ändern.
Naja, wenn ich es richtig verstanden hab, wird nach der Emailadresse gefragt, nicht nach dem Passwort.

Eine Emailadresse von "test" ist nunmal keine gueltige Emailadresse und es existiert daher auch kein geknacktes Passwort dafuer.

Beitrag melden Antworten / Zitieren
electroDad 16.10.2011, 20:14
16. Wer lesen kann ist klar im Vorteil....

Zitat von _____
Gebt mal bei als Passwort "test" (ohne "") ein. Ich lach mich kapuut: It looks like your passwords may be safe. No instances of compromise are recorded in this database. However, it's good practice to change your critical passwords regularly and ensure they are not re-used across multiple sites. Scheint ja super zu funktionieren. Werde jetzt mal alle meine Passwörter auf "test" ändern.
Da steht "enter your email here", test ist keine gültige E-Mail, also auch schwerlich ein kompromitierter Login-Bestandteil.
Heißt aber nicht, dass ich sagen weiß, dass der Service gut ist.

Beitrag melden Antworten / Zitieren
rgw_ch 16.10.2011, 20:17
17. Stimmt nicht so ganz

Also ganz so einfach ist es ja nicht. Bei den meisten Gelegenheiten, ein Passwort einzugeben, kann man nicht beliebig probieren. Versuchen Sie mal, mit einer gefundenen Bankkarte am Automaten 28 Millionen Eingabeversuche zu machen. Oder versuchen Sie, sich bei der Bank Ihres Vertrauens per brute force ins online-banking einzuloggen. Spätestens nach drei Versuchen sind Sie erstmal draussen. Da ist "Kadett63" schon ziemlich unknackbar :-)

Leider ist die Realität übler: Der Cracker wird Ihr Passwort nicht per brute force knacken, sondern er wird Ihnen einen Trojaner unterjubeln, der ihm brav alle gefundenen oder just irgendwo eingetippten Passwörter zusendet. Da nützt Ihnen dann auch "asfwfsdf87!!23642$??dsgfasfg" nicht wirklich viel dagegen.

Und der Rat, das Passwort regelmässig zu wechseln, ist zwar uralt, aber mathematisch eigentlich auch nicht nachvollziehbar. Ein Passwort altert ja nicht. Der Rat wäre nur dann stichhaltig, wenn man davon ausginge, dass ein Cracker monatelang dran bleibt und mit Brute-force systematisch eine Kombination nach der anderen probiert.
Wenn Sie nicht grad Betreuer eines Geheimdienst- oder Bankservers sind, ist es aber eher unwahrscheinlich, dass Ihnen soviel Aufmerksamkeit zuteil wird.

Beitrag melden Antworten / Zitieren
Hercules Rockefeller 16.10.2011, 20:20
18. Gone Phishing

Zitat von _____
Gebt mal bei als Passwort "test" (ohne "") ein. Ich lach mich kapuut: It looks like your passwords may be safe. .... Scheint ja super zu funktionieren. Werde jetzt mal alle meine Passwörter auf "test" ändern.
Öhm, Sie sind das beste Beispiel dafür, wie Phishing funktioniert...

Hätten Sie sich die Seite angeguckt, also wirklich gelesen und nicht nur reflexhaft das Formularfeld ausgefüllt, dann hätten Sie eventuell begriffen, dass Sie dort nicht Ihr Passwort eingeben sollten, sondern Ihre bzw. eine Emailadresse.

In Zukunft werde ich glaube ich auch Internetkrimineller. So einfach kommt man ja nicht einmal an der Börse an Geld...

Beitrag melden Antworten / Zitieren
electroDad 16.10.2011, 20:30
19. Richtiges Thema, aber kurz gesprungen

Grundsätzlich finde ich solche Artikel natürlich sinnvoll, denn es fehlt natürlich nach wie vor vielen Leuten das Bewusstsein für die Problematik. Schade natürlich, dass nicht nur die Sorgfalt in Sachen Literatur, sondern auch in der eigentlichen Materie nicht vollkommen überzeugen können.
Es ist klar, dass sich viele Laien nicht mit den technischen Details auseinandersetzten wollen und können. Auch das nennen von Zahlen, wie hier im Forum oder in den Artikeln ist ohne Zusammenhang wenig hilfreich. Es ist klar, dass Programmierer und Administratoren durchaus dafür sorgen können, dass auch ein relative einfaches Passwort vergleichsweise „sicher“ sein kann. [Passwort-Hashes komplex erzeugt und gesalzen z. B.]
Ich als Benutzer weiß aber nicht, wie der Anbieter das handhabt. (Wäre in diesem Zusammenhang auch mal interessant, wie der Spiegel unsere Passwörter sichert!) Es soll sogar auch Fälle geben in denen böswillige Leute Services attraktive anbieten, um (Standard)-Passwörter mitsamt E-Mail-Adressen abzugreifen. Viel wichtiger als ein komplexes Passwort ist es also nicht überall das Gleiche zu verwenden. Es gibt übrigens eine ganze Reihe guter Software-Angebote zur Passwort-Verwaltung, die das recht komfortabel ermöglichen.
Dem Kollegen, der vorschlägt, einfach den Account nach 3-5 Fehlversuchen zu sperren kann ich nur wünschen, dass er keine E-Mail hat oder Nutzernamen, die anderen sehr ähnlich ist. Oder gar einen Kollegen, der ihn gerne ärgert und mit seiner E-Mail einfach mal 3 Versuche unternimmt. Sonst würde er die Nachteile dieser Methode schnell erfahren.

Beitrag melden Antworten / Zitieren
Seite 2 von 10