Als sicher geltende Passwörter nicht mehr sicher

Das Beratungshaus Deloitte hat den Anbietern von Webdiensten und den Nutzern dringend geraten, sich schnell Gedanken über einen Ersatz für die bisher übliche Sicherung eines Accounts durch ein Passwort zu machen. mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Problem 1: man braucht heute zuviele Passwörter. Problem 2: Jeder Dienst will andere Formate an Buchstaben, Zahlen und Zeichenkombinationen. Problem 3: Hilft alles nichts wenn die Passwörter direkt beim Anbieter geklaut werden. Also muss wohl für 99 % der fälle "Passwort" reichen.
 
@winhistory: Ich empfehle dir mal die Software Keepas. Seitdem hab ich auch für alles komplexe Passwörter und vergesse nie was. Die Datenbank selbst ist ebendfals verschlüsselt und durch ein langes PW gesichert. Des Weiteren bietet keepas noch weitere Anmeldungsverfahren und verschlüsselungsmethoden.
 
@Clawhammer: Ich kann KeePass auch nur empfehlen. Ich weiss von keiner Anmeldung das Kennwort selbst (irgendein Zahlen-Buchstaben-Kauderwelsch) und alle Kennwörter sind unterschiedlich. DB hab ich immer dabei, falls ich sie brauche.
 
@Clawhammer: und das Beste ist, KeePass ist auch auf dem Handy kein Problem. ich habe überall sehr lange Passwörter voller abstruser Sonderzeichen, mehr als das Masterpasswort weiß ich schon gar nicht mehr... :)
 
@Clawhammer: Ja das kann ich auch empfehlen. Man merkt sich nur ein richtig gutes Master-Passwort, und den Rest merken sich KeePass und SeaMonkey oder Firefox.
 
@Clawhammer: Wegen der News hier bzgl. KeePass habe ich kürzlich in einem anderen Forum gefragt, was die Leute davon halten. Dabei hat mir jemand eine interessante Seite gezeigt: https://www.grc.com/haystack.htm Hier gibt es ein gutes Beispiel etwas weiter unten, wo (rein theoretisch) das Passwort "D0g....................." sicherer ist als "PrXyc.N(n4k77#L!eVdAfp9", da ersteres genau ein Zeichen mehr hat. Persönlich fand ich den Gedanken dahinter ziemlich interessant und werde vermutlich in Sachen Passwörter mal umdenken ;) EDIT: Hier noch ein passendes Bild dazu: https://xkcd.com/936/
 
@raketenhund: Jup. Meine sicheren "PWs" sind allesamt Paßphrasen.
 
@Clawhammer:
Neben Keepas ist auch noch http://www.safe-in-cloud.com/ eine gute Alternative. Bietet meines Erachtens eine aufgeräumtere Oberfläche. Und nein, man muss nicht die Cloudfunktion nutzen, wenn man dies als zu unsicher betrachtet.
 
@Clawhammer: Und was passsiert wenn Keepas gehackt wird auf meinem PC?
 
@Clawhammer: Das Problem ist nur, wenn wirklich mal jemand dein PC hackt, braucht er nur 1 Passwort entziffern von keepas und er hat gleich alle Passwörter... Oder seh ich das falsch?
 
@C47: Das siehst du in der Tat falsch. Dafür gibt es zusätzlich zum Passwort eine Keyfile. Diese muss auch erstmal gefunden und kopiert werden. Und wenn jemand deinen PC hackt, hast du ganz andere Probleme. Da ist KeePass sogar noch sicherer, weil es Methoden benutzt, damit das Passwort weder getippt wird, noch ganz im Zwischenspeicher steht. Wenn du deine Passwörter händisch eingibst, dauert es eben, bis man "alle" Passwörter hat, aber bekommen tut man sie. KeePass stellt da schon einige Hürden, ein einfacher Keylogger reicht da schon nicht mehr.
 
@Clawhammer: Und dann bist du zB im Internetcafe......
 
@winhistory: Ein weiteres Problem: Man hat unendlich viele Versuche eine Passwort einzugeben (meistens)- 10min Sperre nach 5 falscheingabe verlängert die Methode extrem.
 
@winhistory: 3. Problem ist das größte Problem neben der Tatsache das viele Anwender das gleiche Passwort für alle Accounts verwenden und mit Gefahr laufen die Sicherheit aller accounts mit einem Schlag zu verlieren.
 
@winhistory: Die langsamen Leitungen zu Servern erlauben doch gar nicht erst so eine schnelle Passwortabfrage wie hier geschildert wird. Also würde ich da vorerst gar nicht so viel angst haben. Meine Passwörter sind (je nach Anbieter) auch mehr als 15 Zeichen und das sollte für die nächsten paar Jahre reichen.
Und das Problem bei KeePass ist, dass man es immer dabei haben muss und dafür sorgen, dass die Datenbank gesichert ist und keiner an sie herankommt. Wenn man da nur einen Fehler macht, sind gleichzeitig alle Passwörter weg.
 
@***XOX***: Hmmm, meine Datenbank liegt in der Dropbox, wird automatisch mit meinem Smartphone und jedem Rechner den ich besitze syncronisiert. Sichert man die Datenbank mit einer Key-File und läd diese nirgendwo hoch, sondern überträgt sie manuell auf die betreffenden Systeme kann effektiv nichts passieren. Ich würde dir sogar meine Passwortdatenbank schicken und hätte nicht die geringste Angst, dass du an die Passwörter kommst, selbst wenn du das Passwort kennst, kommst du nicht ran. Man sollte sich halt einfach mal etwas schlau machen, KeePass bietet schon nahezu perfekte Methoden um Passwörter zu sichern.
 
@winhistory: Jopp. Ich habe eine übersichtliche Anzahl von Passwörtern welche mir logisch sind - und dennoch gem. Kerberos sicher. Ist genauso wie beim einbrechen: die Gefahr, dass jemand mit genügend Geduld und Planung sowie passender Technik ein noch so sicheres Türschloss knackt ist zwar gering aber vorhanden. Wichtig ist, dass ÜBERHAUPT ein Passwort vergeben wird. Leider sehe ich viel zu häufig, dass dies nicht der Fall ist. Ein Passwort ist immerhin die erste Hürde die einen Angreifer in den Weg gestellt werden kann.
 
Vertu ich mich, oder ist das ganz großer Schwachsinn? Brute-Force-Attacken haben doch überhaupt keinen Sinn, da nach mehrmaligem falschen Eingeben des Passworts der Account üblicherweise gesperrt wird. Zumindest gibt es nach X falschen Versuchen ein langes Timeout. Da hilft auch keine Grafikkarte und kein Botnetz. => Es gibt kein Problem?
 
@borbor: Genau das frage ich mich bei der Thematik auch schon seit langer Zeit. Ich wüsste jetzt nicht, dass ein Bot unbegrenzte Versuche hätte, schließlich simuliert das Ding ja auch nur eine Tastatureingabe.
 
@DON666: Es gibt viele, wenn denn überhaupt vorhanden, die sind recht einfach gestrickt. Bei manchen reicht schon ein Browserwechsel, bei anderen wird nur die IP für eine bestimmte Zeit geblockt. (Das mit dem Browserwechsle konnte ich z.B. auf der Seite eines gewissen Paketdiensten den ich jetzt nicht direkt nenne, den mit roter Schrift auf gelbem Grund ;), feststellen)
 
@DON666: naja, mit genügend infizierten Rechnern hat man sehr viele Versuche - besonders, wenn es noch dynamische IPs sind
 
@DRMfan^^: Okay, stimmt schon, an die Variante hatte ich dabei nicht gedacht. Wobei natürlich auch das ohne großen Aufwand abzufangen wäre.
 
@DRMfan^^: Indem generell die Anzahl der Zugriffe auf ein- und denselben Account überwacht, und dabei gecheckt wird, in welchem zeitlichen Abstand diese Zugriffe von verschiedenen IPs kommen.
 
@DON666: Und dann dem Nutzer sagen "Sorry, jemand versucht gerade, dein Passwort zu erraten, daher kannst du derzeit auf diene Daten nicht zugreifen" ? So einfach war DDoS noch nie ;)
 
@borbor: Der einzige der eine brute force attacke im facebook login formular macht ist die eiffersüchtige freundin. Ansonsten geht es hier darum, dass hacker zum beispiel eine datenbank auslesen und die hash werte zu den passwörtern haben. Oder sie haben zugriff zu verschlüsselten dateien. Bei soetwas gibt es kein time out.
 
@ANSYSiC: OK, aber eine Sache verstehe ich dann trotzdem nicht: Wenn es nur darum geht irgendein Passwort zu finden, dessen Hash das gleiche ist wie das des Nutzer-Passworts, dann ist die Sicherheit des Original-Passworts doch egal? Sowohl "a" als auch "JHGjhV5tf&/zg6" liefern ja einen (quasi) zufälligen Hash. Für eine Brute-Force Attacke müsste das ja dann egal sein?
 
@borbor: Nicht ganz. Ein bestimmter Klarwert liefert immer den Identischen Hash Wert und man kann Hash Werte nicht zurück in Klartexte umwandeln. Die einzige Möglichkeit die der Hacker hat ist alle mögliche Kombinationen von Buchstaben, Zahlen, Sonderzeichen und co zu bilden (den Klartext), davon den Hash Wert zu Berechnen und diesen Wert dann mit dem gestohlenen Wert zu vergleichen. Wenn der gestohlene Hash Wert mit dem Berechneten Hash Wert übereinstimmt dann ist der zu der Berechnung des Hash Wertes verwendete Klartext das zutreffende Passwort. Optimierungs mechanismen sind halt Statistiken, Rainbow Tables (Es werden einmalig paare von Kombinationen und Klartexten gebildet um sie nicht jedes mal neu Berechnen zu müssen) und anderes Wissen über die Passwörter (minimale Länge, Verwendete Zeichen, etc.). Hier kannst du dir dazu mal anschauen wie Lange das grob für einen Pentium dauert http://www.gerhard-meyer-edv.de/images/tippderwochepasswort.htm . Die Kombinationsmöglichkeiten berechnet man über "Kombinationen pro Stelle hoch Länge des Passwortes" also für alle Kleinbuchstaben z.b. 26 ^ 8 bei 8 stellen. Je verschiedener die eingesetzten Zeichen sind (Sonderzeichen, Groß / Klein / Zahlen etc.) desto größer werden die Kombinationen pro Stelle. Die Kombinationsmöglichkeiten und damit die Sicherheit des Passwortes steigt also Expotentiell zur Länge des Passwortes an.
 
@Suchiman: Wenn da nicht das Problem mit den Hash währ. Aus einem klartext Passwort wird ein Hash errechnet z.B. MD5. Das geht immer nur in eine Richtung. Also muss man ebendfalls einen klartext hashen und den Hash vergleichen. Das Problem ist das es unterschiedliche Klartexte geben kann die den gleichen Hash erzeugen. Somit könnte man ein ganz anderes Passwort durch probieren herausbekommen das ebendfalls funktioniert.
 
@Eistee: Setzt aber voraus, dass man den richtigen Hash kennt und dazu braucht man erstmal zugriff auf die Nutzerdatenbank, was schon schwieriger sein sollte als ein 8stelliges Passwort zu knacken.
 
@Eistee: Da hast du recht, allerdings gibt es ja neben MD5 noch die anderen Hash Verfahren wie SHA512, da ist diese Kollision bisher praktisch nicht möglich. Dieser 2. Klartext mit dem selben Hash Wert ist für den Hacker aber trotzdem ein erfolg da es ebenfalls als valides Passwort dir Zugang geben würde.
 
@ANSYSiC: Die müssen es doch erst mal schaffen an die Datenbank ranzukommen. Gerade bei dem im Artikel erwähnten Online-Banking wird das wohl kaum schaffbar sein.
 
@borbor: zumal billionen von login-anfragen den server voll überlasten würden. spätestens dabei fällt die attacke doch eigentlich auf..
 
@borbor: Nicht nur deshalb macht Bruteforce und auch sonstwas kaum Sinn, denn immerhin müssen die Passwörter per HTTP kommuniziert werden und das dauert sowieso. Im Artikel wird mit Laborwerten gehandhabt die im www fernab jeder Realität liegen.
 
@borbor: Erstens ist das bei vielen Anmeldungen eben doch nicht der Fall, zweitens kann man es zum Teil auch umgehen.
 
@borbor: Kurz zur Erklärung. BruteForce macht nur sinn wenn man zuerst die Hashes geklaut hat, d.h. wenn eine Seite sicher ist und man nur das Webinterface hat, dann haben die keine Chance. 2. Es wird mittlerweile auf Hashes gesetzt welche extrem langsam sind und so auch brute force nicht effizient ist (z.b PKCS da beissen sich die Leute die Zähne aus) alles Panikmache.
 
@borbor: Exakt! Ich versuche mir gerade vorzustellen, wie die Website meiner Bank reagiert, wenn 30 Milliarden mal oder mehr versucht wird, das Passwort zu "erraten" (von "knacken" kann man da ja nicht sprechen). Das ist doch albern!
 
@borbor: ich gebe dir da Recht ... einzig bei direktem Zugriff auf die Verschlüsselte Datei (z.B. TrueCrypt-Container) greift die Brute-Force-Methode
 
@borbor: Du hasts erfasst. Kein Onlinedienst, der etwas auf Sicherheit gibt wird 1000+ fehlgeschlagene Anmeldungen an einem tag einfach so hinnehmen. Der Acc wird gesperrt und der User per E-Mail informiert.
1000 Anmeldungen sind bei einem Bruteforce Verfahren für ein 8 Stelliges PW nix. Andere Geschichte isses wenn die DB des Dienstes geklaut wird, aber da kann der average joe nix dran ändern und da ändern auch SmS PWs auf unsichere Smartphones nix dran.
 
Es ist einfach bitter! Der Standard PC Nutzer macht sich doch keinen Kopf, ob sein Passwort "Katze1612" vor technisierten angriffen sicher ist. Trotzdem kann er dadurch Nachteile erleiden und ist ggf. dafür haftbar. Da sehe ich mehrere Ansätze: Die Betreiber von Passwort geschützten Diensten müssen von sich aus eine Lösung finden, ansonsten hat er die Folgen zu tragen. Als Beispiel meine Fritz Box: Je öfter man ein Passwort falsch ein gibt, desto länger muss man auf eine Neueingabe warten... Die andere Seite ist die Fortbildung von Menschen um sie zu schützen. Egal ob Schule, Volkshochschule oder vergleichbare angebote müssen verbessert und quantitativ gesteigert angeboten werden. Der Kleine Mann/Frau ist natürlich wieder der Arsch..
 
@Antiheld: wie die Beiträge weiter oben schon aufzeigen ist die Gefahr nicht ganz so groß wie sie geredet wird. Accountlockout Zeitliche Begrenzung etc sind für die "Normalen" Zugänge schon recht gut. Was dort gemeint ist, ist wenn eine Nutzer Datenbank in die Händer der Gauner fällt. Dann dauert das entschlüsseln nicht mehr solange wie früher gedacht.
 
@skyjagger: Nur ergibt bei einer verschlüsselten Datenbank als "Opfer" der Artikel keinen Sinn mehr. Wer verschlüsselt denn eine Datenbank mit einem 8 stelligen Passwort? ^^
 
@Antiheld: Wer ein Gerät benutzt, welches das Potential besitzt sich selbst und Anderen (in erheblichem Ausmaß) zu schaden, muss sich entsprechend Informieren, seine Kompetenz beweisen und im Ernstfall haften. Ist bei Waffen so, ebenso bei Autos. Verstehe ohnehin nicht, warum ein "Internetführerschein" keine Pflicht ist. Das Problem beschränkt sich ja nicht auf Passwörter, auch DDos-Angriffe sind ein Problem. Diese werden zu meist durch Botnetze durchgeführt, die nur entstehen können, weil sich die meisten Internetnutzer nicht für Sicherheit interessieren.
 
@Antiheld: Ja Ja die gute alte Fritzbox... das zeigt für mich auch ein anderes Problem. Wie viele PCs haben denn überhaupt mehrere Nutzer? Und auf wie vielen PCs hat auch kein anderer Zugriff? Trotzdem wird man überall nach irgendwelchen Benutzernnamen/PW gefragt, die nicht in z.B. Cookies gespeichert werden, mit eben der Gefahr das man dann überall das gleiche und einfaches nimmt.
(Bei der Fritzbox hätte man die GUI z.B. fest auf LAN 1 legen können und optional eine ständige PW Abfrage)
 
@Antiheld: Dankeschön Antiheld, jetzt muss ich mein Passwort für Winfuture ändern :) diesmal vielleicht irgendwas mit "Hamster" ...
 
@Antiheld: Hätte aber 9 Zeichen. ^^ . Schon lange werden mehr als 12 Zeichen empfohlen. Phrasen wie zum Beispiel die aktuelle headline mit zwei bis drei Stellen leetcode sind am besten zu merken und gute Masterpasswörter. Dem PC ist es Latte ob da 4, P, a, oder #*$ steht. Klar, einfache brute force Angriffe zielen auf genau diese kurzen otto1982-like Kombinationen aus Groß-/Kleinbuchstaben mit Zahlen ab. Ich hau seit Ewigkeiten alles in geschützte Archive. Klar die kann mann die schneller entführen aber Zettel am PC halte ich für noch unsicherer, gerade wenn ständig Bekannte zu Besuch sind und die Familie mitsurft. Wenn es einfacher wird lange Phrasen zu berechnen kaskadiere ich eben mehrere Archivebenen mit mehreren Masterpasswörtern. An dieser Stelle muss ich wieder darauf hinweisen, dass so gut wie alle Webserver von Menschen gepflegt werden, man denen also immer mehr oder weniger blind vertrauen muss. Als schlimmer Finger würde ich genau so arbeiten. Schickes Mainstream-Forum, um viele Accounts abzufassen. Deswegen geht auch nie auf Seiten, die eure Passwortsicherheit prüfen! Auch nicht bei MS oder 'gott.org'. Nur ein Denkanstoß für gewissenhaftes Verhalten und der Hinweis, dass es keine absolute Sicherheit gibt. Die Idee mit Einzelpasswörtern per SMS halte ich für sehr fahrlässig und zeitraubend für den Benutzer obendrein.
 
Immer diese schönen Laborversuche, die so nicht in die Realität übertragbar sind. Was nutzt es, wenn das Gerät, welches die Bruteforce Attacke durchführt super schnell ist, wenn Netzanbindung und Serverperformance auf der anderen Seite das Ganze wieder ausbremsen? Stichwort Flaschenhals.
 
@karstenschilder: Du weißt wie Brute Force funktioniert? Zugriff auf Server erlangen, Tabelle mit Passwort-Hashes auf eigenen Rechner kopieren, lokal Brute Force-Angriff gegen kopierte Tabelle starten. Wozu braucht man hier eine schnelle Netzanbindung während des (BF) Angriffs?
 
@psylence: Aber wenn ich die Hashes habe ist es doch vollkommen egal ob das Passwort 8 Stellen oder 100 Stellen hat, der Hash bleibt der gleiche. Also was soll der Artikel, wenn es um Brute-Force gegen eine Hash-Datenbank geht?
 
@Draco2007: egal ob 8 oder 100 Stellen, der Hash bleibt der gleiche? Wie bitte? Äh, nein? Oder auf was willst du hinaus?
 
@psylence: Klar, ein Hash für ein Passwort, dass bis zu 100 Stellen aufnehmen kann, darf sich nicht von einem Hash unterscheiden, der nur aus einem 8 stelligen Passwort kommt. Sonst könnte man ja schon über die Hashlänge auf die Passwortlänge schließen, was die Anzahl der Möglichkeiten schon einschränkt. Ja 100 stellen sind Quatsch, weil die Hashes damit recht groß werden, aber du kannst einem Passwort-Hash nicht ansehen ob dieser durch ein 8 oder 12 stelliges PW entstanden ist.
 
@Draco2007: Ach so, du redest von der Länge des Hashes? Das hast du nicht erwähnt. Ich vermute hier einfach ganz stark, dass die Anzahl der infrage kommenden Passwörter arg beschränkt sind, da Hashes doch sehr lang sind (im Vergleich zu Passwörter) und somit nicht so schnell Übereinstimmungen zu finden sein sollten. Falls doch, kann man die 2, 3 Passwörter nach deren Wahrscheinlichkeit sortieren und über die Weboberfläche prüfen.
 
@karstenschilder: Hab ich mir auch als erstes nach dem durchlesen gedacht. Was ich mich aber gerade fragen. Es gab ja vor kurzem den Hack auf die NYT von angeblich chinesischen Hackern. Wie war es den möglich, die Passwörter zu knacken?
 
Besonders hilfreich ist Brute-Force bei Accounts mit zusätzlicher Sicherung, wie Dropbox oder GMail.
Da bekommt man eine SMS mit einem weiteren Authentifizierungscode (wenn aktiviert!!!).
 
@starbase64: tja WENN... eine LiveID KANN (ich weiß jetzt nicht genau welche davon MS vorschreibt) mit SMS, dem Computernamen, einer 2ten eMail und einer geheimen Frage geschützt werden. Bei der Wahl eines PW wird einem auch angezeigt wie "Sicher" dieses ist. Ich würde mich aber nicht wundern, wenn viele das LiveID PW 123456 haben und mehr nicht.
 
Es mag ja sein das man mit Grafikkarten die Passwörter leichter knacken kann, es gibt nur ein entscheidendes Problem. Das program soll mal versuchen die 6.1 billiarden Kombinationen bei einem onlinebanking account einzugeben. 1. wird nach einer gewissen Anzahl von Fehlversuchen das account mit sicherheit blockiert und zweitens wird durch das durchprobieren der Passwörter am Banking account der gesamte Vorgang so extremst ausgebremst, das man die Passwörter auch mit einem 286er ermitteln könnte. Es müsste schon ein verschlüsseltes Datenpaket lokal vorliegen was dann mit den vielen Passwörtern durchprobiert wird. Dazu muss das Programm aber auch wissen wann wirklich entschlüsselte Daten vorliegen oder nur Datenmüll. Man sollte nicht immer gleich den Teufel an die Wand malen, nur weil es eine theoretische Möglichkeit gibt Passwörter in kurzer Zeit zu knacken. EDIT: die größere Gefahr sehe ich da eher bei verschlüsselten ZIP Dateien oder Festplattenpartitionen, wo die Daten wirklich lokal vorliegen und zum Entschlüsseln eine spezialisierte Software verwendet werden kann.
 
@X2-3800: Nur sollte man bei verschlüsselten ZIPs oder Festplatten keine 8 stelligen Passwörter nehmen. Ich habe für meine "Hochsicherheits"-Archive ein 64 stelliges Passwort incl Sonderzeichen. (KeePass machts möglich). Aber sonst hast du natürlich recht, wenn ich an eine zu knackende Datei rankomme und diese dann noch verteilen kann um sie zu knacken ist Brute Force wirklich eine Möglichkeit.
 
@Draco2007: und dein KeePass Passwort ist 12345? :)
 
@dognose: Pssst nicht verraten...nein schon etwas komplexer und zusätzlich mit einer Keyfile gesichert. Also nur die Datenbank ohne Keyfile ist effektiv nicht zu knacken.
 
@Draco2007: da nun alle wissen das dein PW 64 Zeichen hat gilt es nur noch 2,47330401 × 10 hoch 173 Kombinationen zu testen (erweiterter Zeichensatz nicht beachtet). ;-)
 
@unbound.gene: Oh nein! Dann muss ich mir ja in den nächsten 7,82*10^159 Jahren (1 Mio Versuche pro Sekunde) ein neues Passwort erstellen :p
 
@Draco2007: Mann wasn Aufwand um ein paar Pornos zu verstecken. Damals haben wir da einfach nur die File "unsichtbar gemacht". ^^
 
@X2-3800: Ein Hacker oder Bot wird bestimmt nicht direkt versuchen, an einer Website mit Bruteforce dein PW zu knacken. So schlau sind die schon. ;) Ich hol mir die (verschlüsselten) Daten über einen anderen Weg. Social Engineering, Laptop klauen, DB hacken etc. und ziehe sie erstmal ab. Dann kann ich in Ruhe lokal Bruteforce anwenden. ;-)
Du glaubst nicht, wie schnell man root-Zugriff auf Server bekommt :P
 
@hullfouse: Auch hier, wenn ich die Hashes habe, spielt es keine Rolle mehr wie lang das Passwort ist, der Artikel bezieht sich aber EXPLIZIT auf die Unsicherheit von <= 8stelligen Passwörtern.
 
Tolle Idee für Banken: 3x falsch eingegeben, Zugang gesperrt. Entsperrt werden kann nur gegen Authentifizierung mit Perso (oder vergleichbarem Dokument) beim persönlichen Vorsprechen bei der Bank... Dir VR zb hat das so... Wundert mich, dass es wirklich welche geben soll, die das nicht so machen (zumindest das sperren nach x versuchen bzw längerer timeout bei mehrfachen fehlversuchen).
 
@Slurp: Bei den Volksbanken sieht es aber je nach Gebiet auch anders aus. Das ist nicht so unifiziert
 
@Slurp: Wieso gehen hier eig. alle von Angriffen auf die Banken aus? Also ich würde eher etwas angreifen, bei dem ich weiß das Kreditkarteninformationen hinterlegt sind und eben KEINE Sperrung erfolgt, wie es beispielweise bei den meisten "Spiele-Accounts" (Steam, etc) der Fall ist. Die dürften auch genügend Leistung haben um eine große Menge an Login-Versuchen durchhalten zu können, wobei die Grafikkartenverteilung trotzdem ein Overkill für die meisten Login-Server sein dürfte.
 
@Draco2007: Steam ist ein denkbar schlechtes Beispiel, da die mit dem standardmäßig aktivierten Steam Guard eine doch sehr sichere Methode haben.. Ohne authentifiertes Gerät kommst du gar nicht über die Loginmaske hinaus
 
@Slurp: Dann eben Uplay oder Origin, oder eben eines der tausenden MMOs da draußen ^^
 
@Draco2007: Ja natürlich.. verstehe ja wie du es meinst ;)
 
@Slurp: Aber du hast auch Recht. Steam ist was das angeht wirklich vorbildlich. Trotzdem würde ich da nie meine Kreditkarteninfos speichern lassen....
 
@Draco2007: war ja auch dringend nötig, dass die ihr system verbessern, nachdem das mit den account-hacks in den letzten jahren massiv zugenommen hat... dass sie aber mit dem Guard so ein vorbildliches System raushauen, hätte ich dann auch nicht gedacht
 
@Draco2007: ganz so dumm sind die application firewalls u.ä. ja nicht dass ihnen nicht 1 millionen loginversuche in kurzer zeit "komisch" vorkommen. Die oben angemahnten "ergänzungen" zum klassischen passwort sind längst im gebrauch.
 
@Draco2007: Wieso gehen hier eig. alle von Angriffen über Webloginmasken aus? Davon hat niemand gesprochen...
 
@psylence: Weil es im Artikel um einen Anbieter von Webservices geht? Und Angriffe auf die Nutzer von diesen? Oder kannst du Nutzerkonten von Webservices neuerdings offline "hacken"?
 
@Draco2007: Denk doch an den Angriff auf das PSN, Sony. Der Angriff erfolgte über eine SQL-Injection. Einfach eine SQL-Abfrage in ein Formular eingeben und mit etwas Wissen darüber, was du machst, kannst du dir jede beliebige Datenbanktabelle auf der Webseite ausgeben lassen. Diese speicherst du lokal ab und kannst sie angreifen wie du lustig bist.
 
@psylence: Ja dann habe ich einen ganzen Arsch voll Hashes, die mir aber nichts bringen. WENN der Anbieter natürlich wirklich so bescheuert ist und die Passwörter im KLARTEXT in seiner Datenbank speichert, DANN ist sowieso Hopfen und Malz verloren. Üblicherweise werden Passwörter gehasht und dann wird geschaut ob dieser Hash mit dem Hash in der Datenbank übereinstimmt. (um das ganze sicherer zu machen gibt es noch das Salt, eine Datenbankverschlüsselung würde man mit einer SQL-Injection umgehen, da einem die Datenbank die Daten ja freiwillig rausgibt. An den Salt kommt ich so allerdings nicht)
 
@Draco2007: Ich rede gar nicht von Klartext. Mit "lokal gespeicherter Datenbank angreifen" meine ich, dass eben, wie du schon beschrieben hast, Hashes für jedes Passwort generiert bzw. in einer Rainbow Table nachgesehen und mit der Datenbank verglichen werden. Dass man das ganze mit Salts natürlich erschweren kann, ist klar. Aber man hat ja in den letzten Wochen und Monaten in den News gesehen, wie oft das - vor allem auch bei großen, bekannten Firmen - eingesetzt wird... MD5 wird verwendet, ja...
 
@Draco2007: Bzw. was mir beim Lesen eines anderen Kommentares gerade gekommen ist: Wenn man nur Zugriff auf ein Konto des gehackten Dienstes haben will, muss man das Passwort nicht mal herausfinden. Es reicht (unter gewissen Umständen), den aus der Datenbank geklauten Hash an das Login-Skript zu senden und man erlangt Zugriff. Somit kann man sogar das Brute Forcen umgehen... Schon sind wir beim nächsten Problem.
 
@psylence: Klar, wenn du die Hashes (ohne Salt) hast, hast du gewonnen. Aber dabei spielt es keine Rolle ob das ursprüngliche Passwort 8 oder 16 Stellen hat. Beide könnten zufällig eine Kollision mit einem 4 stelligen Passwort haben. (Unwahrscheinlich, aber möglich)...Zu dem neuen Punkt, die Idee ist mir auch schon gekommen. Die Frage ist halt, wo gehasht wird. Lokal -> du hast Recht, Serverseitig -> funktioniert nicht mehr, setzt aber verschlüsselte Übertragung voraus, da ja sonst das PW direkt ausm Datenstrom gefischt werden kann.
 
@Draco2007: Das müsste man eigentlich testen, ab wann die erste Kollision auftritt. Ich glaube aber nicht, dass das bereits bei so wenigen Stellen passiert. Und ich mein, selbst wenn: Was wird wahrscheinlich das Passwort sein? "Katze123" oder ".[3§_*&;"? - Stimmt, bei serverseitigem Hashen über HTTPS könnte das funktionieren.. Wäre da nicht die News von vor ein paar Tagen, die TLS an sich als angreifbar erklärt hatte ;)
 
@psylence: Spielt doch keine Rolle welches das echte Passwort ist, beide dürften funktionieren. Es wird ja eben nicht das Passwort mit dem Passwort verglichen, sondern Hash vom Passwort mit dem Hash.
 
@Draco2007: Okay, das stimmt. Das hatte ich nicht bedacht. Danke für den Hinweis ;)
 
@Slurp: Tolle Idee: Einfach mal zu Weihnachten die Kontonummern 1 bis 100000 von Bank XY sperren, dann haben alle Kunden bis ins Neu Jahr eine fröhliche Zeit. Und dann müssen ja nur 100000 persönlich zur Bank watscheln O_o
 
@dognose: Eine Bank, die die Kontonummer als Teil des Logins benötigt und keine individuellen Loginnamen nutzt, sehe ich nicht als sonderlich sicher an
 
Wäre es nicht einfacher, statt immer neuer Sicherheitstechnologien zu entwickeln einfach das Geld abzuschaffen? Dann fällt ein Großteil der Angriffe schonmal weg.
 
@Pizzamann: Das Zeitalter von Raumschiff Enterprise und Co ist leider noch nicht angebrochen ;-)
 
@X2-3800: Stimmt, da gehts um Goldgepresstes Latinum, Warpspulen und Replikatorentechnologie. ;)
 
@Pizzamann: Komisch, mit Blick auf mein Konto wurde es offenbar schon abgeschafft... :D
 
@jigsaw: Und manche würden sich beim Blick auf ihr Konto wünschen, man hätte es schon abgeschaftt ;)
 
Wer's glaubt. Ist doch nur Panikmache. Mein Passwort bleibt geheim ;)
 
@bliblablubb: "geheim" als Passwort ist nu aber auch nicht sooo sicher ^^
 
@Slurp: Mist er hat es raus^^ Jetzt brauch ich wirklich ein neues -_-
 
@bliblablubb: hrhr
 
@Slurp: Alter PC-Welt-Leser, was? ^^
 
Lösung ist doch einfach - 3 mal Passwort falsch - 5 Minuten warten, wieder 3 Mal falsch - eine Stunde. 2. Der Angreifen muss auch den Benutzernamen kennen. Sa dauern BF-Attacken Jahrzehnte, egal, ob ein C64 oder ein Cray dranhängt!

Edit: Typo
 
@Sentry: Man muss die Zeit nichtmal verängern und eine Minute würde sogar schon reichen. Sobald man das macht spielt es keine Rolle mehr ob ich die Passwörter mit einem 386er oder einem Supercomputer mehr mache, weil die Wartezeit einfach viel länger ist als die 3 Versuche, die ich brauche bis es sperrt.
 
@Sentry: Das ist nicht das Problem. Es wird hier davon ausgegangen, dass die Datenbank, welche die Passwort-Hashes enthält, auf irgendeinem Weg kopiert wurde. Mit dieser Datenbank können sich die Knacker dann nach Belieben austoben.
 
@doubledown: Das darf dann aber nicht mehr das "Problem" des Kunden sein, da hat der Anbieter dafür Sorge zu tragen dass so etwas gar nicht erst passieren kann.
 
@Dr. Alcome: Das geht aber nicht, denn schließlich kann eine der vielen auf dem entsprechenden Server laufenden Anwendungen eine bis dato unbekannte Sicherheitslücke haben, die einen Zugriff auf die Datenbanken ermöglicht. Man kann hier lediglich verlangen, dass der Anbieter einer gewissen Sorgfaltspflicht nachkommt und sein System nach bestem Wissen und Gewissen absichert und bekannte Angriffsvektoren ausschaltet. Das heißt dann aber leider immer noch nicht, dass niemand an die Passwort-Datenbank kommen kann.
 
@doubledown: Ja, das ist leider das Problem. Der Mensch kann kein Sicherheitsverfahren entwickeln, welches er nicht selbst auch austricksen kann.
 
@doubledown: Das Problem ist doch, habe ich die Datenbank abgegriffen habe ich nur Hashes und denen ist es völlig egal ob ich 8 oder 32 Stellen habe, die sind "gleich". Also was soll der Artikel mir sagen? Dass die ihre Datenbanken mit 8 stelligen Passwörtern sichern und DIE jetzt nachbessern müssen? Was interessiert das den einzelnen Nutzer?
 
@doubledown: eee, ich dachte, es geht um BF-Attacken... Hashes ist eine andere Geschichte, oder?
 
@Sentry: Es ist unwahrscheinlich dass jemand mit GPU eine Website attackiert.
 
@doubledown: Wenn man den Hashwert hat sucht man ohnehin nicht nach dem "eigentlichen" Passwort, sondern nach der einfachsten Kollision. Was bringt mir das Passwort "E$&W%"(W&(TGU§I%H§U$%ZT(" - wenn (fiktiv) das Passwort "abab" den selben Hashwert ergäbe? (Ein Hash kann vereinfacht als Quersumme varanschaulicht werden. Bei 100000003 merke ich mir die Quersumme 4. gültig wären damit aber auch 4,22,31,... Damit brauche ich nicht 100000003 versuche um das Passwort zu finden, sondern habe eine Kollision nach 4 Versuchen gefunden.)
 
@Sentry: Eben, ist Sache des Anbieters wie er mit Falscheingaben umgeht. Mit einer automatischen Zeitverzögerung (die sich immer weiter verlängert) hat man doch mit einfachen Mitteln eine wesentlich stärkere Sicherheitsfunktion gegeben.
 
sicheres passwort erstellen: http://xkcd.com/936/
 
@Lindheimer: Ich kontere: http://xkcd.com/538/
 
@unbound.gene: so machens natürlich die profis ^^
 
Steht denn in der Studie auch etwas, wie sich die Rechenzeit zum Knacken erhöht, wenn man eben nicht nur 8 Zeichen als PW nimmt? Wie sieht es bei 10 Zeichen aus, bei 12, 15 oder 20? Ab welcher Passwortlänge gelten Passwörter denn noch als sicher? Passwörter pauschal als unsichere Methode darzustellen, weil 8 Zeichen nicht mehr lang genug sind, ist nur die halbe Wahrheit - und zum Rest hat ja auch 'winhistory' im O1 noch ein paar zutreffende Anmerkungen gemacht.
 
@Drachen: Passwortlänge: 8 Stellen, bei 94 möglichen Zeichen -> 94^8. Passwortlänge: 10 Stellen, bei 94 Zeichen -> 94^10. PW-Länge 20 -> 94^20=2.901062411x10^39=2,9 Sextilliarde (?) Möglichkeiten^^
 
@bliblablubb: und dazu bitte die jeweilige Rechenzeit ohne GPU/mit GPU und für verschieden Cluster ;)
 
@Drachen: Ok, vorher sprechen wir dann noch den Preis ab, den du mir überweisen wirst. So ganz kostenlos und billig wird es nämlich nicht ;)
 
@bliblablubb: wir nehmen natürlich die größte Zahl, die bei Dir raus kommt und die dann reziprok, ist das nicht ein super Angebot? *ggg*
 
@Drachen: Ähm nein, finde ich nicht. Ich mach mir doch hier keene Arbeit und sehe nüscht dafür^^ Aber ich garantiere, dass es Jahrzehnte sein werden, wenn man mit der 30.000€-Maschine ein 15-stelliges Passwort knacken will. Sicherlich, irgendwann ist auch das 15-stellige Passwort relativ schnell knackbar, aber darüber brauchen wir uns, glaube ich, keine Gedanken mehr zu machen.
 
@bliblablubb: darüber brauchen wir uns _noch_ keine Gedanken machen :-) Und bis es soweit ist, haben wir subkutan implantierte Chips (und man verliert bei Überfällen einen Finger) oder es kommen die futuristischen Irisscanner kombiniert mit Hauttonuserkennung und Stimmanalyse oder sowas, als dass noch Passworte gecrackt werden.
 
Das mit Labor und Realität wurd ja schon in den Kommentaren geklärt, aber kommt halt noch hinzu dass man auf vielen Seiten auf 8 Zeichen begrenzt wird und auch keine Sonderzeichen verwenden darf. Mir kam's auch schon oft vor dass ein kompelxes Passwort zwar beim registrieren angenommen wurd, dann aber einfach nicht beim Login funktionierte.
 
@lutschboy: Das ist (ohne Witz) bei mobilcom-debitel der Fall: beim Einrichten des Accounts habe ich ein 12-stelliges Passwort vergeben, das ohne Fehlermeldung angenommen wurde. Leider habe ich übersehen, dass klein dabei stand "max. 10 Zeichen" - beim Einloggen ging dann natürlich nichts, weil das Passwort auf 10 Zeichen gekürzt wurde. Der Fehler fiel mir erst nach einiger Recherche auf...
 
Ein erster Schritt in die richtige Richtung wäre es, endlich mal international dafür zu sorgen, dass die Verwendung von mittlerweile veralteten und damit unsicheren Hash-Verfahren wie md5 und Konsorten vor Gericht als grob fahrlässig eingestuft wird. Desweiteren sollte auch die Verwendung von salts Pflicht sein.
 
@doubledown: Es gibt schon einen md6 und sha3 aber diese sind noch nicht weit verbreitet bzw nicht ausreichend getestet.
 
was für eine feststellung und atemberaubend gewählte überschrift...wenn wir schon dabei sind: sicherheitsgurte aus den 70er heute nichtmehr sicher. -- gibt da so nen sprichwort: welt dreht sich weiter...
 
Google hat dies wohl schon erkannt und testet etwas mit ´som Ring oder so, habe ich gelesen.....
 
@Onno: Google hat schon eine Weile her auch mal ein experiment mit Barcodes gemacht das war auch ganz cool (also einloggen via Handy) (einfach nach "Google Sesam" suchen) und bietet auch eine 2 weg Authentifizierung welche ich selbst auch nutz, da könnten die mein PW im Klartext abfangen ohne mein Smartphone kann sich niemand einloggen.
 
@wischi: und wenn jemand dir das telefon klaut? vor allem wenn für den google account der zurücksetzlink per sms an die telefonnummer geschickt wird die im smartphone steckt...
 
Was der Typ gemeint hat sind "offline" brutefoce angriffe. Solange ein Webserver sicher ist und keiner an die Hashes kommt ist haben die exakt 0 Chance wenn die Seite mit etwas grips gemacht ist (zu viele gleichzeitige Anfragen werden einfach geblockt, weiters dauern Requests. der schafft keine 100 Versuche/s da wird er selbst bei 4stelligen PINs (nur Ziffern) alt. Und wenn die Hashes doch aufgrund einer Lücke geklaut wurden, dann gibt es Hash-Typen die besonders langsam sind (z.b. PKCS) da können die machen was sie wollen, da werden die mit müh und Not 1000-10000Versuche/s hinbekommen aber keine Millarden wie bei vielen Hashes (SHA1,MD5) der Fall ist.
 
@wischi: Jedoch verlierst du dann auch Performance beim Server. Zudem reicht es wenn jemand Zugriff zum Server bekommt und dort die Dateien manipuliert. Beim nächsten Login wird dann dein Passwort im Klartext mitgeloggt und das war es mit der tollen Verschlüsselung. 1000-10000Versuche/s sind ausreichend für die meisten Passwörter. Wenn man das mit ausreichend Rechenpower macht sollte es kein großes Hindernis sein.
 
@helix22: Die Performance am Server bezüglich aufwendiger Hashes ist vernachlässigbar, denn nicht mal bei Facebook melden sich Milliarden Leute gleichzeitig an und die haben viele User ;-) und wenn man sich etwas mit der Materie beschäftigt wir man feststellen, dass 1000 Versuche/s ein Witz sind (bei einem zeichensatz von nur(!) buchstaben und zahlen = 36 haben wir bei: 5zeichen -> 16h, 6z -> 25T, 7z -> 2,5yr und 8zeichen -> 90yr. Und das ohne(!) Sonderzeichen wobei jeder depp heutzutage weis, dass man pws mit Sonderzeichen erstellen soll. Und jetzt kommst du ;-)
 
@wischi: Wenn man unbedingt Bruteforce benutzen will kann man die Arbeit auf mehrere Computer verteilen und hat je nach Größe des Clusters ein vielfaches an Leistung. Dann werden aus den Tagen nur noch ein par Stunden, und aus den Stunden plötzlich nur noch Minuten. Mit Markov oder einer Mask-Attack sollte das ganze noch schneller ablaufen. Außerdem gibt es noch mehr als Bruteforce. Wenn du eine Top 500 Passwort Liste benutzt hast du wohl schon die meisten Passwörter. Schau dir nur die meist benutzten Passwort Statistiken an.
 
@helix22: Was bringt es dir, wenn du ein riesiges System aufsetzen kannst, das theoretisch mehrere Millionen Versuche pro Sekunde hinbekommt, aber das Zielsystem das nicht packt. Facebook ist ein gutes Beispiel, in der Theorie würde es da sogar gehen, aber das würde voraussetzen, dass es keine normalen Benutzer mehr gibt, deshalb würde ein solcher Angriff sehr schnell auffallen, bzw allein durch das Zielsystem ausgebremst werden.
 
@Draco2007: Wir reden hier vom cracken eines Password Hash, nicht von einem Login Bruteforce.
 
@helix22: Dann schlage ich deine Verteiltes System (von mir aus auch mit GPU-Clustern) mit Salt...
 
@wischi: Wenn der Typ Offline-Angriffe auf Hash-DBs meint, wieso sollen die Nutzer dann von 8 stelligen Passwörtern weg? Dem Hash ist es egal ob das Passwort 8 oder 800 Stellen hat, habe ich den Hash suche ich nach der ersten Kollision, vollkommen wurscht wie das "echte" Passwort aussieht.
 
@Draco2007: Blödsinn, die erste Kollision verrät dir sicher nicht mit Sicherheit das PW, es führt dich nur zu einem Buckets ..... und was wenn der Hash auch verschlüsselt ist? Wenn ich solche Klugscheisser Aussage lesen muss .......(Kommentar verstösst gegen die Forumregeln). Typisch WF, ich hab eine Meinung aber keine Ahnung:
 
@Rumulus: Darum geht es doch gar nicht...es geht nicht um Angriffe auf Hash-DBs, vollkommen egal wie man diese knacken kann. (Mein Fall würde sich auf eine unverschlüsselte DB ohne salt beziehen). Im ARTIKEL geht es drum, dass 8 stellige Passwörter nicht mehr SICHER sind, was abert IRRELEVANT ist, weil ich mir den GPU-Cluster sonstwohin stecken kann, wenn ich einen Webservice angreife und es immer noch egal ist, wie lang ein Passwort ist, wenn ich die Hash-DB in der Hand habe. Und du solltest einfach mal deinen Tonfall überdenken, dann gibts auch weniger Verwarnungen....
 
@Draco2007: Deine Idee ist im Prinzip ned falsch, dem Hash ist die Länge des Passworts egal und es kommt drauf wie lange es dauert bis ich eine Kollision gefunden habe. BruteForce-Programme versuchen in der Regel jedoch mit bestimmten Mustern vorzugehen und diese starten im Normfall mit kurzen Passwörtern und arbeiten sich hoch (a,b,c,d...,aa,ab,ac,...aaa,aab,... usw, zzzzzzz) das auch mit Zahlen und sonderzeichen; moderne cracker arbeiten auch mit Wahrscheinlichkeiten, vorkommender zeichen schonmal geknackter passwörter und Wörterbuchattacken. Aufgrund dieser Vorgehensweise ist es sicherer ein langes Passwort zu haben.
 
@wischi: Nicht wirklich, ich setze mal voraus, die Kollisionen sind perfekt gleichmässig verteilt. Du hast ein 100 stelliges Passwort, bringt dir aber nichts, wenn ein 5 stelliges den gleichen Hash hätte, weil das natürlich zuerst gefunden wird. Kommt Salt oder eine Verschlüsselung der Hash-DB dazu, ändert selbst das nichts, weil man dann eben erst den Salt bzw die Verschlüsselung knacken muss. Wobei ich mir nicht sicher bin, wie man ein Salt knacken kann, wenn man nichts hat gegen das man prüfen kann. Aber hat man Salt und Verschlüsselung geknackt, steht man wieder vor dem Problem, dass auf jeden Hash mehrere mögliche Passwörter passen können. Aber geht es um Brute-Force gegen Hash, spielt die Passwortlänge keine Rolle. (Es sei denn die Passwortlänge fließt in den Hash mit ein, würde ich aber nicht vermuten)
 
Passwörter werden doch sowieso nur direkt bei den Anbietern gestohlen. Da ist es völlig wurst, wie cool das Passwort gewählt war, wenn es unsicher gespeichert wurde.
 
Jetzt aber mal Butter bei de Fische. Welcher Dienstleister lässt den zu, das soviele Passwörter eines Accounts ausprobiert werden. Ich hoffe sagen zu können: Niemand mehr. D.h. um damit umgehen zu können, muss schon jemand die Datenbank mit den entsprechenden Hashes klauen, was auch wieder Sache des Anbieters ist, dies zu verhindern.
ums mal klar zu sagen: Ich seh das erstmal als Werbung für alternative kostenpflichtige Varianten des Passwords an den Mann zu bringen.
Wenn sich ein Dienstleister die Hashes klauen lässt, hat er nicht vernünftig abgesichert. Dies ist möglich, wie viele Seiten jeden Tag beweisen. Würde sich Amazon seine PW Hashes klauen lassen, könnte es dichtmachen.
 
Ist ja alles richtig. Aber das Thema Timeout (nach beispielsweise 3 falschen Versuchen) oder Sperren des Accounts wurde hier gar nicht betrachtet.
 
@zivilist: Das machen Script-Kiddies: Profis holen sich die PW's über andere Wege und knacken sie lokal.
 
@hullfouse: Auch der Profi schafft das nicht überall! Quasi jeder Fall wo Hashes geklaut wurden, oder Passwörter, hatte wirklich klaffende Lücken im System. Amazon und andere Anbieter haben komischerweise keine Probleme damit. Die könnten auch dicht machen, wenn sowas bekannt wäre. Alles eine Frage des investierten Geldes. Aber klar 100% sicher ist nichts.
 
@LivingLegend: Der Aufwand das System großer Unternehmen zu "knacken" ist viel geringer als der Aufwand der betrieben wird um es zu schützen.
 
@MichaCognito: Nun, wie gesagt, Sony ist jedem bekannt. Bei Amazon kenne ich nichts. Unterschiedliche Firmen, Methoden etc. ich sag einfach nur: Es ist nicht überall gleich "einfach".
 
@hullfouse: Das Allgemeine Wissen zu diesem Thema ist: Passwörter sind sicher. Oder: Sie werden Lokal "geknackt"
Realität: Alles wird im "Klartext" abgefangen. Wo und wie entscheidet das Sicherheitskonzept das zum Schutz des Passwortes eingesetzt wird. Diese ganze Hash-Wert Storys sind für Menschen die zeigen möchten was möglich ist dies ist aber weit weg vom Alltag eines Hackers.
 
Den Artikel kann man auch kurz zusammenfassen: "8-stellige Passwörter, aufgrund von hoher Rechenleistung zu schnell zu knacken. Bitte nutzen sie 12, besser mehr Zeichen"
 
@Kobold-HH: Nur stimmt das einfach nicht, weil die angenommenen Versuche pro Sekunde auf Webservices technisch nicht möglich sind. Also reichen 8 Stellen weiterhin. WENN jemand an die Hash-DB kommt spielt die Länge der Passwörter sowieso keine Rolle mehr, also finde ich die Aussage für einen Webservice-Anbieter etwas lächerlich.
 
@Draco2007: Natürlich ist eine BruteForce-Attacke theoretisch immer erfolgreich, weil es irgendwann zu einem Treffer kommen muss. Jedoch ein 64-Zeichen langes Passwort dürfte bei der derzeitigen Rechenleistung erst nach dem Ableben des Hackers als knackbar gelten...
 
@Kobold-HH: Ja, aber die Aussage der Webservice-Firma ist doch: "Die Rechner sind so schnell geworden, dass 8 stellige Passwörter zu schnell zu knacken sind" Das Problem ist, sie nehmen extrem hohe Versuche pro Sekunde an, die über einen Webservice-Login einfach nicht zu erreichen sind. Wenn ich das ganze local oder innerhalb eines lokalen Netzes mache und keine "normalen" User annehme (also Laborbedingungen schaffe) DANN sind 8 stellige Passwörter "schlecht", aber damit ignorieren sie einfach einen wichtigen Flaschenhals, der GPU-Cluster für Brute-Force einfach nutzlos macht.
 
Äh, der Panikmacher übersieht ein wichtiges Faktum: Nimmt man mal die im Artikel angegebenen Daten als Grundlage, genügen nur 2 weitere Zeichen, die man an das achtstellige Passwort hängt, und auch dieser auf Brute-Force-Angriffe optimierte Superrechner benötigt wieder etwas mehr als 6 JAHRE, um das Passwort zu knacken. Bei 94 verfügbaren Zeichen, ver-94-facht sich die Anzahl Möglichkeiten mit jeder weiteren Stelle, was ebenfalls die nötige Angriffsdauer ver-94-facht. Und mit noch einer Stelle mehr beträgt diese dann 6*94=564 Jahre. Und wenn die Technik dann mal 100mal so schnell ist wie heute, hängt man eben noch eine Stelle dran.
Lange und gut durchmischte Passwörter unter Ausnutzen der Sonderzeichen sind sicher, daran wird sich nie etwas ändern, da man sie über die Länge beliebig skalieren kann.
Wer will kann dann zusätzlich noch sowas drauflegen, dass nach dreimaliger Falscheingabe das Konto gesperrt wird oder man zusätzlich einen SMS-Code benötigt. Ein Passwort dieser Stärke ist absolut unmöglich per Brute Force zu knacken, nicht einmal für einen Geheimdienst. Gegen einen Keylogger oder Trojaner bringt allerdings selbst ein 100 Stellen langes Passwort nix.
 
Wer macht sich denn heutzutage noch die Mühe, ein Passwort knacken zu wollen? Es gibt bei weitem einfachere Möglichkeiten, sich unberechtigt Zugriff zu verschaffen...
 
...und mein AG schreibt sogar noch vor, wie ein Passwort auszusehen hat (wie sag ich jetzt nicht :-), aber da bleiben dann sogar nur noch 2 Billionen Möglichkeiten übrig....
 
Lösung: Nach x falscheingaben Account sperren und Benachrichtigungsmail verschicken.
 
Was bitte ist das für eine Aussage? das ganze ist wesentlich vielschichtiger. Hier wird sozusagen behauptet, man könnte beliebige Passwörter so schnell kancken. Online-Logins sperren meist nach wneigen Versuchen, selbst bei dem knacken einer Verschlüsselung/Hash spielen noch Dinge wie der verwendete Algorithmus hinein.....

Gerade Hashes mit vernünftigen Salts sind effektiv bereits sehr viel länger als 8 Zeichen..... Haben die einen PW-Manager oder sowas, den Sie verkaufen wollen? Lachhaft
 
Hallo,
Würdet Ihr auch etwas schreiben was ein normalo versteht.
Was ist ein BruteForce (schon nachgesehen in Google), aber was soll ich machen mit meinen Passwörtern. Einfach & gut..
Danke
mit freundlichen Grüßen
Horst
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles