Die Sache mit den sicheren Passwörtern

MacEnroe

MacEnroe

Aktives Mitglied
Thread Starter
Dabei seit
10.02.2004
Beiträge
23.491
Reaktionspunkte
7.481
Die Suche im Netz hat mich nicht weitergebracht: Wieso müssen Passwörter lang,
kompliziert und möglichst sinnfrei, also keine Namen o.ä. sein?

Mir ist schon klar, dass eine Maschine zunächst z.B. ein deutsches Wörterbuch
für die ersten 100.000 Versuche benutzen könnte.

Aber spätestens nach dem 5. Versuch wird das Passwort doch sowieso gesperrt,
ich kenne keine Seite oder Programm, das unendliche Versuche zulässt. Wenn man
das umgehen könnte, wären aber die meisten Passwörter längst entschlüsselt.


Nehmen wir an, ich habe ein Passwort, ein Name mit 3 Buchstaben, als Zugang
zu einem Bank-Portal.

Wie kann jemand/ein Programm das entschlüsseln? Und was wäre der Unterschied,
wenn es 5 zusammenhanglose Buchstaben hätte?
 
Du betrachtest nur den direkten Authentifizierungsprozess am Server von dir oder einem anderen. Daneben gibt es aber auch z.b. auch noch die Möglichkeiten:
- Einbrechen in ein System und klauen der hinterlegten Hash Daten
- Mitschneiden eines deiner gültigen Authentifizierungs vorgänge z.b. in einem offenen Wlan
 
... und was hat das mit der Art der Passwörter zu tun? :noplan:
 
Im Prinzip ist es in meinen Augen egal. Wie du schon gesagt hast, machen die meisten Portale nach dem dritten Versuch dicht.

Es geht wohl mehr um die Verschlüsselten Dateien, die man als böser Bube sich saugen kann. Da bietet ein langes Passwort mit mehr als 128Bit schon eine gewisse Schonfrist. Aber dieses Verschlüsselung wird, wenn der böse Bube es den unbedingt möchte, auch geknackt, dank Rechenleistung satt.
 
Bleiben immer noch meine Fragen offen:

MacEnroe schrieb:
Nehmen wir an, ich habe ein Passwort, ein Name mit 3 Buchstaben, als Zugang
zu einem Bank-Portal.

Wie kann jemand/ein Programm das entschlüsseln? Und was wäre der Unterschied,
wenn es 5 zusammenhanglose Buchstaben hätte?
Zum Vergrößern anklicken....


Wieso wird im Internet überall drauf hingewiesen, dass man "sichere" Passwörter verwenden soll?

Wenn ich "Konrad / Futter" wähle, warum ist das unsicherer als "PFhioiufbo / iah89243ge1" ?

Bitte klärt mich auf.
 
MacEnroe schrieb:
Bleiben immer noch meine Fragen offen:




Wieso wird im Internet überall drauf hingewiesen, dass man "sichere" Passwörter verwenden soll?

Wenn ich "Konrad / Futter" wähle, warum ist das unsicherer als "PFhioiufbo / iah89243ge1" ?

Bitte klärt mich auf.
Zum Vergrößern anklicken....

Im Prinzip hast du recht. Es ist völlig egal. Die meißten Anbieter machen nach 3 Logins die nicht korrekt waren, dicht.
Also würde eine Brute Force Attacke hier wenig Sinn machen. Natürlich ist die Chance aber höher das Passwort bei den ersten drei Versuchen zu knacken wenn man einen einfachen Namen benutzt.

Wenn du also z.B. eine Datenbank mit 1,5 Mio Datensätzen hast. Alle mit einen Passwort wie Hans, Horst, Ludwig usw... ist die Chance einfach besser das du es schaffst 3 davon mit einer Attacke zu knacken. Wenn du PW wie 123haKAL benutzt ist es vielleicht nur noch ein geknackter Zugang, oder keiner. Im Prinzip macht es da einfach die Masse.
 
Die Wahrscheinlichkeit, dass jemand wochenlang per Brute Force einzubrechen versucht, ist deutlich geringer als wenn der Angriff schon nach 3 Stunden zum gewünschten Erfolg führt.
http://www.1pw.de/brute-force.html
 
O.K., Vielen Dank euch allen,

Ich fasse zusammen:

Die Hinweise in Internet-Portalen, Shops etc. auf ein "sicheres Passwort" sind überflüssig.
(Brut-Force Attacken kommen hier nicht in Frage)

In Zukunft werden die mich noch mehr nerven, da ich jetzt sicher weiß, dass es
überflüssiger Quark ist.


@italien: Wie kann man mit 1 Attacke gleichzeitig in 1,5 Mio Eingabemasken einen
Benutzernamen mit passendem Passwort eingeben? Das ist mir noch nicht klar von
der Vorgehensweise her.
 
Dazu sollte man einmal prinzipiell ansehen was mit "Sicherheit" gemeint ist. Elektronisch ist jedes Zeichen gleichwertig, aber die Länge entscheidend. Niemand wird dein Passwort zum Beispiel mit deinem Bankaccount "testen", weil zum einen nach ein paar ungültigen Versuchen "dicht" ist und / oder weil die Bank bei wiederholten Versuchen die IP kopiert oder blockiert.

Ein Passwort sollte sicher sein, damit man nicht aus einem mitgeschittenen Datenstrom das Passwort einfach extrahieren kann, oder wenn es sich verschlüsselt auf einem "infizierten" Computer befindet einfach zu entdecken ist. Man nimmt eine verschlüsselte Datei und geht in der Regel erst einmal auf systematische Suche, diese Suche gehorcht in der Regel auch der Logik des menschlichen Verstandes, sprich ich suche Wörter, die man sich merken kann - PFhioiufbo / iah89243ge1 - würden sich die wenigsten merken können. Entschlüsselung arbeitet auch mit Wahrscheinlichkeiten PFhioiufbo / iah89243ge1 ist eben unwahrscheinlich, wahrscheinlicher ist es eine Zufallskombination.

Sicherer bedeutet auch, dass man es einem Angreifer schwerer machen soll überhaupt etwas zu finden, eine aufgeschriebene PIN im Portmonaie direkt neben der MasterCard ist so gut wie Bargeld. Muss er sie dagegen erst finden (man kann sie aus dem Magnetstreifen extrahieren…) dauert das schon ein wenig. Weil die vierstelligen PIN so unsicher sind gehen die Banken zu mTan oder Kartenlese TANs über.

Die Sicherheit eines "komplizierteren" Passworts hat auch etwas damit zu tun, dass einige Passwortabfragen keine Sonder-, Steuer-, oder andere "Komische"zeichenzulassen, die CodeKnacker konzentrieren sich zuerst auf das Naheliegende.

Mit einem "echten" brute-force-Angriff, also entsprechnder Rechenpower, ist so ziemlich jedes Passwort zu knacken, die komplexeren dauern eben länger. Auch Verbrecher rechnen sich ihre Chance aus, um ein HartzIV Konto zu plündern wird niemand tagelang Code knacken………
 
Die Hinweise in Internet-Portalen, Shops etc. auf ein "sicheres Passwort" sind überflüssig.
Zum Vergrößern anklicken....
Natuerlich ist die nicht ueberfluessig. Es gibt genuegend Leute die z.B. einfach ihren Nachnamen als Passort nehmen und sowas probiert man natuerich zuerst aus.
 
MacEnroe schrieb:
O.K., Vielen Dank euch allen,

Ich fasse zusammen:

Die Hinweise in Internet-Portalen, Shops etc. auf ein "sicheres Passwort" sind überflüssig.
(Brut-Force Attacken kommen hier nicht in Frage)

In Zukunft werden die mich noch mehr nerven, da ich jetzt sicher weiß, dass es
überflüssiger Quark ist.


@italien: Wie kann man mit 1 Attacke gleichzeitig in 1,5 Mio Eingabemasken einen
Benutzernamen mit passendem Passwort eingeben? Das ist mir noch nicht klar von
der Vorgehensweise her.
Zum Vergrößern anklicken....

Mit einer 1 Attacke meine ich natürlich solch einen Brute Froce Angriff. Wie in dem Link von LosDosos beschrieben.

Vorgehensweise ungefähr so:

Du hast 3 Versuche pro Datensatz. Das Programm für den Brute Force probiert es also bei jedem Datensatz dreimal. Danach ist der Datensatz "also Account" gesperrt, insofern er keinen Erfolg hatte. Dann macht er beim nächsten Datensatz weiter, wieder 3 Versuche usw... bis er die 1.5 Mio durch hat. Das Alles macht natürlich das Programm automatisch.

Voraussetzung hierzu ist natürlich eine Liste mit Login Namen. Ich gebe zu das Bsp. mit 1,5 Mio Datensatzen ist nicht wirklich real.

Und durch die absicherung mit Sperrung nach 3 fehlgeschlagenen Logins ist man davor eigentlich zu 99,9 Prozent geschützt.
Wenn die Sperre nicht kommt und du unendlich viele Versuche hast (sowas gibt es auch noch) versucht der Brute Force gezielt nur einen Account zu knacken. Dazu probiert er einfach solange unterschiedliche Kombinationen bis es klappt.

Ich kann mich erinnern für den Instant Messenger "ICQ" gab es damals solche Programme im Netz :). Nummer angeben. Los gehts. Mit der richtigen Rechenleistung kannst du da recht schnell ein einfaches Passwort wie Namen oder ähnliches recht schnell knacken.
 
MacEnroe schrieb:
Die Hinweise in Internet-Portalen, Shops etc. auf ein "sicheres Passwort" sind überflüssig.
(Brut-Force Attacken kommen hier nicht in Frage)

In Zukunft werden die mich noch mehr nerven, da ich jetzt sicher weiß, dass es
überflüssiger Quark ist.
Zum Vergrößern anklicken....

:kopfkratz:
 
MacEnroe schrieb:
Die Hinweise in Internet-Portalen, Shops etc. auf ein "sicheres Passwort" sind überflüssig.
(Brut-Force Attacken kommen hier nicht in Frage)
Zum Vergrößern anklicken....

Das stimmt so nicht. Das Problem entsteht dann, wenn ein Hacker irgendwie an die Datenbank mit den - evtl. auch verschlüsselten - Benutzernamen und Passwörter kommt.

In diesem Fall wäre es für den Hacker wesentlich aufwändiger, ein komplexes Passwort zu entschlüsseln.

Und das wiederum kommt insbesondere dann zum tragen, wenn du das gleiche Passwort an verschiedenen Orten verwendest.

Ein Beispiel:
Angenommen du hast ein Konto bei der Social Networking Seite LinkedIn. Jemand klaut dort die Nutzerdaten. Da dein Passwort einfach ist, kann der Hacker es auch innert nützlicher Frist entschlüsseln. Nun ist das vielleicht noch nicht so tragisch, weil LinkedIn den Diebstahl bemerkt hat und sowieso allen Nutzern neue Passwörter zugeteilt hat.

Du benutzt aber das gleiche Passwort auch für dein E-Mail-Konto. Und da drauf hätte der Hacker nun auch Zugriff. Was wiederum natürlich ganz neue Probleme schaffen kann.

Es geht bei dieser Thematik nicht darum, ob eine Brute-Force Attacke über das "normale" Interface eines Dienstes möglich ist, sondern um es auf allfällig gestohlene Datenbanken angewendet werden könnte.

Und sowas passiert in der echten Welt.
http://mashable.com/2012/06/06/6-5-million-linkedin-passwords/
 
Lor-Olli schrieb:
Mit einem "echten" brute-force-Angriff, also entsprechnder Rechenpower, ist so ziemlich jedes Passwort zu knacken, die komplexeren dauern eben länger. Auch Verbrecher rechnen sich ihre Chance aus, um ein HartzIV Konto zu plündern wird niemand tagelang Code knacken………
Zum Vergrößern anklicken....

Ist es nicht egal, wenn das Passwort nach z.B. 3876 Jahren geknackt wird?

Oder kann man davon ausgehen, dass die Computer in 10 Jahren solch ein Passwort viel schneller knacken können? Also "durchprobieren" können?
 
Markenartikel schrieb:
Ist es nicht egal, wenn das Passwort nach z.B. 3876 Jahren geknackt wird?

Oder kann man davon ausgehen, dass die Computer in 10 Jahren solch ein Passwort viel schneller knacken können? Also "durchprobieren" können?
Zum Vergrößern anklicken....

Heute ist es egal, und in 10 Jahren wird es dann wohl auch egal sein, da die Daten dann eh total veraltet sind.
Wichtig ist nur, dass die aktuellen Passwörter nicht leicht sind, da in Zeiten von verteiltem Rechnen z.B. über Amazon-Mietserver inkl. Optimierung der Brute-Force Software auf gleichzeitig angemietete GPUs die Entschlüsselungsgeschwindigkeit deutlich größer geworden ist.
Triviale Passwörter die in Wörterbüchern stehen sind so innerhalb weniger Sekunden bis Minuten geknackt.
Und erst wenn das Passwort geknackt ist, erfolgt der Login auf der entsprechenden Website.
 
O.K., es wird also nach einfachen Wörtern "entschlüsselt" d.h. solange entschlüsselt, bis
ein einfaches Wort gefunden wird. z.B. "Eingang"

Woher weiß der Hacker, ob es ein Passwort ist? Wie kriegt er den Benutzernamen zu
genau diesem Passwort?
 
MacEnroe schrieb:
O.K., es wird also nach einfachen Wörtern "entschlüsselt" d.h. solange entschlüsselt, bis
ein einfaches Wort gefunden wird. z.B. "Eingang"

Woher weiß der Hacker, ob es ein Passwort ist? Wie kriegt er den Benutzernamen zu
genau diesem Passwort?
Zum Vergrößern anklicken....

Weil für viele entsprechende Softwareprodukte die Tabellenstrukturen der Benutzerdatenbanken vorgegeben und bekannt sind.
Weiss man also z.B. welche Portal-, Foren- oder Shopsoftware benutzt wird, sind diese Informationen wirklich leicht zugänglich, da oftmals in den offiziellen Dokumentationen der diversen Software-Produkten nachlesbar.
 
Ich finde, dass ein kompliziertes Passwort gar nicht so kompliziert sein muss :)

Man macht sich einfach einen Satz wie: Immer am 1. Montag im Monat kommt Oma!

Daraus würde ich als PW nehmen: Ia1.MiMkO!

Weil ich nicht überall das selbe PW will, aber nicht unzählige Sätze im Kopf behalten will, hänge ich hinter dieses PW die ersten z.b. 4 Buchstaben der Seite wo ich mich einlogge.

Für Macuser.de wäre also das PW: Ia1.MiMkO!macu
Für Facebook: Ia1.MiMkO!face

Ich habe diese Lösung nun seit ca 2 Jahren und bin glücklich damit. Vorher hatte ich das Problem, dass ich z.t. unterschiedliche PW's hatte (z.B. für Paypal und Mailaccount ein sicheres und für das Forum ein einfaches). Da hatte ich öfters das Problem, dass ich nicht mehr musste ob ich nun das sichere oder das einfache Passwort verwendet habe.
 
Deswegen verwende ich einen Passwortmanager wie z.B. 1Password oder Keypass.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten