Die Sache mit den sicheren Passwörtern

[ProjectBuilder]

Woher weiß der Hacker, ob es ein Passwort ist? Wie kriegt er den Benutzernamen zu
genau diesem Passwort?

Häufig hast du z.B. eine MySQL Datenbank, mit einem Feld "Benutzer" und einem Feld "Passwort"...
Manchmal ist es wirklich so einfach.

Wobei das Passwort hoffentlich verschlüsselt ist (sonst müsste ja nichts mehr geknackt werden).

Das richtige Passwort erzeugt dabei aber immer den gleichen verschlüsselten Text - der Hacker muss also nur so lange probieren, bis sein erzeugter verschlüsselter Text mit dem in der Datenbank übereinstimmt.

Etwas vereinfacht dargestellt jetzt, aber hoffentlich dafür verständlich.

 

[MacEnroe]

Wobei das Passwort hoffentlich verschlüsselt ist (sonst müsste ja nichts mehr geknackt werden).

Wenn nur die einzelnen Passwörter verschlüsselt werden, aber nicht der ganze Datensatz,
dann verstehe ich es. Wenn aber auch die Benutzerdaten verschlüsselt sind, wird es mir
zu kompliziert. In dem verschlüsselten Datenwust eine Zuordnung einzelner gefundener
Wörter zueinander stelle ich mir unmöglich vor.

Der Hacker müsste Millionen Kombinationen, die wahrscheinlich sind, eingeben, und
zufällig eine richtige erwischen, richtig? z.B. "Kurt Jürgens / Banane"

Scheint ja auch nicht so einfach zu sein. Ich habe sicher 100 Accounts auf irgendwelchen
Servern, und es ist noch keiner geknackt worden.

Doch, stimmt, bei ebay ... damals gab es eine Lücke, da musste gar nichts entschlüsselt
werden.

 

[Willeswind]

Wie bereits mehrfach geschrieben:

• Der Datenstrom wird mitgeschnitten
• Die Datenbank mit den Zugangsdaten wird vom Server kopiert

In beiden Fällen haben die Angreifer die Möglichkeit, das Passwort in Ruhe zu Hause zu entschlüsseln. Abhängig vom verwendeten Algorithmus, der Passwortkomplexität und der Rechenleistung der Hacker dauert das Hacken von wenigen Sekunden bis zigtausende von Jahren. Was du als Anwender immer beeinflussen kannst ist die Passwortkomplexität. Teilweise auch den Algorithmus.

Das Hauptproblem ist oft, auch das wurde schon geschrieben, dass viele Anwender das selbe Passwort für verschiedene Konten verwenden. Und oft die Mailadresse als Benutzername hinterlegt ist. Wenn du das bei einem unsicheren Webportal machst, kann dort dein Passwort gestohlen und entschlüsselt werden. Dann probieren die Angreifer das selbe Passwort bei deinem Mailaccount. Dort steht, wo du online shoppen gehst und bei welcher Bank du bist. Usw, usf ...

Scheint ja auch nicht so einfach zu sein. Ich habe sicher 100 Accounts auf irgendwelchen
Servern, und es ist noch keiner geknackt worden.

http://t3n.de/news/dropbox-gehackt-unachtsamkeit-405465/

 

[Willeswind]

http://xkcd.com/936/

 

[MacEnroe]

http://t3n.de/news/dropbox-gehackt-u...amkeit-405465/

Ja, lies nochmal den Artikel genau.


Dort wird zunächst lang und breit der Fall dargestellt, wie Passwörter abgegriffen wurden.
Die waren nicht verschlüsselt, und wurden von den Personen mehrmals verwendet.

Und am Ende kommt wieder der (obligatorische) Hinweis auf sichere Passwörter, in
dem Fall mit "1Password", mit dem man angeblich "sichere Passwörter" erstellen kann.

Dabei hätte das gar nichts genutzt.

 

[Willeswind]

Ja, lies du auch noch mal genau.

Da leider viele Internetnutzer bei mehreren Internetangeboten das gleiche Passwort nutzen würden, habe es ein paar Missbrauchsfälle ...
Grundsätzlich ist es angebracht, für jede Website ein anderes Passwort zu nutzen ...

Da du als Nutzer nicht sicher sein kannst, wie gut der Betreiber der Website deine Zugangsdaten vor Missbrauch schützt, solltest du verschiedene Passwörter verwenden.

Ausserdem steht dort nirgends, dass die Passwörter bei Dropbox unverschlüsselt abgelegt werden.

 

[MacEnroe]

Da du als Nutzer nicht sicher sein kannst, wie gut der Betreiber der Website deine Zugangsdaten vor Missbrauch schützt, solltest du verschiedene Passwörter verwenden.

Ausserdem steht dort nirgends, dass die Passwörter bei Dropbox unverschlüsselt abgelegt werden.

Ja, natürlich — man soll verschiedene Passwörter benutzen! Das ist klar, mache ich auch
schon immer so.

Und im Text steht, dass Passwörter unfreiwillig zugänglich wurden. "Durch ein über
Dritt-Websites gestohlenes Passwort." Nichts verschlüsseltes, keine Entschlüsselung,
deshalb meine ich ja: Ein angeblich "sicheres" Passwort hätte nichts genutzt in dem Fall.

Aber allgemein ist mir jetzt schon klar geworden, dass es durchaus Fälle gibt, wo
ein zu häufiges Passwort geknackt werden kann, ein kompliziertes Passwort aber nicht.

 

[Willeswind]

Ob ein sicheres in dem Fall genutzt hätte, wissen wir nicht. Es kann sein, dass das Passwort auf der anderen Website zwar komplex war, aber nicht verschlüsselt abgelegt war. Oder, dass das Passwort sehr einfach war und daher schnell ausgelesen werden konnte. Alles Spekulation. Daher braucht es mehrere Sicherheitsmassnahmen:
- Passwörter immer komplex
- Immer verschiedene Passwörter verwenden
- Vertrauliche Daten vor Upload auf eine externe Site immer verschlüsseln

 

[tafkas]

Auch in dem Fall dass eine Seite kompromettiert wird, ist es hilfreich ein sicheres Passwort zu haben. Sehr wenige speichern Passwörter im Klartext. Oft hasht man die Kennwörter und speichert den Hash in der Datenbank. Manchmal wird auch noch ein Salz verwendet Dies ist allerdings auch nicht sonderlich hilfreich, da es im Netz haufenweise Rainbowtables gibt. Wenn mein Passwort vom Format "vmpRjKbJKjUGgdpwcrKTpUeeChihGVhFKEmTb7zGBfb7ydCGbV" ist, kann man davon ausgehen, dass dies jedoch in keiner Rainbowtable drin steht.
Begünstigend für Hacker ist es, wenn erst mal ganze Datenbanken von Passwörter entschlüsselt wurden. Dann haben die nämlich schöne Wörterbücher zur Hand mit denen es nächstes mal noch schneller geht. Und deren Ziel ist es ja auch nicht 100% aller Passwörter zu entschlüsseln. 30% von 3 Mio. sind halt auch schon knapp 1. Mio Accounts zum Spaß haben.
Am sichersten ist und bleibt immer noch die Vollbitverschlüsselung™:

Warum ist 256 Bit die technisch höchste Verschlüsselungstiefe die überhaupt auf Computern möglich ist ?
Ein Computer kennt immer nur 256 verschiedene Zeichen.
1 Zeichen = 1 Byte hat im Binär Zahlensystem genau 8 Stellen.
1 Bit kennt nur die Schaltzustände: aus oder an bzw. 0 oder 1
Durch die Kombination dieser 8 Stellen ergeben sich 256 Bit.
Die Berechnung dazu: 2 Schaltzustände hoch 8 Stellen = 256 Bit
Diese 256 Bit sind adressiert im Dezimal Zahlensystem von 0 bis 255 = 256 Bit.
Computer arbeiten aber im Hexadezimal Zahlensystem bzw. intern Binär Bit weise.
Dort sind diese oben benannten 256 Bit adressiert von 00 bis FF = 256 Bit.
Ein Byte kann also gar nicht unter Bit 0 oder über Bit 255 sein.
Deshalb ist 256 Bit die technisch höchste Verschlüsselungstiefe die überhaupt auf Computern möglich ist.

 

[Tcczz]

Meine Frage ist jetzt ein kleines bisschen Offtopic, aber ich wollte dafür nicht extra einen neuen Thread aufmachen:

Kann ich ruhigen Gewissens meine 1password-backup-Datei in meine DROPBOX werfen oder ist dies nicht ratsam?
Wie sicher ist die Backup-Datei verschlüsselt? Wie sicher ist DROPBOX?

Danke für eure Antworten!

 

[tafkas]

Wie sicher ist die Backup-Datei verschlüsselt? Wie sicher ist DROPBOX?

Steht doch auf deren Website: http://help.agilebits.com/1Password3/agile_keychain_design.html
Die verwenden ein AES128 Schlüssel der sich aus deinem Passwort ableitet (PBKDF2). Zusammengefasst steht und fällt die Sicherheit hierbei mit dem von dir eingesetzten Passwort. Wenn das "asdf1234" ist, bringt das wenig.