Email und passwörter geleakt...im großen stil.

Hier kann man auch als Gast schreiben. Anonyme Beiträge sind möglich, aber nicht erwünscht, man sollte wenigstens seinen Namen drunter setzen.

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Boscho » Fr 18 Jan, 2019 11:55

Zimmi hat geschrieben:Wenn das Passwort nicht einfach erraten werden kann (Katze, 12345 und ähnlicher Kwatsch), müsste doch gelten: Je länger das PW ist, um so sicherer ist es.
Formel dazu: Anzahl möglicher Kombinationen = (Anzahl möglicher verwendbarer Zeichen) hoch (Anzahl der Zeichen des Passwortes)
Beispiel: 26 Zeichen (Alphabet), Passwort hat 3 Zeichen -> Anzahl möglicher Kombinationen 26³ = 17576.

Stimmt's? :gruebel:


Im Prinzip ja, aber: es ist dann doch etwas komplizierter, da die meisten Passwörter keine festgelegte Anzahl an Zeichen haben.

Grundsätzlich stimmt das aber schon - langes Passwort und nichts aus dem Wörterbuch (oder der Tastatur - "qwertzuiopü+" sei auch sehr beliebt ... :roll: ) bringt schon was. Derzeit sei ein Passwort ab 12 Zeichen nicht mehr "wirtschaftlich" zu erraten, hörte ich mal - weiß aber nicht mehr wo, und es ist schon ein, zwei Jahre her.

Wichtige Dinge, die niemand wissen soll, gehören eh nicht in dieses Internet.
Benutzeravatar
Boscho
Vielschreiber
 
Beiträge: 8934
Registriert: Di 15 Mai, 2012 00:50
Wohnort: Oberschwaben

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Zimmi » Fr 18 Jan, 2019 13:22

Boscho hat geschrieben:Wichtige Dinge, die niemand wissen soll, gehören eh nicht in dieses Internet.

Das handhabe ich seit jeher so. :wink: Allerdings wär's mir nicht arg recht, wenn irgendwer auf meine Rechnung in der Bucht oder im Regenwaldstrom einkauft... :ugly: Nur deshalb ist mir die Passwortsicherheit im Privatbereich einigermaßen wichtig.
Do not take life too seriously. You will never get out of it alive.
- Elbert Hubbard -
Benutzeravatar
Zimmi
Vielschreiber
 
Beiträge: 3947
Registriert: Do 31 Aug, 2017 11:07
Wohnort: öschtliche Ooooschdalb

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Richy » Mo 21 Jan, 2019 22:08

Zimmi hat geschrieben:Mal abgesehen davon, dass ich die Berechnungsweise bei xkcd nicht verstehe: Leerzeichen in Passwörtern gehen doch eh nicht, oder hab ich was falsch verstanden?

Da gibt es auch keine Leerzeichen, das Passwort besteht einfach aus zusammengesetzten Einzelwörtern.
Der Witz dahinter ist eigentlich nur, dass ein solches Passwort für Menschen sehr einfach zu merken ist, während es für eine Maschine, selbst wenn sie noch so "intelligent" ist, schwer bis sehr schwer zu erraten/berechnen ist.
Warum es für den Mensch einfach ist, ist klar, aber warum ist es für die Maschine schwer? Sofern es sich nicht um ein einzelnes Wort handelt, ist eine sogenannte Wörterbuchattacke (der Computer geht einfach sämtliche ihm bekannten Wörter durch) sinnlos. Zusammengesetzte Wörter muss er demnach wie beliebige Einzelzeichen behandeln: "TauernMopped" ist fürs das Knacken genauso schwer wie "k&3D4Q1XDe/5", letzteres ist halt für den Menschen nicht zu merken. Der Computer weiß ja nicht, dass du nur Buchstaben verwendet hast. Daher sind Onlineformulare recht überflüssig, wenn sie dir sagen wollen, dass du ein Passwort aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bauen musst.
In dem obigen Passwort im Comic kommt aber nochwas vor, nämlich etwas, was viele gerne machen: Sie verwenden nämlich das sogenannte "Leetspeak", genauere Erklärung siehe Wikipedia: https://de.wikipedia.org/wiki/Leetspeak. Das kennen natürlich auch die Passwortknacker, daher sind solcherart verfeinerte Passworter meist nicht allzu sinnvoll.
Wenn man also ein Passwort braucht, kann man entweder die vom Straßenschrauber genannte Methode mit dem Satz nehmen (die aber bei 3 oder 4 Passwörtern auch wieder unmöglich zu merken ist), oder man baut es sich aus Wörtern zusammen. Nimmt man jetzt noch eine Jahreszahl und vielleicht noch Dialekt dazu, ist man von dieser Seite her sicher unterwegs.

Leider nützt das in dem Fall mit den geleakten Passwörtern genau nichts, denn die wurden nicht geknackt/erraten, sondern schlichtweg von den Servern "geklaut". Und das ist das eigentliche Problem, was Vereine wie der CCC immer wieder anprangern: Wir haben inzwischen oftmals gar keine andere Wahl, als wichtige Daten auf irgendwelchen Servern abzulegen, aber da steht und fällt die Sicherheit mit den Betreibern von den Onlinediensten. Und auf die haben wir als Anwender weder Einfluss, noch können wir deren Sicherheit beurteilen.
Das beste Werkzeug ist ein Tand in des tumben Toren Hand.
(eigene Erfahrung)
Benutzeravatar
Richy
Vielschreiber
 
Beiträge: 7932
Registriert: Mi 30 Sep, 2009 21:28
Wohnort: Tal der Ahnungslosen

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Straßenschrauber » Di 22 Jan, 2019 11:01

Super erklärt!

"Paßwörter in großem Stile bekannt geworden" bedeutet meist, daß in Datenbanken Paßwort-Fingerabdrücke erbeutet wurden.
Dann kann tatsächlich beliebig lange viele tausend Mal pro Sekunde probiert werden, ob ein Paßwort zu den erbeuteteten Fingerabdrücken paßt. Außerdem gibt's riesige Tabellen mit bereits gefundenen Paßwörtern.

Oder ein klitzekleines unauffälliges Progrämmchen horcht bei der Eingabe von Paßwörtern mit und telefoniert ab und an mal nach Hause.
Das soll sogar bei Paßworteingabe per Mausklick möglich sein, die gelegentlich auf Login-Seiten angeboten wird.
~-o|-
Straßenschrauber
Vielschreiber
 
Beiträge: 7549
Registriert: Mo 15 Okt, 2012 20:25

Re: Email und passwörter geleakt...im großen stil.

Beitragvon gatsch.hupfa » Di 22 Jan, 2019 14:15

Richy, geht es nicht auch darum, dass Buchstaben bei bekannten Wörtern mit verschieden hohen Wahrscheinlichkeiten (E häufig, Y selten) vorkommen?
Und das gleiche gilt auch für Buchstabenkombinationen (Q+U) und Buchstabenfolgen ...

Das kann sich ein Rechner, der Passwörter per brute force (alle möglichen Kombinationen) durchprobiert, schon zu Nutze machen, indem er zuerst mal mit solchen Wahrscheilichkeiten gewichtete Varianten durchprobiert, oder?
Benutzeravatar
gatsch.hupfa
Vielschreiber
 
Beiträge: 2502
Registriert: Di 20 Jan, 2015 14:38
Wohnort: südlich von Wien

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Straßenschrauber » Di 22 Jan, 2019 14:26

Das schränkt den zu erwartenden Zeichenraum bei der Methode "ganze Wörter" schon ein, etwas weniger bei der Satz-Methode.
Daher sind Sätze gut, in denen Zahlen, Satzzeichen und Sonderzeichen vorkommen, wie in meinem Beispielsatz.
Erweiterbar mit vorangestellter oder angehängter Kurzbezeichnung der jeweiligen Webseite sind das schon recht gute und vor Allem leicht zu merkende Paßwörter.

Am ehesten taugen zufallsgenerierte Paßwörter, die sind aber schwer zu behalten :(
~-o|-
Straßenschrauber
Vielschreiber
 
Beiträge: 7549
Registriert: Mo 15 Okt, 2012 20:25

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Rei97 » Di 22 Jan, 2019 15:35

Also:
Was ist dabei von PW Generatoren und Speichern a la Avast zu halten?
Regards
Rei97
Perfection is achieved not when there is nothing more to add but when there is nothing left to take away.(Antoine de Saint-Exupery) :D
Skype: hrei97
Benutzeravatar
Rei97
Vielschreiber
 
Beiträge: 6657
Registriert: Do 23 Jun, 2005 17:34
Wohnort: Spätzlesland

Re: Email und passwörter geleakt...im großen stil.

Beitragvon thealien » Di 22 Jan, 2019 16:25

jaja die bösen leaks....

meins ist auch dabei...allerdings weiss ich von wo...orf hack von den satelitenkarten...
da hab ich auch ne neue kreditkarte bekommen.

gut zum thmea passwörter...
klar wenn ich mit gewalt ein rausfinden will (brute force) ist es schwieriger wenn ich nicht weiss was drinnen ist.
da helfen gross klein buchstaben und zahlen um bei einem 6 stelligen passwort das ganze in die länge ziehen..6 stellen sind allerdings in sekunden geknackt.
banken haben bei den geldkarten ja auch blos 4 zahlen....das geht vermutlich in hundertstel sekunden....
man hat aber blos 3 versuche :-D :-D

ich verwende gerne die app keypass für solche sachen um mit passwörter zu merken. das gibts auf windoofs,linux,android und sogar mac und ios..
dort ist auch ein passwortgenerator dabei

für meine sachen nehme ich letztens immer 2 pass authentication...also bei google den google authenticator der auch für viele sachen sonst noch geht...also meine nextcloud z.b.

da ist das passwort nicht mehr soooo wichtig.. allderings bei streicheltelefonverlust sollte ich backup codes haben oder möglichkeiten wieder rein zu kommen,,..auch nicht immer einfach..

gruss
markus
--------------------------------------
Man kann ein Auto nicht wie ein menschliches Wesen behandeln - ein Auto braucht Liebe (Walter Röhrl)
Benutzeravatar
thealien
Wenigschreiber
 
Beiträge: 181
Registriert: Mo 11 Mai, 2015 14:59
Wohnort: Vorarlberg/österreich

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Richy » Di 22 Jan, 2019 17:48

gatsch.hupfa hat geschrieben:Richy, geht es nicht auch darum, dass Buchstaben bei bekannten Wörtern mit verschieden hohen Wahrscheinlichkeiten (E häufig, Y selten) vorkommen?
Und das gleiche gilt auch für Buchstabenkombinationen (Q+U) und Buchstabenfolgen ...

Das kann sich ein Rechner, der Passwörter per brute force (alle möglichen Kombinationen) durchprobiert, schon zu Nutze machen, indem er zuerst mal mit solchen Wahrscheilichkeiten gewichtete Varianten durchprobiert, oder?


Ja, das sicher auch. Aber das ist auch wieder davon abhängig, welche Sprache verwendet wird. Da könnte man verschiedene Sprachen sogar mixen, oder eben Dialekte verwenden. "Moodschegübschn_Salad" wäre da so ein Beispiel, leicht zu merken (da sind wir wieder beim Kulinarisch-Thread mit den Insekten), aber schwer zu erraten.
Ich denke aber, wir sind da im Bereich von wenigen Sekunden in der "Knackzeit", was die Unterschiede von den Passwörtern angeht. Ob der Computer nun 10 oder 11 Millionen Versuche dafür braucht, ist relativ unerheblich. Wichtiger ist, dass er es nicht direkt erraten kann, also nun sagen wir mal 10 oder 100 Versuche braucht. Dann bei 100 Falscheingaben wird so ziemlich jeder Betreiber das Konto erstmal sperren. Hat der Hacker aber erstmal die Hashwerte der Passwörter, weil er den Betreiber geknackt hat, hat er auch Zeit und da ist es einfach mal Wurst, wie gut das Passwort ist.



Rei97 hat geschrieben:Also:
Was ist dabei von PW Generatoren und Speichern a la Avast zu halten?
Regards
Rei97

Ganz ehrlich: Nichts. Nur ein weiteres Programm von einem weiteren Hersteller, dem du zu 100% vertrauen musst, denn es enthält nunmal alle deine Passwörter. Im Klartext.

Da ist ein Zettel an den Monitor geklebt wesentlich sicherer, denn der wird nur geknackt, wenn jemand physikalisch in deine Bude eindringt. Per Internet kann halt per se erstmal jeder rein.

Vertrauenstechnisch geben wir halt unheimlich viel aus der Hand an ein paar Hersteller: Betriebssystem, Browserhersteller, PC-Hersteller (Firmware) usw. Das ist an sich schonmal schlecht, aber leider nicht zu ändern. Jeden, den ich noch zusätzlich dazwischenschalte, gebe ich auch die volle Kontrolle ab.
Vermutlich ist, was rein diesen Punkt angeht, ein geschlossenes Ökosystem a la Apple oder alles von Microsoft garnicht so dumm. Ja, du verkaufst deine Seele an diese Firma, aber dann wenigstens nur an diese eine.
Verwendest du aber einen Apple-Rechner, auf dem Windows läuft und der Browser kommt von Google und du verwendest einen Passwort-Speicher von Avast, haben im Zweifel alle vier Zugriff auf deinen Rechner und damit alle Passwörter. Und jede dieser Firmen baut neue und andere Fehler ein.

Ich mach es halt anders und vertrau auf Open-Source-Software, und hoffe, dass es noch mehr so kaputte Leute wie mich gibt, die so paranoid sind, dass sie sogar den Sourcecode von den von ihnen verwendeten Programmen durchkämmen. Da ist allein aufgrund der Anzahl an beteiligten Leuten die Wahrscheinlichkeit hoch, dass Hintertürchen und Fehler gefunden werden. Und ja, sie gibt es dort auch und zwar zu Hauf, wie sich tagtäglich zeigt, aber sie können wenigstens schnell behoben werden.

Da fällt mir ein, ich muss mal wieder ein paar Passwörter ändern, allein schon aus Prinzip. :ugly:
Das beste Werkzeug ist ein Tand in des tumben Toren Hand.
(eigene Erfahrung)
Benutzeravatar
Richy
Vielschreiber
 
Beiträge: 7932
Registriert: Mi 30 Sep, 2009 21:28
Wohnort: Tal der Ahnungslosen

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Rei97 » Di 22 Jan, 2019 18:33

Also:
Tue ich nicht wg Paranoya, sondern aus beruflichen Restgründen als Rentner dauernd.
Es ist halt bei Avast praktisch, den Brauser und das Schmartfon immer zu synchronisieren.
Regards
Rei97
Perfection is achieved not when there is nothing more to add but when there is nothing left to take away.(Antoine de Saint-Exupery) :D
Skype: hrei97
Benutzeravatar
Rei97
Vielschreiber
 
Beiträge: 6657
Registriert: Do 23 Jun, 2005 17:34
Wohnort: Spätzlesland

Re: Email und passwörter geleakt...im großen stil.

Beitragvon thealien » Di 22 Jan, 2019 19:29

Da ist ein Zettel an den Monitor geklebt wesentlich sicherer


nein...passwörter gehören unter die Tastatur :-D :-D :-D :weg:

ein noch so kompliziertes passwort nützt nichts wenn es der betreiber "bescheuert" abspeichert...also wie jahoo...im klartext oder halt einfach md5 gehasht.
das ist in sekunden über oc hashcat geknackt ..z.b den alten windows hash hab ich in der firma mal eindrücklich vorgeführt wie schnell das mit einem 0815 notebook geht (mit nvidia graka).
die alten sap passwörter wahren auch kein problem...16 stellen in ca 30 minuten..

im web hat man leider garkeinen einfluss wie der betreiber die speichert.

ganz einfach ...passwörter wie unterhosen behandeln...
nicht jedem zeigen und regelmässig wechseln.. und wenn verschlissen nicht mehr verwenden :-D

gruss
markus
--------------------------------------
Man kann ein Auto nicht wie ein menschliches Wesen behandeln - ein Auto braucht Liebe (Walter Röhrl)
Benutzeravatar
thealien
Wenigschreiber
 
Beiträge: 181
Registriert: Mo 11 Mai, 2015 14:59
Wohnort: Vorarlberg/österreich

Re: Email und passwörter geleakt...im großen stil.

Beitragvon lallemang » Di 22 Jan, 2019 20:08

Richy hat geschrieben:Vertrauenstechnisch geben wir halt unheimlich viel aus der Hand...


Seh' ich auch so. Für "mehr Sicherheit" alles noch mehr verteilen :smt009

@markus: :rofl:
Wherever You Go There You Are :gruebel:
Benutzeravatar
lallemang
Moderator
 
Beiträge: 17548
Registriert: Mo 10 Apr, 2006 01:18
Wohnort: im Osten des Südwesten

Re: Email und passwörter geleakt...im großen stil.

Beitragvon keulemaster » Mi 23 Jan, 2019 10:57

Ich mach es halt anders und vertrau auf Open-Source-Software,


3! Daumen hoch dafür! :lol:
ich sehe es auch so.
Fuhrpark: W650/BJ99 - CB550F1/BJ76 - T4/BJ99
Pflegefälle: Triumph Boneville SE/BJ2010 - Ducati Monster 600/BJ94
Benutzeravatar
keulemaster
Vielschreiber
 
Beiträge: 1654
Registriert: Mo 06 Dez, 2010 10:44
Wohnort: Innsbruck

Re: Email und passwörter geleakt...im großen stil.

Beitragvon Helle » Sa 02 Feb, 2019 12:03

Rei97 hat geschrieben:
Also:
Was ist dabei von PW Generatoren und Speichern a la Avast zu halten?
Regards
Rei97

Ganz ehrlich: Nichts. Nur ein weiteres Programm von einem weiteren Hersteller, dem du zu 100% vertrauen musst, denn es enthält nunmal alle deine Passwörter. Im Klartext.


Das ist so nicht richtig, natürlich sind die Passwörter im Passwortsafe verschlüsselt. Nur ist ein Passwortsafe eben ein single-point-of-failure, heißt wenn das eine Passwort geknackt wird, dann hat der Angreiffer alle.
Trotzdem ist es derzeit die vernünftigste Alternative, da man sich eben nur ein Passwort (was natürlich kompliziert sein soll) merken muss und für x-Anzahl an Webseiten 20 stellige, vom PW Manager generierte, superkomplexe Passwörter verwenden kann.
Denn, Angriffe auf eine Webseite sind wesentlich häufiger und üblicher als ein Angriff auf deinen PC und deinen Passwortsafe. Die meisten Hacker wollen einfach möglichst viele Passwörter an zentralen Stellen/Datenbanken abgreiffen und die zu Profit machen. Von Online Passwortsafes rate ich natürlich auch ab, die sollte schon auf dem lokalen PC sein. (Für superparanoide kann man auch hierfür einen Yubikey etc. in Kombination mit einem Masterpasswort verwenden). Keepass ist gut, aber nicht opensource. KeepassRC dagegen ist ein Fork davon und ist opensource.
Allerdings auch hier der Hinweis, wenn etwas opensource ist, bedeutet das nicht automatisch, dass die Software super sicher ist, denn wer schaut sich denn ehrlich den gesamten Quelltext an und macht ein Security Audit dafür - wohl eher die wenigsten. Ein Motorrad ohne Verkleidung ist auch nicht automatisch besser als eines mit, nur um hier mal einen "tollen" Vergleich zu machen... ;-)

Fazit: 100% sicher ist nichts, aber man kann es dem Angreiffer so schwer wie möglich machen. Ich empfehle daher KeepassRC in Kombination mit der besagten 2-Faktor-Authentifizierung übers Handy
Helle
Wenigschreiber
 
Beiträge: 106
Registriert: So 26 Aug, 2018 12:11

Re: Email und passwörter geleakt...im großen stil.

Beitragvon BMW maniac » Sa 02 Feb, 2019 14:18

Ich glaube daran, dass Trukript 7.1a immer noch sicher ist ...
Ja, ich weiß, wie das richtig geschrieben wird ;)
Mir kann man alles verkaufen, Hauptsache es ist schwarz,
hat zwei, drei oder vier Räder und ist von BMW :D
Benutzeravatar
BMW maniac
Wenigschreiber
 
Beiträge: 557
Registriert: So 08 Dez, 2013 17:19
Wohnort: südlich Stuttgart

VorherigeNächste

Zurück zu Gästebuch und Quasselecke

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder