Seite 2 von 2 ErsteErste 12
Ergebnis 26 bis 45 von 45

Thema: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

  1. #26
    Schneider CPC
    Registriert seit
    Jul 2013
    Ort
    Hannover
    Beiträge
    25.937
    ngb:news Artikel
    2

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Sry mein Spam, aber ich verstehe nur Bahnhof. Ich muss auch noch Zusatzqualifikationen machen. FISI alleine ist gar nichts. Oder einfach Verständnis gewinnen für IT? Aber ich finde gut, dass hier im ngb endlich Mal offenbart wird, worauf es ankommt. Sry, aber diese ganze Verschlüsselung und Sicherheit und DSGVO und was auch immer, habe ich null Plan von oder besser gesagt kein Interesse. Ich lese nur deinen Text Metal und sehe Hyroglyphen. Egal weitermachen... Finde ja gut wenn wir uns Mal über IT unterhalten. Sonst halten sich hier ja viele zurück an Board.
    @ I might be sober. The good things... the bad things... all I ever know is here! @
    Web-Applikationen

  2. #27
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    5.159
    ngb:news Artikel
    3

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Naja, das war hier jetzt viel "wer hat den längeren" gelabere.
    Hashes müssen rausgegeben werden -> bedingt ok. Wieso 'bedingt': Du hast keine Kontrolle darüber ob der Anbieter auch wirklich sichere Verfahren für die Hashes verwendet.

    Du selber kannst einen Passwort-Safe nutzen, starke Passwörter und für jeden Service ein anderes, dann ist dir das Thema 'Hashes rausgeben müssen' weitesgehend egal. Ist so auch üblich in der IT. Jenseits der IT, nicht wirklich.

    Worum es in dem Artikel geht so lese ich es zumindest: Das Gesetz, wann diese Hashes (und anderes natürlich) rausgegeben werden müssen wurde *eingeschränkt*.
    Kann vielleicht noch eine zweite Person den Artikel lesen und dann sprechen wir darüber anstatt über 20 jahre alte Hash-Themen?
    Für diesen Beitrag bedankt sich Steev

  3. #28

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Zitat Zitat von Metal_Warrior Beitrag anzeigen
    Skaliert nur scheiße. Grund: Statt einen Hash zu rechnen, muss ich (bei den genannten 8bit-Peppers) 256 Hashes rechnen und jeden einzelnen vergleichen. Das ist DUMM. So richtig haarsträubend dumm, weil mit jedem weiteren Nutzer dein Aufwand exponentiell ansteigt. Serverseitig, wohlgemerkt.
    Das lässt sich anderweitig lösen. Der Punkt ist aber: Der Pepper muss nicht herausgegeben werden. Und genau darum ging es doch?

  4. #29
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    6.500
    ngb:news Artikel
    7

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    @rexcolo: Das kommt auf die Auslegung des Gesetzestextes an. Und die legt meistens dann die Gerichtsbarkeit fest, die vermutlich nach Intention des Gesetzgebers argumentieren wird, dass alles herausgegeben werden muss, was zur Authentifizierung notwendig ist, also Algorithmen, Verbau, Salts und Peppers. Egal wie, das Gesetz gehört weg. Oder aber explizit bei allem angewendet, was zur Sicherung der Gesetzgeberdaten genutzt wird, damit sie schön erstmal selbst in die Scheiße langen, und zwar so richtig.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  5. #30
    Schneider CPC
    Registriert seit
    Jul 2013
    Ort
    Hannover
    Beiträge
    25.937
    ngb:news Artikel
    2

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Pepper, Salts höre ich das erste Mal, aber kein Problem, bin ja noch Geselle, finde aber spannend hier eure Beiträge zu lesen.
    @ I might be sober. The good things... the bad things... all I ever know is here! @
    Web-Applikationen

  6. #31
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    6.500
    ngb:news Artikel
    7

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    @Steev: Bitte, für den Einstieg ganz nett:

    https://de.wikipedia.org/wiki/Salt_(Kryptologie)
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  7. #32
    offizielles GEZ-Haustier Avatar von Pleitgengeier
    Registriert seit
    Jul 2013
    Ort
    127.0.0.1
    Beiträge
    6.812
    ngb:news Artikel
    4

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Zitat Zitat von Steev Beitrag anzeigen
    Groß und Kleinbuchstaben, Zahlen/Ziffern, und Sonderzeichen. Ab 8 Zeichen. So bastel ich mir meine meistens. Und keine Wörter, sondern im Grunde Buchstabensalat.
    Also genau so, wie man es NICHT macht
    Schwer zu merken, leicht zu knacken
    -

  8. #33
    Schneider CPC
    Registriert seit
    Jul 2013
    Ort
    Hannover
    Beiträge
    25.937
    ngb:news Artikel
    2

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Ah ok, ist tatsächlich Lerninhalt der IHK Fisi, aber das sagt mir nur ich bin nicht ausgebildet?
    @ I might be sober. The good things... the bad things... all I ever know is here! @
    Web-Applikationen

  9. #34
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    6.500
    ngb:news Artikel
    7

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    @Pleitgengeier: Ja und nein.

    Schwer zu merken - ja. Definitiv. Leicht zu knacken? Das unterschreib ich dir nicht.

    Wenn du auf Correct Battery Horse Stable anspielst: Das ist ein mieses Kennwort. Grund: Die Methode ist bekannt, und es ist wesentlich leichter, alle bekannten Wörter 3-6x hintereinander zu hängen, als ein 32-Zeichen-Kauderwelsch aus allen printbaren Zeichen zu erbrüten. Um genau zu sein lasse ich grundsätzlich, wenn ich sowas brechen will, die Wörterbücher erstmal ran, noch bevor ich die weakpass_2a auspacke. Ca. 10-20% der Kennwörter sind direkt aus dem Wörterbuch oder haben nur kleine Abweichungen (wie ne Zahl hintendran).

    Um die Rechnung mal kurz aufzumachen:
    Der englische Wortschatz umfasst ca. 1 Mio Wörter, davon sind 20-40k im allgemeinen Sprachgebrauch. Bei vier Worten macht das also grade mal bis zu 10^24 Kombinationen, beim allgemeinen Sprachgebrauch sogar nur ca. 10^17. Mit 32 Zeichen Kauderwelsch komme ich auf 10^64. Bereits mit 12 Zeichen erreiche ich ein Schutzniveau, das identisch ist mit dem maximalen Bereich der englischen Sprache.
    Geändert von Metal_Warrior (30.03.21 um 00:57 Uhr)
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  10. #35

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Zitat Zitat von Pleitgengeier Beitrag anzeigen
    Also genau so, wie man es NICHT macht
    Schwer zu merken, leicht zu knacken
    Leicht zu knacken eben nicht, denn du hast gar keinen Ansatzpunkt. Scheinbar alle Zeichen, Länge unbekannt bzw. >=8. Das passt schon so.

    Schwer zu merken ist so ne Sache. Manche Leute können sich die komischsten Sachen merken. Dem Prinzip widerspricht es aber, da haste recht. Wobei eben nicht jedes Prinzip auch für jeden wichtig sein muss. Wenn ich mir Pi auf 100 Nachkommastellen merken kann, dann machen mir wild zusammengewürfelte Passwörter wahrscheinlich auch recht wenig Probleme.

  11. #36
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    5.159
    ngb:news Artikel
    3

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Kauderwelsch ist schwerer zu merken, generell. Alles andere ist Schneeflocken-Gerede.

    Zu den 8 Zeichen: Grad nochmal kurz nachgeschlagen / recherchiert: https://blog.codinghorror.com/speed-hashing/
    SHA-1 ohne zusätzliche 'rounds' wurde bis vor kurzem noch beim Firefox-Safe verwendet. Der Artikel ist von 2012 da wird MD5 8 Zeichen mit etwas über 1 Jahr angegeben und SHA1 ca. 3 mal langsamer, also so 3-5 Jahre für *ALLE* Kombination, also mehr so 1,5-2,5 Jahre im Mitte. Vor 8 Jahren, wohlgemerkt, heute dürfte das eher im Bereich von Monaten oder Wochen liegen.
    Fazit: 8 Zeichen im Allgemeinen sind zu wenig, auch wenn Symbole verwendet werden. Natürlich kann man heute oft die 'difficulty' einstellen des Hashverfahren, aber im häufigsten Fall hat man eher keinen Einfluss oder gar keine Kenntniss davon, welcher Algo da jetzt wie genau eingesetzt wird.

  12. #37
    Schneider CPC
    Registriert seit
    Jul 2013
    Ort
    Hannover
    Beiträge
    25.937
    ngb:news Artikel
    2

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Keine Ahnung ich denke auch dass da ein Passwortknacker keine Chance hat.

    Hier

    +Geraldriva66

    schaffst du nicht.
    @ I might be sober. The good things... the bad things... all I ever know is here! @
    Web-Applikationen

  13. #38
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    6.500
    ngb:news Artikel
    7

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    @Steev: Vorsicht, gerade solche Passwörter sind eine Falle.

    Gewisse Tools in der Richtung arbeiten grundsätzlich gerne so, dass sie bekanntere Wörter bzw. oft zusammen vorkommene Kombinationen mit "Anhängseln" zusätzlich betrachten.

    Dein Passwort würde also bei einer Namensliste mit ".{0,2}$NAME.{0,4}" direkt mit angegriffen werden.

    Und Geralt von Riva ist ja durchaus ein nicht unbekannter Name, nech?
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  14. #39
    Fräulein Troll Avatar von Trolling Stone
    Registriert seit
    Jul 2013
    Ort
    Trollenhagen
    Beiträge
    20.026
    ngb:news Artikel
    9

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Ja, aber er wird halt mit t geschrieben.
    Für diesen Beitrag bedanken sich BurnerR, Metal_Warrior, one


    Kryptowährungs-Laberthread
    #HODL #noFUD #noFOMO
    Irre ist menschlich. Querdenken ist Kopfsache.

  15. #40
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    6.500
    ngb:news Artikel
    7

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    @Trolling Stone: Solche Schreibfehler werden oft mit abgedeckt, aber ja, wir reden hier von erhöhtem Aufwand.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  16. #41
    Fräulein Troll Avatar von Trolling Stone
    Registriert seit
    Jul 2013
    Ort
    Trollenhagen
    Beiträge
    20.026
    ngb:news Artikel
    9

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Ich muss zugeben, dass ich alte, auswendig gelernte Telefonnummern verwende (sieben Stellen/Ziffern), und zwar in der Form:

    1234567!"§$%&/(wort)(wort)9876543)(/&%$§

    Sicher oder nicht sicher?


    Kryptowährungs-Laberthread
    #HODL #noFUD #noFOMO
    Irre ist menschlich. Querdenken ist Kopfsache.

  17. #42
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    6.500
    ngb:news Artikel
    7

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    @Trolling Stone: Telefonnummern wären zwar relativ leicht zu brechen, weil eingeschränkter Charakterraum, aber da wir an der Stelle nicht wissen können, dass es Telefonnummern sind, wird man ab ca. 8 Zeichen anfangen, mit diversen Mustern zu raten, die selten auf reine Nummernfolgen gehen werden. Ist aber ne gute Idee (für mich, wenn ich das nächste Mal... meine RTX auslasten will )
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  18. #43
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    5.159
    ngb:news Artikel
    3

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Ach, Telefonnummern sind dir zu 'exotisch' aber falsch geschriebene Computerspiel-Charaktere vermutest du in jeder zweiten Begriffsliste.
    Da will ich erstmal die real umgesetzte Begriffsliste bzw. regex sehen, welche ".*Geraldriva.*" matchen würde.

    Generell ist es natürlich so, dass häufige Begriffe (dazu zählen auch Charaktere aus berühmten Computerspielen) sowie "Anhängsel" wie Zahlen am Ende oder Sonderzeichen speziell betrachtet werden, d.h. weit schneller geknackt werden als zufällige Zeichen. Die Möglichkeiten sind hier aber natürlich beschränkt, da der betrachtete Suchraum sehr schnell wieder sehr groß wird und daher der Vorteil verloren geht.

    Zitat Zitat von Trolling Stone Beitrag anzeigen
    Ich muss zugeben, dass ich alte, auswendig gelernte Telefonnummern verwende (sieben Stellen/Ziffern), und zwar in der Form:

    1234567!"§$%&/(wort)(wort)9876543)(/&%$§

    Sicher oder nicht sicher?
    Ziemlich sicher ist, dass das nicht leicht zu merken ist und wenn du immer die selbe Systematik verwendest, dann bleibt nicht mehr viel Entropie übrig, wenn mal ein einzelnes deiner Passwörter als Klartext zur Verfügung steht.
    Für diesen Beitrag bedankt sich rexcolo

  19. #44
    Fräulein Troll Avatar von Trolling Stone
    Registriert seit
    Jul 2013
    Ort
    Trollenhagen
    Beiträge
    20.026
    ngb:news Artikel
    9

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    Nein, ich verwende das nicht online. Dort nur generierte Passwörter für wichtige Accounts.

    Für unwichtige auch gern sehr schwache Passwörter.


    Kryptowährungs-Laberthread
    #HODL #noFUD #noFOMO
    Irre ist menschlich. Querdenken ist Kopfsache.

  20. #45
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    6.500
    ngb:news Artikel
    7

    Re: Bestandsdatenauskunft mit Passwortherausgabe verabschiedet

    @BurnerR: Ich glaube, an der Stelle liegt ein Missverständnis der Angriffsart vor:

    Ich beschreibe hier meistens die Standardwege, die man nutzt, um in einem Datenbankdump von ein paar hundert(tausend) Passwörtern möglichst effizient Accounts en masse aufzumachen. Während 'password' mir gleich mal bei 0,1% der Accounts funktioniert, ist die Wahrscheinlichkeit, mit dem Telefonbuch Glück zu haben, eher gering, denn kaum jemand wird etwas anderes nutzen als seine eigene Telefonnummer, und damit hab ich mit jedem Versuch nur die Chance, 1 Passwort zu erraten, während ich mit Wörterlisten, die unter Anderem beliebte Computerspielcharaktere beinhalten, meistens gleich Hashes en bulk erschlage. Gutes Beispiel: Accounts von ca. 1996-99 hatten auffallend häufig als Passwort "Commander". Warum? Man wurde in Westwoods Command & Conquer 2 - Alarmstufe Rot immer als "Commander" angesprochen. Glaubst du, das hat sich groß geändert?

    Für einen gezielten Angriff auf einen einzelnen Account gehe ich auch nicht mehr über die Standardpasswörter - da gucke ich mir die Umgebung des Opfers an und nutze alle Informationen, die ich über sein Umfeld erfahren kann, um mir eine personalisierte Liste zu erstellen. DA wird die Telefonnummer dann wieder drin stehen, und auch die der Freundin, die beliebten Computerspiele etc.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •