[Tarnkappe] Pwned Passwords: Die sichere Entscheidungshilfe zur Passwortnutzung

thom53281 · 4 Aug. 2017

Tarnkappe.info schrieb:
Mit Pwned Passwords kann man herausfinden, ob das Passwort, das man gerne verwenden möchte, bereits einmal in gehackten Datensätzen vorgekommen ist.

Ich würde da ganz entschieden davon abraten. Steht auch ganz ausdrücklich auf der Seite.

Do not send any password you actively use to a third-party service - even this one!

Wenn man eine solche Liste zur Bestimmung eines sicheren Kennworts verwenden möchte, dann müsste man die komplette Liste (ist auf der Seite zu finden) herunterladen und selbst durchsuchen. Alles andere ist einfach dämlich. Die Seite ist nur nützlich, wenn man ein Kennwort, welches man verwendet hatte, überprüfen möchte.

theC0re · 4 Aug. 2017

Ha, tatsächlich

https://mostsecure.pw/ -> H4!b5at+kWls-8yh4Guq

Good news — no pwnage found!

Seedy · 4 Aug. 2017

@thom53281:
Genau der Gedanke kam mir beim Lesen des artikels auch.
Außerdem sind fast alle relevanten dinge gegen bruteforce angriffe abgesichert, da das sehr einfach zu bewerkstelligen ist.

alter_Bekannter · 4 Aug. 2017

Nicht zu vergessen das die üblichen Bots weniger als 50 versuche machen weil danach die erfolgswahrscheinlichkeit nicht mehr nennenswert steigt.

Entweder ist das Passwort richtig scheisse oder keiner macht sich die Mühe. Wichtigster Grundsatz: Du bist nichts besonderes und niemand interessiert sich für dich.

Kimbles Kopf wollen die nur auf einem Pfahl sehen weil er exzessiv vorsätzlich möglichst vielen Leuten auf die Füße getreten hat über einen längeren Zeitraum. Siehe auch die üblichen Darknet Berichte.
Deswegen läuft uploaded.to immer noch und Rapidshare hat sich ebenfalls selber eliminiert.

Seedy · 4 Aug. 2017

@alter_Bekannter:
Was nicht heißt heisst man such nicht trotzdem schützen muss.
Du bist zwar kein spezielles Ziel, aber breit gefächteangriff um an dein geld zu kommen, etc gibt es trotzdem.

Lokalrunde · 4 Aug. 2017

The Pwned Passwords file is 5.3GB of data when stored in 7-Zip format (it extracts out to an 11.9GB text file)

Die 2 Stunden Downloadzeit sind es mir wert. Auch wenn ich nicht davon ausgehe, etwas zu finden, aber die Neugier ist halt groß

alter_Bekannter · 4 Aug. 2017

@Seedy:
Nach welcher Logik ist denn "üblicherweise weniger als 50 pro Bot" gleich 0?

Man sollte halt vernünftig drüber nachdenken und das involviert vor allem nicht übertreiben wegen einer nicht vorhandenen Gefahr. Denn wenn man sich das Passwort nicht mehr merken kann öffnet man weitere EInfallstore obwohl alles was nicht in den top 100 für deine Zielgruppe ist für gewöhnlich mehr als hinreichend sicher ist.

Wenn ich so eine Scheisse sehe wie:

Sorry dein Passwort muss mindestens 350 von folgenden Kriterien erfüllen:
-Großbuchstaben
-Kleinbuchstaben
-Zahlen
-kyrillische Buchstaben
-ägyptische Hyroglyphen aus dem Zeitraum 5000 vor Christus bis 3000 vor Christus
-Ziegenblut
...

Das sorgt für Sidechannel Lücken die viel problematischer sind als ein Passwort bestehend aus 3 Worten in Kleinbuchstaben.

darksider3 · 4 Aug. 2017

@thom53281: https://haveibeenpwned.com/Passwords Der Download steht darunter.

thom53281 · 5 Aug. 2017

Nichts anderes steht auch in meinem Beitrag.

alter_Bekannter schrieb:
Wenn ich so eine Scheisse sehe wie:

Das sorgt für Sidechannel Lücken die viel problematischer sind als ein Passwort bestehend aus 3 Worten in Kleinbuchstaben.

Ja, denn dann geht das Aufschreiben, Notizzettel am Monitor, etc. los. Weil Passwortmanager kennt der gemeine Anwender ja nicht. Noch lustiger ist das in Firmen, wenn jedes interne Tool von jemand anderem administriert wird und jedes Tool andere Kennwortrichtlinien voraussetzt. Ziegenblut sollte man aber dringendst in jedem Kennwort voraussetzen.

alter_Bekannter · 5 Aug. 2017

Ich hab oben noch vergessen zu erwähnen das Umlaute nicht gehen, sorry mein Fehler. Alle Leute die Umlaute in ihrem Passwort verwendet haben müssen bei der Security anrufen und ein neues Passwort setzen lassen.

Update 12:21:
Wegen der Umstellung der Zeichensatztabelle wurden gerade auch alle Passwörter mit kyrillischen Buchstaben ungültig.

Update 12:53:
Kyrillische Buchstaben gehen jetzt wieder und sind Pflicht.

Update 14:05
Biometrie ist jetzt Pflicht weil Hyroglphen nicht mehr gehen.

Update 15:13:
Der Iris-scanner ist defekt, alle Leute die Iris Scan als Teil ihrer Authentfizierung nutzen müssen bei der Security anrufen und er ja den Rest kennt ihr ja schon.

...

Jester · 7 Aug. 2017

Ist ein bisschen komisch - beim Adobe Hack (ich glaube 2013) ist nachgewiesenermaßen eine User/Pwd-Kombination von mir kompromittiert worden. Wenn ich hier aber nach dem PW suche, wird nichts ausgegeben? Hmm.

virtus · 7 Aug. 2017

Ich sehe da ein kleines Problem: Ein übermitteltes Passwort kann gleich der Datenbank für geleakte Passwörter hinzugefügt werden.
Sobald das Passwort an den Dienstbetreiber übermittelt wird, muss ein absolut 100%iges Vertrauen bestehen. Der Dienstanbieter könnte das übermittelte Passwort genauso missbrauchen, wie jeder x-beliebige Hacker auch. :unknown:

@Jester:
Das Problem ist, dass man immer Datenbanken mit Passwörtern "zusammentragen" muss. Man kann natürlich - schon "Platztechnisch" nicht ALLE geleakten Passwörter speichern. Das wären schlicht zu viele. Außerdem kommt man vielleicht nicht an alle Passwortlisten/ -datenbanken einfach so heran.

Ich habe mir selbst mal ein Tool geschrieben, mit dem ich Passwortlisten schnell und einfach durchsuchen kann, um zu testen, ob mein Passwort auf einer dieser Listen ist.
Das ganze läuft allerdings lokal bei mir auf dem System und nicht bei einer Third-Party, der ich mein künftiges Passwort übermitteln muss. :unknown:

Einziger Nachteil bei diesem Vorgehen ist, dass ich mich selbst um die Pflege der Passwortlisten kümmern muss.

bevoller · 7 Aug. 2017

Tarnkappe.info schrieb:
Mit Pwned Passwords kann man herausfinden, ob das Passwort, das man gerne verwenden möchte, bereits einmal in gehackten Datensätzen vorgekommen ist. Nach der Eingabe eines Passworts zeigt die Webseite an, ob es bereits in einem der Leaks enthalten war. Gibt man ein sicheres Passwort ein, erscheint „Goog News – no pownage found!“. Ist das Passwort in der Datenbank, sieht man ein rotes Feld mit „Oh no, pwned!“ Falls dies der Fall sein sollte, macht es Sinn, das Passwort zu ändern. Wird es tatsächlich als gefunden angezeigt, wäre es wahrscheinlich, dass die Login-Daten kompromittiert sind, denn es könnte in einer solchen Liste bereits vorkommen, die bei Brute-Force-Attacken auf Webseiten und Dienste verwendet werden. Solche Passwörter gelten daher als unsicher und sollten nicht mehr genutzt werden. Zu Vergleichszwecken greift der Dienst dabei zurück auf einen Datensatz von 306 Millionen Passwörtern aus diversen Lecks.

So ein Quatsch...
Kompromittiert sind die Login-Daten nicht, weil dazu auch die jeweiligen Usernamen gehören. Nur mit dem Passwort kann man überhaupt nichts anfangen.
Und wenn eine Passwortliste abgearbeitet wird, handelt es sich um eine Wörterbuch-Attacke und nicht um Brute Force.

theC0re schrieb:
Ha, tatsächlich

https://mostsecure.pw/ -> H4!b5at+kWls-8yh4Guq

Good news — no pwnage found!

Zum Vergrößern anklicken....

Versuch es jetzt noch mal.

Ansonsten das, was thom sagt..

virtus schrieb:
Ich sehe da ein kleines Problem: Ein übermitteltes Passwort kann gleich der Datenbank für geleakte Passwörter hinzugefügt werden.
Sobald das Passwort an den Dienstbetreiber übermittelt wird, muss ein absolut 100%iges Vertrauen bestehen. Der Dienstanbieter könnte das übermittelte Passwort genauso missbrauchen, wie jeder x-beliebige Hacker auch.

Immerhin bietet er ja schon eine Liste mit geleakten Passworten an. Wer also für zukünftige Angriffe gerüstet sein möchte, kann sich ja dort bedienen.

Ich habe mir selbst mal ein Tool geschrieben, mit dem ich Passwortlisten schnell und einfach durchsuchen kann, um zu testen, ob mein Passwort auf einer dieser Listen ist.

Ist ja nicht so, dass man nicht schon seit Jahrzehnten mit den Bordmitteln des Betriebssystems eine solche Suche in Textdateien durchführen kann.

Seedy · 7 Aug. 2017

bevoller schrieb:
handelt es sich um eine Wörterbuch-Attacke und nicht um Brute Force.

Stimmt zwar faktisch.
Schlägt allerdings in die gleiche Kerbe und lässt sich mit den gleichen Mitteln abwehren.

Jester · 7 Aug. 2017

@virtus: Noe, von der Kompromittierung habe ich damals über haveibeenpwned erfahren... möglich, dass das schon so outdatet ist, dass sie es nicht mehr reingenommen haben, ka.

[Tarnkappe] Pwned Passwords: Die sichere Entscheidungshilfe zur Passwortnutzung

thom53281

SYS64738

theC0re

Seedy

A.C.I.D

alter_Bekannter

N.A.C.J.A.C.

Seedy

A.C.I.D

Lokalrunde

Schneehasen-Administrator

alter_Bekannter

N.A.C.J.A.C.

darksider3

NGBler

thom53281

SYS64738

alter_Bekannter

N.A.C.J.A.C.

Jester

★★★★☆ (Kasparski)

virtus

Gehasst

bevoller

Neu angemeldet

Seedy

A.C.I.D

Jester

★★★★☆ (Kasparski)