• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Passwort sicherer durch wiederholung?

Äther

...hat kein real life!

Äther
Registriert
22 Juli 2013
Beiträge
336
Ort
Im Reagenzglas
Hallo,

kleine Frage, wenn ich ein Passwort erstelle, bedeutet es einen hohen Mehrwert, wenn ich eine reihenfolge wiederhole?

z.b abc123--> abc123abc123 oder abc123123abc

mfg Äther
 

alter_Bekannter

N.A.C.J.A.C.

alter_Bekannter
Registriert
14 Juli 2013
Beiträge
4.826
Ort
Midgard
Bei allen Angriffsmethoden die mir einfallen definitiv.

Mehr Länge hilft immer und wenn du einfach einen ganzen Satz nimmst. Selbst so Dinger wie:
"Das ist mein Passwort für SeiteXY.de."

Ist schon besser als gängige Gebrauchsgegenstände123/4 oder Vornamen123/4.

Denn bei Online Angriffen werden idR nur 10-500 Versuche durchgeführt, bei offline Angriffen vermutlich auch höchstens ein paar Millionen. Man muss halt spätestens den Strompreis dem potentiellen Nutzen entgegen halten. Kannst dir ja ein paar Listen besorgen und rumprobieren.
 

Äther

...hat kein real life!

Äther
Registriert
22 Juli 2013
Beiträge
336
Ort
Im Reagenzglas
  • Thread Starter Thread Starter
  • #3
Bei aes gibts ja in der praxis glaub ich nur brutforce :unknown: ich hatte nur iwo mal gehört dass es rein gar nichts bringen sollen, wenn man dadurch das passwort künstlich verlängert, was ich mir ehrlich gesagt nicht vorstellen kann...
 

alter_Bekannter

N.A.C.J.A.C.

alter_Bekannter
Registriert
14 Juli 2013
Beiträge
4.826
Ort
Midgard
Korrekt, die Aussage das es garnix bringt ist Blödsinn. Es erhöht den Aufwand halt statistisch/theoretisch nur "vergleichsweise geringfügig"(Faktor 2-3 im Vergleich zu weiteren "Zufallszeichen", die theoretisch einen Faktor von bis ~50 pro Zeichen bringen).

Aber wie sich schon daraus wieder ableiten lässt:
Mit Passwortlänge ist das wie mit Gewalt, wenns dein Problem nicht löst hast du nicht genug davon benutzt. Nur wird halt oft "Stellenffizienz" mit "Sicherheit" verwechselt.

Erklärung:
https://xkcd.com/936/
 

p3Eq

zu nichts zu gebrauchen

P
Registriert
15 Juli 2013
Beiträge
358
Viele Brute Force- oder Dictionary Attack-Programme bieten von Haus aus die Möglichkeit, das Kennwort mehrfach hintereinander zu reihen, um eben jene künstlich verlängerten Kennwörter mit einzuschließen. Wie alter_Bekannter schon sagte, wird dadurch aber der Rechenaufwand nur um einen geringen Faktor vergrößert.

Wenn der Angreifer beispielsweise zu jedem Kennwort noch prüfen möchte, ob eine 2. Wiederholung des Kennworts zum Ziel führt, so würde der Rechenaufwand verdoppelt werden. Wenn der Angreifer auf genau drei Wiederholungen spekuliert, würde der Aufwand ebenfalls nur verdoppelt werden!
Nur wenn er sich nicht sicher ist oder keine Vermutung hat, wie oft das Kennwort wiederholt wird, kannst du diesen Faktor noch steigern. Das wäre beispielsweise der Fall, wenn der Angreifer prüfen möchte, ob das Kennwort einmal oder zweimal wiederholt werden würde - dann hätte man schon den Faktor 3 für die Erhöhung des Rechenaufwands. In der Praxis ist dieser aber angesichts des deutlich größeren Rechenaufwands einen zufälligen Zeichens verschwindend gering.

Was jedoch schon besseren Schutz bieten würde, weil viele Programme keine entsprechende Funktion bereitstellen: Du wiederholst dein Kennwort, lässt aber bei der Wiederholung einen Buchstaben weg. Beispiel:

abcd1234abcd123
oder
apfelkuchenapfelkuche

Damit hätte man - sofern das Brute Force-Programm nicht explizit eine solche Modifizierung des Kennworts unterstützt - ein Kennwort, dessen Rechenaufwand künstlich um einen sehr hohen Faktor vergrößert wurde.
 

Mr_J

Neu angemeldet

M
Registriert
14 Juli 2013
Beiträge
991
Eine Diskussion zum Thema Passwortsicherheit hatten wir ja bereits hier. Generell würde ich weiterhin einfach einen Satz nehmen den man sich einfach merken kann (ggf. mit Eselsbrücken) anstatt irgendwelche abstrusen Zeichenkombinationen zu nehmen oder einfach das Passwort mehrfach zu schreiben. Das mehrfache Schreiben bietet nur so lange Sicherheit wie der Angreifer nichts darüber weis.

MfG
Mr. J
 

brick

Neu angemeldet

B
Registriert
29 Juli 2013
Beiträge
4
Das blöde ist doch, dass man bei den meisten Seiten ein Passwort wählen muss, welches Groß- und Kleinbuchstaben, Zahlen und am besten noch Sonderzeichen enthält. Wenn die Betreiber dieser Seiten um Sicherheit besorgt wären, könnten sie doch einfach die Anzahl der Logins pro Zeiteinheit festlegen, oder sehe ich das falsch?
 

Kugelfisch

Nerd

Kugelfisch
Registriert
12 Juli 2013
Beiträge
2.342
Ort
Im Ozean
Die Login-Versuche zu limitieren, hilft wenig und führt u.U. sogar zu einer gezielten DoS-Möglichkeit auf einzelne Benutzerkonten: Ein Angreifer kann gezielt Benutzerkonten temporär sperren lassen, indem er fehlgeschlagene Login-Versuche erzeugt. Das Problem wurde in der Vergangenheit z.B. von `Freezern` für diverse Instant-Messenger-Benutzerkonten aktiv ausgenutzt.

Abgesehen davon ist ein Online-Angriff auf nicht-triviale Passwörter ohnehin wenig erfolgversprechend, und um Trivialpasswörter zu verhindern, sind die Einschränkungen (speziell eine minimale Zeichenzahl und das Erzwingen von zumindest Gross- und Kleinbuchstaben) durchaus sinnvoll. Viel wichtiger ist, dass keine Passwörter mehrfach (für verschiedene Websites) verwendet werden. Relevant sind starke Passwörter für Offline-Angriffe z.B. auf verschlüsselte Daten oder Hash-Werte.

Ansonsten kann ich mich Mr_J nur anschliessen, sowohl was den Hinweis auf die bestehende Diskussion als auch deren Fazit betrifft.
 

p3Eq

zu nichts zu gebrauchen

P
Registriert
15 Juli 2013
Beiträge
358
Das siehst du falsch. Denn dann wäre einem Angreifer möglich, absichtlich falsche Logins bei beispielsweise Adminkonten durchzuführen, damit weitere, auch legitime, Loginversuche nicht mehr gültig sind.

Edit: Kugelfisch kam mir zuvor...
 

Cybercat

Board Kater

Cybercat
Registriert
21 Juli 2013
Beiträge
9.064
Ort
Ruhrpott
Wie lange dauert es wohl noch bis das Password so lang werden muss, dass man es nur noch per USB-Stick "laden kann" weil das eintippen 2 Stunden dauern würde:coffee:

[Ironie ON] Wenn das alles so richtig ist was man so von der Quantentechnik aufschnappt hat sich das Thema Password dann eh erledigt. [Ironie OFF]

Ich brauche nur an die Enigma zu denken. Galt im Krieg lange als unknackbar. Aber als die ersten mit Röhren bestückten Computer verfügbar waren, war der Drops gelutscht. Dauerte dann keine 2 Stunden mehr. Der erste brutfoce-Angriff:D
 

Cybercat

Board Kater

Cybercat
Registriert
21 Juli 2013
Beiträge
9.064
Ort
Ruhrpott
Ist viel trockener Stoff.
Aber auch die "klügsten Köpfe" haben sich schon in der Vergangenheit oft geirrt. z.B. Thomas J. Watson meinte es gebe einen weltweiten Bedarf an vielleicht 5 Computern
Die berühmte Cray-I von Cray-Research. 1988? Der weltweit schnellste Hochleistungscomputer. (Im Deutschen Museum zu besichtigen, habe Fotos von) Heute steht in jedem Kinderzimmer was viel schnelleres.
Die erste Festplatte die ich gesehen habe stand neben einem TandyTRS80. 8" mit 64KB Speicher! Ich habe jetzt im Smartphone eine MicroSD mit 64GB.
In einem Physikbuch aus der Schulzeit von meinem Ur-Großvater steht:"Das drahtlose telegrafieren ist undenkbar"

Es haben sich viele namhafte hochkarätige Wissenschaftler schon so oft getäuscht. Ich behaupte jetzt einfach mal ganz frech: Es ist alles eine Frage der Zeit bis es die Technik gibt um auch den 256Bit-Schlüssel innerhalb weniger Stunden zu knacken.
 

Äther

...hat kein real life!

Äther
Registriert
22 Juli 2013
Beiträge
336
Ort
Im Reagenzglas
  • Thread Starter Thread Starter
  • #13
naja kann schon sein dass es ne möglichkeit gibt, aber ich denke dann nicht über stumpfes ausprobieren aller schlüssel. es gab glaub ich mal dieses DES oder so, was n schlüsselraum von 56 bit hatte was ja 2^56 ist, also iwas bei billarden möglichkeiten, nun gut aber 256 bit ist ja nicht 5x1billarden, sondern 2^256= 1.1579209e+77 möglichkeiten. und selbst n rechner der milliarden mal schneller rechnet, als alle rechner der welt, bräuchte immer noch 100k jahre :D kp ob das richtig gerechnet ist, mein physik cousin hatte mir das mal grob erklärt ^^

@cybercat
wo ist eig dein alter avatar, den fand ich iwie besser ;)
 
Zuletzt bearbeitet:

Mr_J

Neu angemeldet

M
Registriert
14 Juli 2013
Beiträge
991
Äther schrieb:
@cybercat
ich glaub selbst mit n quantencomputer sind die schwer zu knacken:
http://www.kuno-kohn.de/crypto/crypto/keylen.htm
Zum Vergrößern anklicken....

Hast du so in etwa grob eine Vorstellung wie Quantencomputer funktionieren oder warum sie für aktuelle Kryptographieverfahren problematisch sind? Zum Beispiel basiert RSA auf dem Faktorisierungsproblem, welches wahrscheinlich durch Quantencomputer deutlich effizienter gelöst werden kann. Es geht also nicht um eine erhöhte Rechenkapazität sondern man greift die zugrunde liegende Mathematik an.

MfG
Mr. J
 

Äther

...hat kein real life!

Äther
Registriert
22 Juli 2013
Beiträge
336
Ort
Im Reagenzglas
  • Thread Starter Thread Starter
  • #15
ich meinte eig, dass durch ein reines ausprobieren aller schlüssel, selbst ein quantenrechner nicht in annehmbarer zeit zu einer lösung kommt. zumindest kann ich mir das durch logisches denken allein bei der schirren anzahl der möglichkeiten nicht vorstellen - zu allen anderen methoden fehlt mir leider das vorwissen, als dass ich dazu ne aussage machen könnte. wie gesagt mein cousin studiert physik und ich glaub auch mathe, vll kann er mir das "faktorisierungproblem" erläutern ;)

mfg äther
 

Mr_J

Neu angemeldet

M
Registriert
14 Juli 2013
Beiträge
991
Äther schrieb:
ich meinte eig, dass durch ein reines ausprobieren aller schlüssel, selbst ein quantenrechner nicht in annehmbarer zeit zu einer lösung kommt[...]
Zum Vergrößern anklicken....

Da man so einen Angriff auf einem Quantenrechner nicht durchführen würde, ist diese Überlegung eher theoretischer Natur.

MfG
Mr. J
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben