Hacker haben offenbar (stets) Zugriff zu ALLEM!

Erzähl das meiner Großmutter.

Passwörter die man sich nicht merken kann sind auch nix Brauchbares.

"Start123" Google 87000 hits.

w.

Deshalb ist man schlau und nimmt statt dessen 'Start2022'. Am 1.1.2023 ändert man es in 'Start2023'.

Gerrit

Sie sind aber automatisch beträchtlich unsicherer.

Ich mußte in neuerer Zeit Paßwörter wählen, die selbst für Quanten-Computer kaum knackbar sind. Klein- und Großbuchstaben, Ziffern, Sonderzeichen, mindestens 16 Zeichen lang. Da muß man schon einen Paßwort-Manager oder ein anderes geeignetes Hilfsmittel verwenden. Ich verwende letzteres.

Korrektur: Merkbare sind aber automatisch beträchtlich unsicherer.

Am Tue, 15 Nov 2022 18:22:49 +0100 schrieb Helmut Schellong:

Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten, ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß. Ohne den "Ziffernzwang" kann es aber auch ein Kleinbuchstabe, ein Großbuchstabe oder ein Sonderzeichen sein, mit anderen Worten gibt es ungleich mehr mögliche Kombinationen.

Daher vermute ich, daß ein solches Passwort mittels entsprechender Algorithmen leichter zu knacken sein wird, als wenn all diese Zeichen möglich aber nicht zwingend vorgeschrieben sind.

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um eine verständliche Erklärung, warum diese Einschränkung die Sicherheit erhöht.

Ja, aber der Angreifer hat diese Information nicht. Hat er richtig geraten kommt er rein, aber wenn nicht sagt ihm keiner, daß er fast richtig geraten hat und ihm nur noch ein korrektes Zeichen fehlt.

Gerrit

Es geht nicht um Sicherheit. Es kommt darauf an, Sicherheit vorzutäuschen, damit der Anbieter jederzeit behaupten kann, er habe besondere Sorgfalt walten lassen und alle erfolgreichen Angriffe können ja auf jeden Fall nur und allein Schuld des Kunden sein. Juristen fallen auf sowas vorhersagbar rein und nur auf die kommt es im Zweifel an. Die wirkliche Welt interessiert nicht.

Nein, es ist umgekehrt. Es müssen ja beliebig viele z.B. Sonderzeichen (>0) aus der Menge der Sonderzeichen vorhanden sein.

.

Ein Zeichensatz enthält 256 verschiedene Zeichen (8 Bit). Je mehr (>15) (verschiedene) Zeichen daraus gewählt werden, desto größer die Anzahl der möglichen Kombinationen.

Kombinationen = 256^anzahl Kombinationen = 95^anzahl (ascii)

Am 15.11.22 um 18:31 schrieb Helmut Schellong:

Nein, das ist Unsinn.

Jegliche Zugangskontrolle für Menschen ist *IMMER* ein Kompromiss aus Entropie und Komfort. Leidet der Komfort zu sehr, sucht der User nach Umgehungen und dann wird es *wirklich* gefährlich.

• merkbare Passwörter können erheblich länger werden als wirre Zeichenkolonnen, ohne die Praktikabilität zu sehr leidet.

• merkbare Passwörter kann man sich merken, wirre Zeichenkolonnen werden zwangsläufig aufgeschrieben oder in Passwortmanagern verwaltet.

• Passwortmanager sind keineswegs 100% hackersicher, und am Ende wird die lästige endlos-Zeichenkolonne dann wahrscheinlich auch noch über die (leicht belauschbare) Zwischenablage in die Eingabemaske übertragen. => Es spricht viel für merkbare, menschenfreundliche Kennwörter, natürlich mit gewissen Mindestanforderungen an Länge und genutzte Zeichenmenge.

Wenn es einigermaßen sicher sein soll, hilft am Ende eh nur eine Kombination mehrerer Maßnahmen, etwa:

• Kritische Daten haben grundsätzlich nichts auf Servern zu suchen, die via Internet erreichbar sind oder gar draußen herum getragen werden (Notebooks...).

• Keine Software-Monokultur, in der Hacker mit einem einzigen Exploit gleich die gesamte IT-Infrastruktur des Unternehmens bis in den letzten Winkel abräumen können.

• Eine sinnvoll gewählte 2FA-Authentifizierung mit einer physischen Komponente (Smartcard/Token/PIN-Generator/Anwesenheit im Büro/etc).

• Und vor allem eine durchdachte Autorisierung, bei der nicht ein einziger Account (womöglich ausgerechnet der des kaufmännischen Chefs mit IT-Nulldurchblick) Zugriff auf alles hat.

Das ist mathematisch ganz klar darstellbar, eindeutig, unwiderlegbar. Merkbare sind bei mindestens 16 erforderlichen Zeichen netto auch längst unpraktikabel.

Ja, allerdings suche ich keine Umgehungen (mehr), weshalb ich ganz sicher bin. Komfort habe ich dennoch.

Ich verwende eine simple Alternative zu einem Paßwort-Manager. Nämlich ein bish-Skript.

Durchaus, dennoch sind sie beweisbar automatisch unsicherer.

Ja, beispielsweise sollten Personaldaten nicht aus dem Internet zugreifbar sein. Bei Conti waren sie zugreifbar.

Ja, bei Conti wurde alles abgeräumt.

Das wurde bei Conti offenbar nicht berücksichtigt.

Ja, es muß eine mehrschichtige Struktur geben.

Paßwörter sind der wichtigste Schwachpunkt. Sich nachfolgend 20 Zeichen herauszuholen, dürfte ein bestmögliches Paßwort ergeben: ]"W*G[?Pci{F(db7N/0}

Kombinationen = zeichenmenge_einer_stelle ^ anzahl_stellen Kombinationen = 95^20 = 3,58e39

0x_LIj7|bPtfndwo;}]JCFVu1#8hM)S(eTAHkp9/@,UGs^RN\zDy3c6E"$%~l<{Q :2R1aS7+@GAiYs|JkHpfEK3}#W&,$t!TL4z>9^(mh_QCDM*<BX8`g0-x~r.;[6I" J<v@WBR^2f{1Zw][dSCb)t`$X+kIUEYF#!3muMxi_>\VNTo6"8z~eLgP}(njOh:| 56Zk72c9VJ%1.`hQrj?;}za[{AG"b+sfYHXC3$Ry]tnIM,i:)\D8do/4EelF|_BL v)xMatFeQ&J48}\[+72NdI%g.?<*Xc$DH#yb-3{5(V>^]"`YnR6E!B0:Kj_iC~k; F:4Z\{az~6^,MR7G5A"lJ(bXQxS.Uk[d1V]E9K%s)f#y*Co_ONun3iHvT/c?P2Lq On:~dl_J4*Wy.}GsCpwL]%P-S{Q"e\1[R;b^jquX3mg)6BIFz7`U?v!25V(h@<Mk +~vuK@$<"39og`P{(cjw4nx#b)HDF_Jrke8\AN1.-C[&:2BT*5LSWti,z/XpUdlO D5>jJ04m.uSd\i6@Xx"72G_,c%)^bf(Ry;l:vnPskK}Qh|wMV3LTt1BZOg[HeCp* ({|t5q1yMu$HvY:w~8Kz7+mr3>9o?J,AXBx"GCOR}0\iEc_hL]k#W%^`gVDQbs-a zf.5*v&)e-/BpDNcosM]SIhLQrg!X<0;EY(t>8R?Jdl@|HqKV_+%^2[jFU`{a$xA o8>ATKtjCyRa9Z]"W*G[?Pci{F(db7N/0}4|nke3<!q.Hl)$#:L;^_+Imf%ErYQ2 rVKvq:b&_}6m[fQLnh(RuWZC@Y;%>IGo#M3{c/~^-E|z0+`9pdi45wAegj\,N$?t !ej-]T:k_}8@<I9b|i(HGWCVw+m/PB;Ss.pYu\1oL,Mz"3Ayh5XrvZtNn&{0K%x# xTSev$\VI]o%WrN,:|Oli?M#ds&UZ"@y*QE38`qA;a<jH4kKDnb+twzB0~/>YJXC ?x7pD<fZ;g@Uq32j[J4{FKu(/%~v.ScXB}1>dCW,mi&-w`PA5zRYnE"|T:Ga^)N9

ObXKCD

Hanno

Menschen sind kein mathematisches Modell.

Menschen können ganze Theaterstücke auswendig lernen und grammatikalisch sinnvolle Sätze in z.T. atemberaubendem Tempo in die Tastatur hacken.

Natürlich ist es voll und ganz praktikabel, eine willkürliche gewählte, leidlich sinnvolle Abfolge von mehreren Worten schnell zu lernen und flüssig zu tippen. Dann streut man noch irgendwo eine Ziffer und ein Sonderzeichen ein, und fertig ist ein gut merkbares Passwort mit sehr hoher Entropie.

Jetzt sage dem User, er soll eine gleich lange Zufallsfolge auswendig lernen und er wird dir einen Vogel zeigen.

Reale Nutzer in Großunternehmen bekommen unheimlich viele lästige Vorgaben aufgetischt und suchen sehr kreativ nach Wegen, die lästigsten davon zu umgehen. Das gilt natürlich auch und gerade für Dinge, die einen jeden Tag stören, wie das blöde Passwort, das sich kein Schwein merken kann.

Also packt $user das toll sichere, endlos lange Zufallspasswort mit ganz vielen Sonderzeichen für irgend einen Serverzugang in eine Textdatei und legt diese auf den Desktop, damit er schnell Copy&Paste machen kann. Oder er nimmt einen Passwortmanager und wählt als Masterpasswort das bewährte "1234". Und schon hat sich die IT mit ihren Vorgaben ins Knie geschossen.

Nein. Entropie kann durch einen großen Zeichenvorrat entstehen, aber auch einfach durch eine entsprechend längere Abfolge von willkürlich gewählten Worten der menschlichen Sprache.

Siehe das von Hanno verlinkte Beispiel.

Am 15.11.22 um 17:34 schrieb Helmut Wabnig:

In absehbarer Zeit wird eine handelsübliche GraKa jedes Passwort, dass sich ein normal sterblicher Nicht-Savant noch merken kann, knacken können, noch lange bevor Quantencomputer zum Angriff blasen. Dann hat sich das ohnehin erledigt.

Damit ist die Kategorie "Wissen" bei 2FA weitgehend obsolet. Lediglich für Verfahren, wo man die Anzahl der Versuche mit vertretbaren Nebenwirkungen extrem begrenzen kann, geht das noch.

Biometrie ist noch viel schlechter geeignet. Zum einen nicht fälschungssicher, aber, was noch viel wichtiger ist, *nicht austauschbar*, wenn es einmal kompromittiert ist. Im Darknet gibt es jetzt schon einen florierenden Handel mit biometrischen Ausweisdaten.

Die Lösung werden klassische Schlüssel sein, so wie in der guten alten Zeit, nur eben elektronisch. FIDO2 bildet das ja jetzt schon ab. "Besitz" bleibt also ein geeignetes Mittel.

Aber gegen die Hacker hilft auch das nicht wirklich. Zu viele Systeme sind aus aller Welt erreichbar und führen darauf angreifbare Bananensoftware aus. Und zudem sitzt die noch größere Schwachstelle davor: der Mensch. Man kann Menschen immer durch geeignete Beeinflussung dazu bringen, Dinge zu tun, die sie eigentlich nicht wollen. Das macht die Werbung jeden Tag. Und eben auch der klassische Enkeltrick oder sein IT Pendant der CEO-Fraud. Und wenn es beim ersten nicht klappt, nimmt man halt den nächsten, einer pro Ziel reicht ja.

Kurzum, jeder ist angreifbar. Man kann nur den Aufwand durch geeignete Maßnahmen so weit in die Höhe treiben, dass es sich ökonomisch nicht mehr lohnt. Damit wird man 99% des Ungeziefers los, da die alles überwiegende Motivation immer noch klassischer Geld-Raub ist. Institutionen, bei denen der Aufwand keine Rolle spielt, wird man nie los. Man bräuchte dazu auch unbegrenzte Ressourcen. Naja, und die Hacker um der Ehre willen wird man auch nicht los. Aber das sind extrem wenige. Hinzi kommt, dass die meist erheblich weniger Schaden anrichten.

Marcel

Nicht ganz. Denn ausprobieren am Login-Prompt kann die Grafikkarte das nicht, da sind mit Absicht Verzögerungen drin.

Der Trick funktioniert nur wenn du den Hash hast, dann kann die Grafikkarte ihre Geschwindigkeit ausspielen. Aber wenn du den hast ist das jetzt schon problematisch.

Es hat schon seinen Grund warum /etc/shadow (und ähnliches) vom normalen User nicht gelesen werden kann.

Gerrit

Falsch, er hat die Information oft. Er muss nur einmal beim jeweiligen Dienst auf den Account-Erstellen-Knopf drücken und oder sich die AGBs durchlesen bzw. danach recherchieren.

Aber die Einschränkung des Wertebereichs durch diese Beschränkung ist eher gering. Hingegen erschwert sie die Wahrscheinlichkeit für den menschlichen Faktor, möglichst simple Zeichenfolgen zu nehmen - mehr allerdings auch nicht.

Das kann man grob überschlagen: statt ca. 100^16 sind die letzten zwei, drei Faktoren nur noch jeweils eine Symbolgruppe. Die Ziffern sind mit nur 10 Symbolen dabei die kleinste und schlechteste. Das kostet eine Zehnerpotenz. Bereits die Einschränkung, dass Menschen typischerweise nur eins oder der vorgeschriebenen Symbolgruppen verwenden und für den Rest nur Kleinbuchstaben und vllt. Ziffern, ist eine viel, viel wirksamere Einschränkung des Lösungsraumes. Das kostet schon eher 4 Zehnerpotenzen, selbst wenn man Kleinbuschtaben und Ziffern optimalerweise in eine Symbolgruppe packt. Das entspricht näherungsweise einem um 2 Zeichen kürzeren Passwort. Simple Passworte nur aus Kleinbuchstaben würden aber ca. 10 Zehnerpotenzen kosten.

Man muss sich immer im Klaren sein, dass sich der Exponent der Potenzfunktion immer stärker auswirkt als die Basis. x ^ y = exp(y * log(x)) x geht nur logarithmisch in die Exponentialfunktion ein. Zwei Zeichen mehr, und man hat den Effekt jeglicher Zeichen-Regeln bei Passwörtern mehr als ausgeglichen.

Marcel

Am 16.11.2022 um 08:33 schrieb Marcel Mueller:

Ich hatte noch nie die Vorgabe für Passwörter, dass ich Ziffern an bestimmte Stellen schreiben muss.

Die Vorgabe lautet doch eher: Das Passwort muss mindestens eine Zahl enthalten. Es kann aber 16 Zahlen enthalten. Und wo die stehen weiß keiner. Außer dem User. Im Idealfall.

Am 15.11.2022 um 18:47 schrieb Andreas Graebe:

Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der letzten Stelle steht? Sie könnte auch an der ersten Stelle, oder an der 7. stehen. Oder an der

2., 3. und 11. Stelle.

Wenn man nur Kleinbuchstaben zulässt muss man pro Stelle 26 Buchstaben probieren. Lässt man auch Großbuchstaben zu hat man schon 52 Möglichkeiten. Kommen noch Zahlen dazu sind es 63.

Nein, dann hat er diese Information immer noch nicht. Denn die Ziffer muss ja nicht am Ende des Passwords stehen, die kann auch an anderer Stelle stehen. Die Vorgabe ist schliesslich nicht '1 Ziffer am Ende' sondern 'mindestens 1 Ziffer im Password'.

Gerrit

Am 15.11.2022 um 21:30 schrieb Hergen Lehmann:

Merkbare Passwörter landen trotzdem im Passwortmanager, wenn man sie nur recht selten braucht. Mittlerweile ist die Anzahl an benötigten Passwörtern recht groß, und längst nicht alle tippt man regelmäßig.

Was ist eigentlich aus der alten Empfehlung geworden, von einem gut merkbaren Satz die Anfangsbuchstaben zu nehmen und dann noch Sonderzeichen einzustreuen? Das ist ähnlich gut merkbar, ergibt aber eine wirre Zeichenfolge.

KeePass bietet optional die Möglichkeit, Passwörter nicht am Stück, sondern in Teilen zu übertragen. Das ist laut eigener Aussage nicht komplett sicher, soll aber gegen die gängigen Keylogger und Ausspähen der Zwischenablage helfen.

Holger