Hacker haben offenbar (stets) Zugriff zu ALLEM!

Wir werden mehr wissen, wenn der erste ELSTER-Account geknackt wurde. Elster hat mich bei der Erst-Registrierung fast unter die Decke getrieben, weil es jedes vorgeschlagene Passwort abgelehnt hat. Bis auf das Letzte.

Grüße, H.

Genau so schauts aus. Den Comic muß ich mir merken, als Argumentationsgrundlage.

Wie lange haben wir @work irgendwelche maximalkomplizierten Paßworte eingegeben, die UNBEDINGT aus Buchstaben (Groß- und Kleinschreibung), Ziffern und Sonderzeichen bestehen mußte, 16 Stellen oder länger. Der Benutzername durfte auch nicht enthalten sein und irgendeine Black Box hat noch nach Substrings gesucht, die aus trivialen Sequenzen (qwertz, admin, 12345, usw.) besteht.

Natürlich immer hübsch alle zwei-drei Monate ändern, mit maximaler Differenz zum vorherigen Paßwort (einfach eine Zahl inkrementieren wäre zu einfach). Und natürlich Single-Sign-On als reine Utopie. In der Theorie klapps, in der Praxis hast Du für GIT ein eigenes Paßwortmanagement, für Confluence/Jira, für Jenkins und natürlich das hauseigene Intranet. Bei PulseVPN klickst Du noch drei Disclaimer weg, bevor Du endlich arbeiten darfst und nach spätenstens 5 Minuten geht der Gruppenrichtlinien-Bildschirmschoner an und Du darfst Dein Paßwort neu eingeben. Wegen der Privatspäre auch den Benutzernamen.

Ergebnis: Man schreibt sich den Kram in eine Datei, macht CTRL-C CTRL-V und nutzt Chrome Autofill.

Inzwischen hatte jemand ein Einsehen und erlaubt den o. g. Ansatz. "volker trägt rosa schlüpfer" nun also endlich möglich. Ein Traum wird wahr!

Volker

Du sprichst mit dem Chuck Norris der IT Security. Der kann Paßworte rein visuell aus Speicherchips extrahieren. Noch Monate, nachdem der PC ausgeschaltet wurde. Diskussion daher sinnlos.

Volker

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen. Ein Passwort wie "correctbatteryhorsestaple" lässt sich über solche Abkürzungen brechen.

Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein Passwort mit "§" wenn dieses Zeichen bei der Berechnung der Tabelle (oder beim Wörterbuch) nicht berücksichtigt wurde.

Cracklibs welche die üblichen "Hacker" Substitutionen wie "A" mit "4" enthalten sind inzwischen nichts Besonderes mehr.

Und Kamera läuft. Alles sehr sicher...

Hauptsache alles ist offshore und in der Cloud und Betroffene haben niemand greifbar wenns schief geht.

O.J.

Die Fehlannnahme steckte an anderer Stelle: "wenn die ersten 15 Zeichen stimmen". Genau das erfährt eben keiner, nur daß das Gesamtkennwort aus

16 Zeichen falsch ist. Das ist kein Tresor im Schwarzweißfilm, wo man die Stellen einzeln und nacheinander löst.

Das gilt nur bei Brute Force, aber nicht in jedem Fall:

O.J.

Von der Annahme war aber keine rede.

Doch. Drei Schritte zurück:

Andreas Graebe wrote:

Am 16.11.2022 um 08:55 schrieb Thorsten Böttcher:

Der Angreifer weiß aber immerhin, daß er alle bestimmte Kombinationen wie "nur Buchstaben", "nur Zahlen" oder "nur Zahlen und Buchstaben" etc. erst gar nicht ausprobieren muß...

Das besagt aber nicht, daß die ersten Stellen bekannt wären, sondern lediglich, daß ein 16. stelliges Kennwort aus lauter Buchstaben gar nicht erst versucht werden muß und das ist völlig korrekt - trifft aber auf jede Stellenzahl zu.

Am 16.11.2022 um 13:37 schrieb Eric Bruecklmeier:

Das ist richtig. Ich danke aber man bekommt mehr Möglichkeiten dazu, wenn man den Zeichenvorrat erhöht, wie man durch gewisse Vorgaben wieder verliert. Sonst würde das wohl keiner machen.

Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Nö. Der Zweck ist, öffentlich hohe Sicherheit vorzutäuschen. Tatsachen interessieren in der Politik und vor Gericht nicht.

Aha. Du musst aber viele Menschen kennen, um so ein Aussage treffen zu können.

Was hat das denn mit Politik und Gericht zu tun?

Am 16.11.2022 um 13:52 schrieb Thorsten Böttcher:

Das kann sein, muß aber nicht. In der IT geht es ganz oft um gefühlte Sicherheit und auch hauptberufliche ITler erzählen oft genug hanebüchenen Unsinn...

Und zwar für alle Mitleser hier, garantiert! ;-)

Am 16.11.22 um 13:52 schrieb Thorsten Böttcher:

Wie man es nimmt. Die US Behörde NIST hat 2006 eine Studie über durch Menschen gemachte Passwörter veröffentlicht ("Special Publication 800-63").

Durch Auswertung realer Passwörter wurden folgende Faustwerte ermittelt, mit welchen sich näherungsweise die Stärke eines Passwortes abschätzen lässt:

"The entropy of the first character is four bits; The entropy of the next seven characters are two bits per character; The ninth through the twentieth character has 1.5 bits of entropy per character; Characters 21 and above have one bit of entropy per character. A "bonus" of six bits is added if both upper case letters and non-alphabetic characters are used. A "bonus" of six bits is added for passwords of length 1 through 19 characters following an extensive dictionary check to ensure the password is not contained within a large dictionary. Passwords of 20 characters or more do not receive this bonus because it is assumed they are pass-phrases consisting of multiple dictionary words"

Die meisten Regeln oder Prüfroutinen die eine Mindeststärke von Passwörtern gewährleisten sollen beziehen sich darauf.

O.J.

Am 15.11.22 um 18:47 schrieb Andreas Graebe:

Jein :-)

Ich denke, dass es dabei darum geht, lexikalische Passwörter zu verhindern. Die Möglichkeiten werden zwar eingeschränkt, aber es wird erheblich erschwert, ein Passwort zu erraten.

Gruß

Gregor

Sie funktioniert auch mit salted Password Hashes oder sehr langen Passwords nicht. Man bräuchte eine gigantische Menge Speicher für eine Rainbowtable um Passwörter mit 15 oder mehr Zeichen zu cracken. Abgesehen von der Zeit die es braucht diese Tabelle zu erstellen.

Wobei 'correctbatteryhorsestaple' ziemlich sicher in der Sammlung von zu versuchenden Passwörtern zu finden ist.

Gerrit

Ja, wenn du den Hash hast bist du schon einen Schritt weiter. Aber selbst dann sollte es nicht viel helfen wenn der salted ist.

Gerrit