Hacker haben offenbar (stets) Zugriff zu ALLEM!

Am 16.11.22 um 15:51 schrieb Helmut Wabnig:

Nehmen wir mal an das Wörterbuch wäre aus dem englischen Wiktionary gebaut. Dann gäbe es z.B. Matches zu folgenden Einträgen:

co - Kohlenmonoxid, abk. für County, mil. Dienstgrad, Vorsilbe "bei"... rectal - "von hinten" bat - Fledermaus, (Baseball)Schläger ery - suffix "ein Platz für" usw hores - Plural von hore (misspld. für Prostituierte) stap - Stock, Schläger lle - gälisches Pronomen

Zu viel Kopfkino. Ich denk jetzt lieber mal an Pferde ;-)

O.J.

Das hilft dir aber nichts wenn du nur den Hash hast, denn der passt nur auf das ganze Password und nicht auf Teile davon.

Gerrit

Die Anzahl der möglichen Kombinationen sind der absolut entscheidende Parameter (Brute Force).

Ich kenne niemanden, der das kann.

Beispielsweise 6 Wörter, deren Anfangsbuchstaben verwendet werden - das geht noch. Jedoch ≥15 Wörter sind nicht mehr praktikabel. Und wie werden beispielsweise 10 verschiedene Sonderzeichen identifiziert? Wie ist das bei geforderten Ziffern? Wie ist das bei Unterscheidung von Groß und Klein?

Du hast ein mangelhaftes Gefühl für die reale Praxis, wie sie aktuell vorliegt.

Ja, natürlich! Deshalb verwende ich seit Jahren ein bish-Skript, das mir gespeicherte Paßwörter entschlüsselt liefert. (Schrieb ich bereits.) Ich habe schon lange erkannt, daß dies Konzept der einzige langzeitig funktionierende, sichere Weg ist. Andere Konzepte sind leidige Umgehungen.

Die Stärke von Paßwörtern kann ganz leicht erzwungen werden - ohne Umgehungsmöglichkeit.

Siehe oben.

Gebe ein konkretes Beispiel! (wie ich es mehrfach tat) Forderungen sind bekannt: mindestens 4 Zeichengruppen, mindestens 15 Zeichen lang.

*** Ich habe _hunderte_ Paßwörter im Internet. *** *** Da kann ich jegliche Umgehung und Merkbarkeit vergessen. ***

cessoGar#sUpo45(*t)2 dichte= 87.95 1.4943074849700503e+22s ]"W*G[?Pci{F(db7N/0} dichte=131.397 1.7924296120427950e+35s

Vorstehend Testergebnisse zur Paßwort-Stärke.

Kombinationen = zeichenmenge_einer_stelle ^ anzahl_stellen

Es zählt _nur_ die vorstehende Formel bei BrutForce. Wenn also feststeht, daß nur BrutForce erfolgreich sein kann.

Am Wed, 16 Nov 2022 14:28:04 +0100 schrieb Gregor Szaktilla:

Das leuchtet mir ein, danke.

Ja; Ich bin seit Jahren sehr erstaunt, mit welcher Dämlichkeit und Denkarmut argumentiert wird.

Wenn ich in der Industrie mit Paßwort geschützte Zugänge programmierte (uC), hatte ich eine um jeweils 5 Sekunden verzögerte Eingabemöglichkeit programmiert. Und nach drei Fehlversuchen war Ende im Gelände - Zugang gesperrt, ohne Umgehungsmöglichkeit. Jeder Fehlversuch wurde in die Fehlerhistorie eingetragen, EEPROM, mit Uhrzeit+Datum. BrutForce ist da doch praktisch unmöglich.

Sehr ähnlich passiert es bei meinem neuen De-Mail-Zugang. Es gibt da ein Entsperr-Paßwort.

Am 16.11.22 um 18:44 schrieb Helmut Schellong:

Ja, ist ne schöne Methode, um Kollegen zu ärgern: Mit deren Usernamen sich 3mal falsch anmelden. Jedenfalls bei Systemen, die so idiotisch wie die von Helmut programmiert sind.

Hanno

So ist es, ich habe >100 im Internet. Ich muß folglich zwingend ein Tool haben, das mir entschlüsselte Paßwörter liefert. Alles andere ist Nonsens.

Usernamen gab es in dem Fall nicht. Und den Zweck des geschützten Menüs habe ich auch nicht genannt. Dieses Verhalten war abgesegnet; ich programmierte niemals irgend etwas idiotisches.

Idioten sind diejenigen Kollegen, die sich 3-mal hintereinander falsch anmelden. Zumal dies durch 3 Fehlermeldungen quittiert wurde.

Es fliegen trotzdem etliche Möglichkeiten raus, die man nicht mehr testen muss.

Marcel

Ja, aber durch die Sonderzeichen die man reinnimmt bekommt man mehr als nur einen Ausgleich dafür.

Gerrit

Natürlich. Aber die hätte man vorher ja auch auch schon eintippen können, wenn ich deiner Argumentationslogik Folge.

Der Nutzen liegt alleine in dem Unterschied zwischen Theorie und Praxis. Theoretisch beschleunigt jegliche Einschränkung Brute-Force-Angriffe. Praktisch, nun ja, Menschen sind wenig kreativ beim Ausdenken von Passwörtern. Dadurch kann man weit unter die statistisch erwartbare Zeit für einen Brute-Force-Angriff kommen, zumindest im Mittel. Es ist halt ein Katz und Maus Spiel.

Marcel

Du hast jetzt eine der Ausnahmen genannt, wo man die Anzahl sinnvoll begrenzen kann.

Bei guten Hashes und ein brauchbaren Passwörtern ist die Lösung bisher noch selten ökonomisch sinnvoll abbildbar.

Schon klar. Hilft halt wenig, wenn jemand Schraubenzieherzugang erlangt.

Aber was machst du mit einem (hoffentlich) passwortgeschützen Container im Cloud-Backup? Und was machst du beim Kennwort für die Festplattenverschlüsselung?

Es gibt viele Anwendungen für Passwörter. Und etliche davon erlauben das durchprobieren mit maximaler Geschwindigkeit.

Und solange User noch dieselben oder zumindest ähnliche Passwörter verschiedenerorts verwenden, kommt man mit einzelnen Lücken gut zum Ziel. Die Mehrfachverwendung von Passwörtern zu verhindern wiederum, ist selbst kaum ohne riesiges Sicherheitsloch umsetzbar.

Marcel

Die Cloud vermeiden wenn möglich. Ansonsten eben lange Passwörter für diesen Zweck.

Auch das sollte lang sein.

Oft sind die Algorithmen zwischen Passwordeingabe und der Verwendung des Ergebnisses (als Schlüssel o. ä.) mit Absicht ineffizient, aufwendig und langsam gestaltet. Eben um solche Angriffe auszubremsen. Die Grafikkarte wird das zwar immer noch schneller können, aber eben trotzdem gebremst.

Gerrit

Hi Hanno,

So ähnlich hat Comdirect nicht nur einen Kunden verloren.

Marte

Am 17.11.2022 um 09:38 schrieb Marte Schwarz:

[...]

Speziell diese Firma hat sich so blöd angestellt, daß man den Eindruck gewinnen konnte, die haben einfach keine Lust mehr... Da hatte ich dann auch keine Lust mehr.

Am Tue, 15 Nov 2022 17:47:39 -0000 (UTC) schrieb Andreas Graebe:

Ja, korrekt, aber nur wenig.

Hauptsinn ist es bestimmte Angriffe zu unterdrücken.

Die deutsche Sprache sind etwa 50000 Wörter. Diese mit geringen Modifikationen (Groß-, Kleinschreibung etc.) durchlaufen zu lassen, geht schnell. Ein 5 stelliges Passwort in Brute Force sind 62**5 = 916132832 Durchläufe.

Zahl und Sonderzeichen bringen meist von der Idee ab, ein Passwort wie "Müller-Thurgau" zu benutzen.

Peter

Am 16.11.2022 um 13:52 schrieb Thorsten Böttcher:

Das weiß ich nicht. Meine Vermutung wäre eher, daß die Vorgaben zu Länge und zu verwendenden Zeichen verhindern sollen, daß die allermeisten Paßwörter kürzer als 8 Zeichen sind und nur aus Kleinbuchstaben bestehen.

Holger

Peter Heirich schrieb:

Hauptsinn ist es, die Verwendung des möglichen Zeichenraumes möglichst zu erzwingen. Das ist allerdings selten erfolgreich...

Deshalb verlangt man ja auch _deutlich_ längere Passwörter und verzögert die Antwort bei der Eingabe eines flaschen Passworts, (sofern man denn die Abfrage auch wirklich unter eigener Kontrolle hat)

Ja. Man verwendet dann "§Müller-Thurgau0122" und bei der geforderten Änderung 90 Tage später "§Müller-Thurgau012022"...

MfG Rupert

Natürlich hilft es, denn die Häufigkeit einzelner Grapheme, Graphemreihenfolgen oder Silben ist bei Klartext gegeben und intelligente Brute Force Angriffe nutzen das.

Herr Kaspersky hat da mal ein Tool online gestellt:

"gagigeiauweiates" = schlecht (häufig vorkommende Sequenzen) "brcwcspnunfbanuz" = top (seltene Sequenzen)

Demnach ist "correctbatteryhorsestaple" ein ungeeignetes Passwort (Wörterbuch) und "corectalbateryhoresstaplle" ein sehr Sicheres, aber in "correct" wohl deutlich schwerer zu merken als z.B. "fifafifhttfaatvitm" (Jeweils die Anfangsbuchstaben aus einem Vers von Shakespeares MacBeth, eine weiter oben vorgeschlagene Mnemotechnik.)

Bis jemand dem Tool Cockney oder Gälisch bei bringt. Die Gefahr dass man bei der Wahl seiner "Geheimsprache" ins Klo greift bleibt also.

"przybylski" jedenfalls ist Mist. Kaspersky kann also schon polnisch.

O.J.