Hacker haben offenbar (stets) Zugriff zu ALLEM!

Bleibt allerdings brute force und da ist ein langes Password hilfreich.

Wobei man natürlich ein Password, welches man dort tested nicht mehr als Password benutzen sollte. Man weiss schliesslich nicht ob das gleich wieder vergessen wird oder in einer Datenbank landet. Ich werde meine aktuellen Passworte dort jedenfalls nicht testen.

Gerrit

Eines muß man wissen: Ein guter Algorithmus zum Herausfinden von Paßwörtern wendet BrutForce erst ganz zum Schluß an, wenn alle anderen Methoden erfolglos waren. Diese anderen Methoden kommen in Minuten bis Stunden zum Erfolg. BrutForce braucht meist viele Jahre.

]"W*G[?Pci{F(db7N/0} Vorstehend ein Paßwort, das nur per BrutForce herausfindbar ist. Das gilt für alle Sequenzen aus nachfolgender Zeichenmenge mit Länge >7. (Kryptographischer Zufall)

VIR3L<BbHg/~`wA;.?e\#2(!F"f-n&qC9XG+J)Y8,aMsr^@x{$01h7So_ukpcDz] k.J,9T1nVWu!tMfoE*B3lU+icjzqga@<?dR>-([IXP7p8h5|&DY$QeLxy^6N0;w/ MsKD|A+^nurNB>vo$qi?)C1lQI5gF%Z_}w<0e3Xak8~2h.`*Pf/HW[T#!(V@SGc6 wt?pcf;R-(<s`U}g.%3^r_0qy"Jl:iWv2*6x/IzjuVPa{MZ@|\ko4n]$h8T+QYK[ JK83{Xr&+j)L~m@s`ME7vVWn65*0AQTOCxqtB:FZH\$l2/yUca,<S9Y-_|]4%?1>

f+yHxRK2n*SoF4dVM9~h"a{AB$wQ/J<WNj>t5Lsue[z]ZPb1D.pCi|3X7_;G}T`k .}CHP%Z8[7k\KUO@t#gL20YJ>Mnbo`;T$sihw"x]_efdrQSj:IBqu^31G(V|XaR* TrOE_-?;9Q4e|sNSYoc72vg#lRF{K,^>5&Vau}6"J.@bhUx~GdWZnIDL[pimqHfy ym1Fj[58nVq:MGLdca&D]o70Sk>_A{/@"OJ$pb`^sRrUuZ2!TBIwf*4(9He)X}~< ELI(B]^!"po0$*<z1X8@7O+-bAP;_Ms#UZdtl)rq`xYKV}4>NuFfQiWSvC:3,5G/ ?rPBU;enh-uzc\b%I}X.AT[2KdE]F^<s_`Q*{5N0|>mykGq8g/4lRw:!&7v~9WaO \+#-l/N&5e<J%$n[goah!VHI.X96`8d;AkY~u)D1]wMfc3v7Bym|0ZFbOUP?CxK" XBp]6O,K<^rD.gVN(?kP/l|d[*E9_@-GYy`I5JzC>+f;jQMnveR$~8L"baq73u\2

*Ftjz3~Nys\)kg}$(0h5%m!Mud9,#{A>nYBw[@e?X"Ia-lcr/xH]o&Uiv+2:^CD4 k,nEfc:~#wz{06pt.uQ$5<7[DVGy+e!LT@d|>Ig*q%shjB"M\?-;}oUrRx`S/3Oi ~%I*vT;o"Xkqu0@l$-Lbd>en5[F<sifHp._)j&tP{4OhD^AZ7N6wG!]zJC|}:1Q2

Ich bin genügend kreativ dabei (s.u.), habe aber auch einen Generator mit kryptographischem Zufall. tw8hdS@hrzUKa*(, gsJdk76jjUO-<#[q nDds&^fODSk2ilwo ...

[...]

Kombinationen = zeichenmenge_einer_stelle ^ anzahl_stellen

Die vorstehende Formel ist alles, was für Einschätzungen gebraucht wird.

10^2 = 100 26^2 = 676

Sind das die mit der NSA-Backdoor in ihrer Dual_EC_DRBG Referenzimpolementierung [1]?

SCNR, Volker

[1]

Nee. Habe ich doch schon längst auf "all your base are belong to us" geändert.

Volker

Am 17.11.22 um 14:31 schrieb Volker Bartheld:

Konzerne mit Global IT, Single Sign on und alles bötteschön in die Microsoft Cloud. Und bitte keine Extrawürste wie GIT-Server mit separatem Passwortmanagement o.Ä, das muss dann alles nach AZURE!

Und wenn die Amis ihre deutschen Töchter nicht mehr lieb haben wird mit drei Mausklicks die ganze Firma bis hoch zum CEO ausgesperrt. Dann erzählen sie was von "Angriffen durch russische Hacker" und die Daten sind sicher in USA und alles was in EU/D an Gesetzen wie DSGVO, IP, Technologietransfer uvm gilt ist außen vor und nur so viel wert was sich in Übersee einklagen lässt. Also praktisch garnichts.

Das ist inzwischen doch völlig normales Geschäftsgebahren unserer "Freunde"?

O.J.

Standards festlegen. Das NIST macht sozusagen das was die PTB hier macht.

O.J.

Send pics!

Saludos (an alle Vernünftigen, Rest sh. sig) Wolfgang

Am 17.11.22 um 14:31 schrieb Volker Bartheld:

Na ja, daß jemand bei einem (mglw. begrenzt) erfolgreichen Angriff die Hashes rausgetragen hat ist jetzt kein so ganz seltener Fall. Ansonsten bräuchte man Passwörter ja nicht hashen.

Rainbowtables über den gesamten englischen Wortschatz^4 (oder 3, oder 5, oder den deutschen Wortschatz...) halte ich dennoch (bislang) für unrealistisch. Zumal die Hashes ja hoffentlich noch gut gesalzen sind.

Hanno

Helmut Schellong schrieb:

Ja eben. Ascii hat nur 95 printable characters. Und andere Zeichensätze sind eher selten auf der Tastatur und nicht zu empfehlen, insbesondere wenn man unterschiedliche Eingabegeräte hat. Von den Sonderzeichen sind meist auch nicht alle erlaubt, hab da schon das merkwürdigste erlebt. Letztendlich bleiben auch nicht viel mehr als 64 Zeichen, also reichlich 6 bit. Fernschreibercode hatte nur 5 bit, also 32 Zeichen. Bösartig könnte man jetzt sagen: Nur Grossbuchstaben (eventuell plus Ziffern).

Marcel hat das schon angesprochen. Das läuft darauf raus, dass fünf "Gross-und Kleinbuchstaben, Ziffern und Sonderzeichen" etwa so gut sind wie sechs "nur Kleinbuchstaben".

Hätte man eine weitere Shift-Taste, die zwischen rot und schwarz umschalten könnte (gabs früher bei der Schreibmaschine), würde das auf den ersten Blick die Symbolmenge verdoppeln, aber es wäre auch nur 1 (ein) Bit mehr.

Dazu kommt genau das Problem, dass Andreas angesprochen hat. Meist werden die Symbolmengen oder die Symbolwechsel künstlich herabgesetzt wie durch "mindestens zwei Zahlen" (gemeint sind Ziffern), mindestens xy Grossbuchstaben, nicht mehrere Grossbuchstaben hintereinander, keine Sonderzeichen am Anfang oder am Ende, etc. Genau der Mist wie bei der Enigma.

Ich verwende oft 64 Zeichen aus einer Menge von 95-2=93 Zeichen. Die vermiedenen Zeichen sind » « und »'«, weil die in Shell-Skripten besonders beachtet werden müssen.

Es gibt Empfehlungen, um sich die Sache einfacher zu machen --> Komfort. Und die Sicherheit sinkt dadurch beachtlich - stört aber offenbar irgendwie niemanden.

Die Möglichkeit, daß Wörtertabellen im ersten Schritt eines Angriffs benutzt werden können, um innerhalb von Minuten bis Stunden statt Jahren ein Paßwort zu knacken, wird unterschätzt. Hier wurde schon 2000^4 genannt, wobei '4' die Anzahl Wörter ist, nicht die Anzahl Zeichen!

Etwas anders sind Keys. In der kryptographischen Szene werden Keys aus 256 Bit als sicher vor Quanten-Computern angesehen. Die Bits (0 und 1) müssen aber (nach der ersten Stufe) /stark/ angeordnet sein.

Will da jemand unbedingt, dass die Passwörter auf kleinen gelben Klebe- zetteln an der Unterseite der Tastatur landen? Den mit solchem Unfug werden Passwörter auf kleine gelbe Zettel unter der Tastatur geschrieben ...

Kleine gelbe Klebezettel, sag ich doch ;-)

Na immerhin.

Man liest sich, Alex.

Standard bei SIM-Karten PINs seit .. 20+ Jahren. Mehrfach falsche PIN in Folge (IIRC 3x oder so): Karte gesperrt, keine weiteren Versuche. Zum Entsperren bitte PUK ausgraben und eingeben.

Man liest sich, Alex.

Mein vorstehender Text wurde bereits vor Tagen kommentiert. Und zwar wurde meine Programmierung als idiotische Programmierung eingestuft. Ich würde damit meine Kollegen ärgern.

Man sieht: Genehm ist nur eine Programmierung, die _scheinbar_ Sicherheit implementiert; tatsächliche Sicherheit ist unerwünscht - wo kommt man denn damit hin?!

Ich habe seit 1987 stets sichere Konzepte gewählt, die tatsächliche Sicherheit für mich bewirkten, kühl-professionell. So habe ich seit 1987 keinen Schaden durch irgendwelche Schad-Software. Obwohl ich niemals Virenscanner oder ähnlich benutzte. Das wurde mir nie geglaubt (s.o.).

Die einzige Störung, die ich je hatte, waren ~1000 eMails pro Tag in einem meiner Postfächer. Die eMails löschte ich mittels eines bish-Skriptes jeweils innerhalb von Sekunden. Nach wenigen Tagen änderte ich das Paßwort - und das Problem war verschwunden. Mein Fehler war, daß meine eMail-Paßwörter _damals_ aus nur 8 Kleinbuchstaben bestanden.

Heute konzipiere ich mit gesteigerter Sicherheit. Beispielsweise verschlüssele ich meine tar-Archive für meine Cloud kryptisch mit 'rabbit', 'dragon' und 'coder' - bis zu 5-fach mit verschiedenen Keys. Die entschlüsselt nichts und niemand jemals.

Am 20.11.2022 um 22:32 schrieb Alexander Schreiber:

Ja, aber hier gibt es:

a) einen zweiten Faktor (die physische Erreichbarkeit des Telefons) b) eine zweite Zugriffsebene mit Rücksetzmöglichkeit c) bei Versagen von b) die Möglichkeit eine Ersatz-SIM zu bekommen

Eine Anmeldemöglichkeit zu einem Benutzeraccount, zu dem ggf. Millionen Menschen über das Netz Zugang haben, derart zu sichern, daß jegliches Ausprobieren dazu führt, daß der Zugang

a) dauerhaft b) unumkehrbar

gesperrt bleibt, wird auf wenig Akzeptanz stoßen.

Bernd

Hmh.

Tatsächlich meine ich der Kommentar zielte daraufhin: durch mutwillig falsche Eingabe der Zugangsdaten lässt sich dadurch ein erheblicher Schaden provozieren, nämlich ein dauerhaft gesperrtes System. DOS-Attacke, quasi.

Das ist ein ernstzunehmender Einwand!

Thomas Prufer

Davon hat allerdings niemand geredet.

Bei meiner Programmierung wird der User über jeden Fehlversuch informiert. Und nach 30 Stunden ohne weitere Fehlversuche wird wieder freigegeben.

Derjenige bezeichnet aber _pauschal_ fast alles, was ich mache, als idiotisch.

Das wäre er, wenn es eine dauerhafte Sperre wäre - /für immer/. Jedoch nach 30 Stunden ohne weitere Fehlversuche wird wieder freigegeben.

Eine unumgehbare Sperre /für immer/ eines Menüzugangs wäre unsinnig.