Online-Abo
  • Login
  • Registrieren
Games World
      • Von Kusanar Software-Overclocker(in)
        Zitat von Shub Niggurath
        Die Datei liegt quasi für Hacker zum Abgreifen parat auf dem Server.
        .....

        P.S.: Und normalerweise liegen die Passwörter in der Datei dann nicht im Klartext, sondern (hoffentlich) als Hash vor.

        @Hornissentreiber: Nur 5 Zeichen? Haha, das ist auch geil. Vor allem beim Onlinebanking...
      • Von Hornissentreiber Freizeitschrauber(in)
        Zitat von Dr Bakterius
        Empfehlenswert:
        IssdenPudding oder Donaudampfschifffahrtsgesellschaftskapitaen, und für vorsichtige User eben Taumatawhakatangihangakoauauotamateaturipukakapikimaungahoronukupokaiwhenuakitanatahu.
        Das ist natürlich weitaus besser als 123456 oder ähnlicher Käse, aber in der c´t gab es vor einiger Zeit einen Artikel, in dem sie aufgezeigt haben, dass sämtliche Passwörter, die auf beliebig komplizierten Merkregeln beruhen, für Profis relativ schnell zu knacken sind. Ich habe keine Zahlen mehr im Kopf aber es war schnell genug, dass sich so ein Hack u. U. auch lohnen würde. Also nicht etwa mehrere Jahre.
        Ich fasse das mal zusammen, soweit ich es verstanden habe und mich noch daran erinnere. Das funktioniert dadurch, dass die Tools professioneller Passwortknacker nicht allein auf Brute Force setzen, sondern auf eine Kombination aus Brute Force mit speziellen Datenbanken. In diesen Datenbanken werden anhand geknackter Passwörter (ob durch Brute Force geknackt oder sonstwie gesammelt ist dabei wurscht) sämtliche Merkregeln eingetragen, die sich irgend jemand irgendwo einmal ausgedacht hat. Darauf basierend werden dann per Brute Force zuerst die nach diesen Regeln wahrscheinlichtsten Passwörter ausprobiert und eben nicht einfach der Reihe nach jede Mögliche Kombination.

        Ein Beispiel für so ein scheinbar zufälliges Passwort wäre SW3:dRdJ-R. Sieht doch ganz gut aus, oder? Ist aber leider relativ leicht zu knacken. Die Regel dahinter ist, einfach die Anfangsbuchstaben des Lieblingsfilmtitels zu verwenden. Hier war das Star Wars 3: die Rückkehr der Jedi-Ritter. (Das ist keineswegs mein Lieblingsfilm, aber man braucht einen längeren Filmtitel und ein anderer fiel mir gerade nicht ein. ) Der alte Trick, manche Buchstaben durch Sonderzeichen zu ersetzen, ändert nichts an dem Problem, das berücksichtigen die Programme natürlich auch.

        Die Datenbanken für diese Methode werden permanent ausgebaut, sodass man davon ausgehen muss, dass die meisten Merkregeln, die uns einfallen, schon jemand anderes benutzt hat. Kurz gesagt kann heute kein auf einer für den Menschen funktionierenden Regel basierendes Passwort noch als sicher gelten. Soll ein Passwort also auch dieser datenbankgestützten Methode widerstehen, bleibt einem nichts anderes übrig, als sich ein wirklich zufälliges Passwort einzuprägen, indem man es so lange von einem Zettel abtippt, bis es sitzt. Solche Zufallspasswörter liefert eben Keepass, u. a. deshalb habe ich es in meinem ersten Posting empfohlen.

        Zitat von Kusanar
        Dann gibt es auch noch diese supertollen Webseiten, die dir klipp und klar sagen "Nö, Junge, mehr wie 6 Zeichen darf dein Password nicht haben".
        Oder noch besser: Es werden nur die ersten 8 Zeichen gespeichert, ins Textfeld eingeben lassen sich aber beliebig viele Zeichen...

        Es wird dem unbedarften User so oder so viel zu einfach gemacht, etwas falsch zu machen.
        Wenn es doch wenigstens sechs Zeichen wären! Meine Bank gestattet maximal 5 (!) Stellen als Passwort. Ich frage mich wirklich, wie irgend ein Administrator auf so etwas kommen konnte, noch dazu der einer Bank.
      • Von turbosnake Lötkolbengott/-göttin
        Dein Szenario beschreibt ein Versagen des Anbieter, sobald so eine Liste aufgetaucht ist bietet keines der Passwörter mehr Schutz. Egal wie lang es ist, damit gibst du dir maximal eine längere Reaktionszeit.

        Zitat
        Natürlich kann jemand Offline deine Online-Passwörter knacken. Hat man erst mal Zugriff auf die Datei mit den gespeicherten Passwörtern, ist es nur eine Frage der Zeit.
        Und wie will er das tun?

        Zitat
        Noch schlimmer wirds, wenn du dann ein schwaches Passwort verwendet
        Wieso? Wenn sie die Passwortliste haben ist wieder egal, da dort alle PWs draufstehen.

        Zitat
        Passwörter im Klartext rauszubekommen, bedarf es (mehr oder weniger) nur eines simplen Wörterbuchangriffs
        Das geht nur wenn da was sinnvolles steht, bei 9Ä!ö23 hat man damit auch keine Chance.
        Es ist einfach kein Wort.
        Zitat
        Und Offline kann ich so oft herumprobieren wie ich will, da gibts es auch keine "Login-Beschränkung"....
        An was willst du rumprobieren? Einloggen kannst du dich nirgends.

        Aber dein Szenario liegt außerhalb der Verantwortung des Nutzers, sondern zu 100% beim Anbieter.
        Und in dem Fall wäre dein gutes PWs total verbrannt.
      • Von Shub Niggurath Freizeitschrauber(in)
        Zitat von Kusanar
        ONLINE ABGESPEICHERT
        Was ja genau betrachtet eh Humbug ist, da die PW-Datenbank in Wirklichkeit auf einer Festplatte rumlungert und nicht unentwegt ohne festen Anhaltspunkt durchs Netz geistert.

        Die Datei liegt quasi für Hacker zum Abgreifen parat auf dem Server.
      • Von Kusanar Software-Overclocker(in)
        Zitat von turbosnake
        Nur kann niemand Offline deine Online Passwörter knacken.
        Na das erzählst du am besten den Leuten hier: Passwortdatei der Universität von Texas gestohlen | www.itexperst.at,
        und denen bitte auch gleich: Sicherheit im Internet: Millionen Passwörter geklaut - LinkedIn, eHarmony und Last.fm sind betroffen - Welt - Tagesspiegel
        und auch denen hier, wenn wir schon mal dabei sind: Fataler Hack bei Sony ? alle Kundendaten geklaut! - IT Magazine Seite 0.

        Natürlich kann jemand Offline deine Online-Passwörter knacken. Hat man erst mal Zugriff auf die Datei mit den gespeicherten Passwörtern, ist es nur eine Frage der Zeit. Wie du siehst, kann es selbst Größen im Internet wie Sony passieren, dass Passwortdateien abhanden kommen. Google, Paypal, Amazon etc. kann es genauso treffen, einige andere hat es bereits erwischt. Noch schlimmer wirds, wenn du dann ein schwaches Passwort verwendet und vielleicht (wider besseren Wissens) EIN Passwort für mehrere Seiten verwendet hast. Oder sogar noch für den Email-Account, mit dem du dich registriert hast, das gleiche Passwort verwendest.

        Auch um selbst aus gehashten Einträgen in der Passwortdatei die originalen Passwörter im Klartext rauszubekommen, bedarf es (mehr oder weniger) nur eines simplen Wörterbuchangriffs. Und Offline kann ich so oft herumprobieren wie ich will, da gibts es auch keine "Login-Beschränkung"....

        und dann sind deine 6 Zeichen wieder eine Stufe tiefer gerutscht und wir sind wieder bei 7 Sekunden, die ich im Dictionary suchen muss, um genau dein Passwort zu finden. Wenn ich noch in Betracht ziehe, dass ich vielleicht erst den richtigen Hash suchen muss, dauerts unter Umständen etwas länger. Aber wie gesagt, Offline hat man alle Zeit der Welt...

        tl;dr: Nur weil dein Passwort ONLINE ABGESPEICHERT ist, ist es noch lange NICHT SICHER.
  • Print / Abo
    Apps
    PC Games Hardware 01/2017 PC Games 12/2016 PC Games MMore 01/2016 play³ 01/2017 Games Aktuell 12/2016 buffed 12/2016 XBG Games 11/2016
    PCGH Magazin 01/2017 PC Games 12/2016 PC Games MMORE Computec Kiosk On the Run! Birdies Run
article
1148443
Internet
Vollpfosten-Alarm: Die dämlichsten Passwörter 2014
2014 war wieder ein Jahr, in denen zahlreiche Hacker erfolgreich ihr Unwesen trieben. Gelernt haben daraus die wenigsten Internetnutzer, denn die Passwörter sind immer noch lächerlich unsicher.
http://www.pcgameshardware.de/Internet-Thema-34041/News/Die-daemlichsten-Passwoerter-2014-1148443/
20.01.2015
http://www.pcgameshardware.de/screenshots/medium/2015/01/Vollpfosten-Alarm_Die_daemlichsten_Passwoerter_2014_-pcgh_b2teaser_169.JPG
news