Steam & Co: Mein Passwort lautet ... Das sagt das PCGH-Team!
PCGH kommentiert aktuelle Ereignisse aus der Welt der PC-Hardware, IT-Branche, Spiele und Technik. Lesen Sie die persönlichen Meinungen der Redaktionsmitglieder. Heute zum Thema "Steam & Co: Mein Passwort lautet ..."
Das Format "Redaktion intern: Das sagt das PCGH-Team" gibt Ihnen Einblicke in die Redaktion fernab einer Webcam, Heft-Kolumne oder Videos. Jeder PCGH-Redakteur gibt hier seinen persönlichen Kommentar zu einem aktuellen Thema ab. Dabei behandeln wir nicht nur die ganze Welt der PC-Hardware, sondern auch Spiele inklusive aktueller Konsolentitel, Filme und ganz allgemein der Technik - welche in mannigfaltiger Art und Weise unser tägliches Leben beeinflusst. Redaktion intern erscheint regelmäßig am Wochenende. Das Thema diesmal:
Steam & Co: Mein Passwort lautet ...
Hintergrund: Steam, Hacks, Passwörter ...
In der vergangenen Woche machten Berichte die Runde, wonach die Daten zu 89 Millionen Steam-Accounts im Dark Web gelandet sind. Da so mancher Steam-Account einen hohen Wert hat, wird als Vorsichtsmaßnahme eine Änderung des Passworts empfohlen. Wer noch keine Zwei-Faktor-Authentifizierung nutzt, sollte dies außerdem als Warnschuss ansehen, genau das nachzuholen. Wenig Einfluss hat man derweil darauf, was mit den angebotenen Daten passiert, wenngleich die Firma hinter Steam - Valve - in einem Statement bekräftigt, dass Cyber-Kriminelle damit nicht unbedingt viel Schaden anrichten können: "Die geleakten Daten bestanden aus älteren SMS-Nachrichten, die einmalige Codes enthielten, die nur für einen Zeitraum von 15 Minuten gültig waren, sowie die Telefonnummern, an die sie gesendet wurden. Die geleakten Daten sind nicht geeignet, die Telefonnummern mit einem bestimmten Steam-Konto, Passwortinformationen, Zahlungsinformationen oder anderen personenbezogenen Daten in Verbindung zu bringen. Derartige alte SMS-Nachrichten sind nicht geeignet, die Schutzvorkehrungen Ihres Steam-Kontos zu überwinden, und immer wenn ein Code verwendet wird, um Ihre Steam-E-Mail-Adresse oder Ihr Passwort per SMS zu ändern, werden Sie eine Bestätigung per E-Mail und/oder über die sicheren Nachrichten der Steam App erhalten."
Dennoch erinnert der Vorfall daran, dass alle Systeme angreifbar sind und Daten im Internet in die falschen Hände gelangen können. Was das PCGH-Team zum Steam-Leak und dem täglichen Passwort-Wahnsinn zu sagen hat, lesen Sie unverblümt in der Bildergalerie. Und was denken Sie, werte Leser? Die PCGH-Redaktion freut sich über Ihre Meinung in den Kommentaren zu dieser Meldung. Zum Kommentieren müssen Sie eingeloggt sein. Sollten Sie noch keinen Account haben, könnten Sie über eine Registrierung nachdenken, die viele Vorteile mit sich bringt. Beachten Sie beim Kommentieren bitte die gültigen Forenregeln. Folgen Sie uns außerdem für Neuigkeiten in der Hardware-Welt oder unsere exklusiven Inhalte gern auf Whatsapp und X. Unsere Video-Inhalte (oftmals gewürzt mit einer Prise Humor) finden Sie bei Youtube, Instagram und Tiktok.
Bezüglich der Anmeldeversuche hoffe ich, wie gesagt, dass alles jenseits der Top100-most-used-passwords "sicher" ist respektive Server-seitig als Angriff erkannt wird. Aber leider kriegen es einige Anbieter nicht einmal hin, ihre Passwort-Datenbanken zu sichern. Wenn ein Angreifer die Hashes und eine Kopie des Log-In-Server-Codes in die Hände bekommt, kann er die Kombinationen offline durchprobieren und mit einmal geht es um 10er-Potenzen. Aber so ein GAU ist nur geringfügig vom Super-GAU entfernt (= Angreifer kriegt die Passwort-Datenbank in die Hand und sie besteht nicht aus Hashs mit Salt, sondern aus ungesalzenen oder gar aus Klartext) und dann hilft gar kein Passwort mehr.
Vielleicht wäre "123456" dann sogar besser; zumindest ich würde damit "gesicherte" Accounts als Wegwerfspam aussortieren und nicht näher auf wertvolle Inhalte prüfen.^^ Die beste Maßnahme ist es aber, möglichst alle Accounts so zu behandeln als wären sie unsicher. Also möglichst wenig persönliches in der Cloud belassen und nichts nur dort speichern.
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
vs.
SZecQVDaaUwsMD8GUIAb
Erst alle erlaubten Zeichen mit Anzahl 4-100 durchzuprobieren ist doch bestimmt einfacher als anderen, obskuren Kram zu probieren.
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaxaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
macht es sicherlich schwieriger weil man mit o. g. Ansatz eben nicht so einfach weiter kommt.
In der Realität ist das wohl eh alles wurscht da 753 Anmeldeversuche hoffentlich nur bei den größten Gammeldiensten überhaupt möglich sind.
Die ersten Jahre mit WoW hatte ich mein PW immer brav und korrekt mit entsprechenden Großbuchstaben eingegeben bis ich dann per Zufall erfuhr, dass die bei Passwörtern gar nicht zwischen Groß-/Kleinschreibung unterscheiden.
Und die Begründung war, dass das ja nicht viel bringt.
Rein technisch mag das ja sein aber da fällt mir trotzdem echt nichts mehr ein. Man verschenkt kostenlose Sicherheit für nix?
Und ob man ± mal mit einem mobilen Gerät eingeben will? Man weiß es nicht.
Wie gesagt, ich hab selbst durch die Formeln und Berechnung gemerkt, dass das größere Alphabet mehr hilft als ein oder zwei Stellen dranzuhängen.
Ich habe mir nicht die Mühe einer allgemeinen Relation gemacht, aber die Zahlen in meinen Beispielen sind alle überschlagsmäßig durchgerechnet. Grundsätzlich spielen vier Parameter mit:
- Eine Vergrößerung des Zeichensatzes hebt den Wert jeder bestehenden Stelle an.
- Eine Vergrößerung der Anzahl von Stellen hebt den Wert jedes Zeichens im bestehenden Satz an.
- In der Praxis ist die genutzte Länge von Passwörtern meist begrenzt.
- Gängige Vergrößerungen des Zeichensatzes arbeiten in großen Blöcken.
Die ersten beiden Parameter sind spiegelbildlich und verlangen nach einer Balance zwischen beiden Größen – ein sehr kurzes Passwort mit bereits großem Zeichensatz zu verlängern bringt viel mehr, als den Zeichensatz noch weiter zu steigern; ein bereits langes Passwort auf mehr Zeichen zu stellen ist effektiver als noch ein paar weitere Stellen anzuhängen. Punkt 3 und 4 geben dabei den Ausschlag: Das Basis-Alphabet hat 26 Zeichen, mit deutschen Umlauten und SZ (sofern akzeptiert) sind wir bei 30. Die Ziffern dazu und man ist bei 40. Auch Großbuchstaben sind noch einmal 26-29 dazu (mit großem SZ wären es in der Summe 70). Im QWERTZ-Layout gibt es, inklusive der 3 Accents, weitere 37 direkt erreichbare Sonderzeichen on top. Ergibt also beim Maximalausbau* 107 statt 26 Zeichen. Um die gleiche Komplexitätssteigerung durch zusätzliche Stellen zu erreichen, müsste man ein nur-Buchstaben Passwort um Faktor log26(107) = 1,64 verlängern – was zum Beispiel von 12 auf 20 gegebenenfalls gar nicht möglich ist, weil so viele Zeichen nicht mehr ausgewertet werden.
Meine eigentliche Kernaussage ist aber, dass solche Rechnungen nur für Zufallspasswörter gelten. Sobald das Passwort systematisch aufgebaut wird, zum Beispiel aus Wörtern, sinkt seine Mächtigkeit dagegen extrem ab. "CorrectHorseBattery" hat 19 Stellen und selbst wenn man nur einfache Buchstaben ohne Groß-/Kleinschreibung nutzt, sind damit 766467265200361890474622976 Kombinationen möglich. Oder in Worten: Knapp Achthundertquadrilliarden. Es ist aber eben nicht zufällig, sondern eine Aneinanderreihung von drei Wörtern, die im Schnitt zu den Top-1.500 gehören (das nicht bezifferbare "Staple" lass ich im Beispiel mal weg). Statt 26^19 liegt die Komplexität daher nur bei 1.500^3 oder näherungsweise 3000000000 aka Dreimilliarden. Diese Komplexität könnte man auch mit 107^4,1 erreichen. "CorrectHorseBattery" ist also gerade einmal so "komplex", wie ein vier Stellen kurzes Zufallskennwort, dass die gesamte QWERTZ-Tastatur nutzt, obwohl man knapp fünf mal so viel eintippt. Vorsicht also mit solchen [Ins Forum, um diesen Inhalt zu sehen]Pferdebrücken.
*: Wer richtig fies zu Angreifern sein will, merkt schmeißt noch ASCII-Codes rein. Als Redakteur hat man zum Beispiel "×", "–" oder " " (geschütztes Leerzeichen) im Blut, "Å" wird künftig wohl auch wichtiger werden. Muss der Angreifer den kompletten Satz berücksichtigen, weil sowas mit drin ist, hat man ein Basis von gut über 200 Symbolen (theoretisch 255, aber die Steuerungsbefehle in ASCII taugen wohl eher nicht). Lässt sich dann aber nur noch mit Betriebssystem abhängigen Kombinationen eingeben, die unter Windows zudem allesamt einen Numblock erfordern.^^
§Ver2pissDic7hDu!Wi**serDukomm"shiernichr12ein(