Hacker haben offenbar (stets) Zugriff zu ALLEM!...

[Helmut Schellong]

HANDELSBLATT - Kostenloses Morning-Briefing
==========================================Continental
-----------
was für zehntausende von Firmenchefs (und mindestens ebenso viele IT-Leiter) ein schlimmer Alptraum ist, wurde bei Continental zur Realität: Vergangene Woche bestätigte der Automobilzulieferer Handelsblatt-Informationen, nach denen die Hacker- und Erpresserbande „Lockbit 3.0“ im August eine erhebliche Menge Daten des Unternehmens gestohlen hat. Es ist das erste Mal, dass ein solch massiver Datenklau bei einem Dax-Konzern bekannt wurde.

Die Hacker erbeuteten offenbar sensible Daten. Das geht aus einer Liste hervor, die die Angreifer auf ihrem Blog im Darknet veröffentlicht haben. In der Liste finden sich unter anderem Budget-, Investitions- und Strategiepläne, Unterlagen aus dem Personalbereich sowie vertrauliche Dokumente und Kommunikation der Vorstände und Aufsichtsräte. Außerdem haben die Hacker der Liste zufolge Daten erbeutet, die im Zusammenhang mit Kunden wie Volkswagen, Mercedes und BMW stehen. Im Fall VW geht es beispielsweise um Spezifikationen zu Software und Steuergeräten sowie um Vertragsbedingungen und Lastenhefte.

Continental wollte sich auf Anfrage nicht zu der Liste äußern. Lockbit hat die Conti-Daten Ende vergangener Woche für 50 Millionen Dollar zum Verkauf gestellt, nachdem Continental offenbar kein Lösegeld zahlen wollte.
Frage am Rande: Lautet das Passwort für Ihren Firmenrechner eigentlich auch “Start123!”?
Dann besteht Handlungsbedarf. Jetzt Artikel lesen...

Düsseldorf
Beim Cyberangriff auf Continental haben die Hacker offenbar nicht nur viele, sondern in großem Umfang auch sensible Daten erbeutet. Das geht aus einer Liste hervor, die die Hacker jetzt auf ihrem Blog im Darknet veröffentlicht haben.

Die Textdatei ist 7,6 Milliarden Zeichen lang, fast acht Gigabyte groß und listet die Speicherpfade von 55 Millionen Dateien auf. Nach Angaben der Hacker stammen diese alle von Conti-Servern.

In der Liste finden sich unter anderem Budget-, Investitions- und Strategiepläne, Unterlagen aus dem Personalbereich sowie vertrauliche Dokumente und Kommunikation der Vorstände und Aufsichtsräte. Auch Korrespondenz von Aufsichtsratschef Wolfgang Reitzle ist offenbar betroffen.

Außerdem haben die Hacker der Liste zufolge auch Daten erbeutet, die im Zusammenhang mit Kunden stehen, darunter der Autobauer Volkswagen, Mercedes und BMW. Im Fall VW geht es beispielsweise um Spezifikationen zu Software, Steuergeräten sowie Vertragsbedingungen und Lastenhefte.
=========================================================================================================
Ich schüttle seit Jahrzehnten immer wieder verständnislos den Kopf über solche Vorkommnisse.
Mein eigener PC ist offenbar beträchtlich besser geschützt, als die Server beim Conti-Konzern!
Ein Paßwort wie \'Start123!\' [1] hatte ich nie, sondern so etwas wie \'cessoGar#sUpo45(*t)\'.

Der Admin bei meinem ehemaligen Arbeitgeber (44 Mitarbeiter) ist offenbar viel besser
als alle Admins bei Conti zusammengenommen.
Obwohl die Mitarbeiter Zugang zum Internet hatten.
Es gab nur einmal einen Fall, wo ein Mitarbeiter einen verseuchten privaten Memorystick
in der Firma anstöpselte - mit entsprechenden Folgen.
Anders war wohl ein erfolgreicher Angriff bei uns unmöglich.

Man scheint bei Conti keine geeignete Struktur im Firmennetz gehabt zu haben.
Ein wahnwitzig schlechtes Paßwort darf trotzdem nicht \'Alles öffnen\' können.

[1] Alberner Kinderkram! Wie in Hollywood-Filmen.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Wabnig]

On Tue, 15 Nov 2022 12:28:48 +0100, Helmut Schellong
<rip@schellong.biz> wrote:

>Ein Paßwort wie \'Start123!\' [1] hatte ich nie, sondern so etwas wie \'cessoGar#sUpo45(*t)\'.

Erzähl das meiner Großmutter.

Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

\"Start123\" Google 87000 hits.

w.

--
This email has been checked for viruses by Avast antivirus software.
www.avast.com

 

[Gerrit Heitsch]

On 11/15/22 17:34, Helmut Wabnig wrote:

On Tue, 15 Nov 2022 12:28:48 +0100, Helmut Schellong
rip@schellong.biz> wrote:

Ein Paßwort wie \'Start123!\' [1] hatte ich nie, sondern so etwas wie \'cessoGar#sUpo45(*t)\'.

Erzähl das meiner Großmutter.

Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

\"Start123\" Google 87000 hits.

Deshalb ist man schlau und nimmt statt dessen \'Start2022\'. Am 1.1.2023
ändert man es in \'Start2023\'.

Gerrit

 

[Helmut Schellong]

On 11/15/2022 17:34, Helmut Wabnig wrote:

On Tue, 15 Nov 2022 12:28:48 +0100, Helmut Schellong
rip@schellong.biz> wrote:

Ein Paßwort wie \'Start123!\' [1] hatte ich nie, sondern so etwas wie \'cessoGar#sUpo45(*t)\'.

Erzähl das meiner Großmutter.

Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

Sie sind aber automatisch beträchtlich unsicherer.

Ich mußte in neuerer Zeit Paßwörter wählen, die selbst für Quanten-Computer kaum knackbar sind.
Klein- und Großbuchstaben, Ziffern, Sonderzeichen, mindestens 16 Zeichen lang.
Da muß man schon einen Paßwort-Manager oder ein anderes geeignetes Hilfsmittel verwenden.
Ich verwende letzteres.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 11/15/2022 18:22, Helmut Schellong wrote:

On 11/15/2022 17:34, Helmut Wabnig wrote:
On Tue, 15 Nov 2022 12:28:48 +0100, Helmut Schellong
rip@schellong.biz> wrote:

Ein Paßwort wie \'Start123!\' [1] hatte ich nie, sondern so etwas wie \'cessoGar#sUpo45(*t)\'.

Erzähl das meiner Großmutter.

Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

Sie sind aber automatisch beträchtlich unsicherer.

Ich mußte in neuerer Zeit Paßwörter wählen, die selbst für Quanten-Computer kaum knackbar sind.
Klein- und Großbuchstaben, Ziffern, Sonderzeichen, mindestens 16 Zeichen lang.
Da muß man schon einen Paßwort-Manager oder ein anderes geeignetes Hilfsmittel verwenden.
Ich verwende letzteres.

Korrektur: Merkbare sind aber automatisch beträchtlich unsicherer.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz

 

[Andreas Graebe]

Am Tue, 15 Nov 2022 18:22:49 +0100 schrieb Helmut Schellong:

Ich mußte in neuerer Zeit Paßwörter wählen, die selbst für
Quanten-Computer kaum knackbar sind.
Klein- und Großbuchstaben, Ziffern, Sonderzeichen, mindestens 16 Zeichen
lang.

Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie
oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß. Ohne den
\"Ziffernzwang\" kann es aber auch ein Kleinbuchstabe, ein Großbuchstabe
oder ein Sonderzeichen sein, mit anderen Worten gibt es ungleich mehr
mögliche Kombinationen.

Daher vermute ich, daß ein solches Passwort mittels entsprechender
Algorithmen leichter zu knacken sein wird, als wenn all diese Zeichen
möglich aber nicht zwingend vorgeschrieben sind.

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um eine
verständliche Erklärung, warum diese Einschränkung die Sicherheit erhöht.

 

[Gerrit Heitsch]

On 11/15/22 18:47, Andreas Graebe wrote:

Am Tue, 15 Nov 2022 18:22:49 +0100 schrieb Helmut Schellong:

Ich mußte in neuerer Zeit Paßwörter wählen, die selbst für
Quanten-Computer kaum knackbar sind.
Klein- und Großbuchstaben, Ziffern, Sonderzeichen, mindestens 16 Zeichen
lang.

Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie
oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß.

Ja, aber der Angreifer hat diese Information nicht. Hat er richtig
geraten kommt er rein, aber wenn nicht sagt ihm keiner, daß er fast
richtig geraten hat und ihm nur noch ein korrektes Zeichen fehlt.

Gerrit

 

[Axel Berger]

Andreas Graebe wrote:

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um eine
verständliche Erklärung, warum diese Einschränkung die Sicherheit erhöht.

Es geht nicht um Sicherheit. Es kommt darauf an, Sicherheit
vorzutäuschen, damit der Anbieter jederzeit behaupten kann, er habe
besondere Sorgfalt walten lassen und alle erfolgreichen Angriffe können
ja auf jeden Fall nur und allein Schuld des Kunden sein. Juristen fallen
auf sowas vorhersagbar rein und nur auf die kommt es im Zweifel an. Die
wirkliche Welt interessiert nicht.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --

 

[Helmut Schellong]

On 11/15/2022 18:47, Andreas Graebe wrote:

Am Tue, 15 Nov 2022 18:22:49 +0100 schrieb Helmut Schellong:

Ich mußte in neuerer Zeit Paßwörter wählen, die selbst für
Quanten-Computer kaum knackbar sind.
Klein- und Großbuchstaben, Ziffern, Sonderzeichen, mindestens 16 Zeichen
lang.

Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie
oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Nein, es ist umgekehrt.
Es müssen ja beliebig viele z.B. Sonderzeichen (>0) aus der Menge der Sonderzeichen vorhanden sein.

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß. Ohne den
\"Ziffernzwang\" kann es aber auch ein Kleinbuchstabe, ein Großbuchstabe
oder ein Sonderzeichen sein, mit anderen Worten gibt es ungleich mehr
mögliche Kombinationen.
.
Daher vermute ich, daß ein solches Passwort mittels entsprechender
Algorithmen leichter zu knacken sein wird, als wenn all diese Zeichen
möglich aber nicht zwingend vorgeschrieben sind.

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um eine
verständliche Erklärung, warum diese Einschränkung die Sicherheit erhöht.

Ein Zeichensatz enthält 256 verschiedene Zeichen (8 Bit).
Je mehr (>15) (verschiedene) Zeichen daraus gewählt werden, desto größer
die Anzahl der möglichen Kombinationen.

Kombinationen = 256^anzahl
Kombinationen = 95^anzahl (ascii)


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Hergen Lehmann]

Am 15.11.22 um 18:31 schrieb Helmut Schellong:

On 11/15/2022 18:22, Helmut Schellong wrote:
On 11/15/2022 17:34, Helmut Wabnig wrote:
Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

Sie sind aber automatisch beträchtlich unsicherer.

Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.

Nein, das ist Unsinn.

Jegliche Zugangskontrolle für Menschen ist *IMMER* ein Kompromiss aus
Entropie und Komfort. Leidet der Komfort zu sehr, sucht der User nach
Umgehungen und dann wird es *wirklich* gefährlich.

* merkbare Passwörter können erheblich länger werden als wirre
Zeichenkolonnen, ohne die Praktikabilität zu sehr leidet.
* merkbare Passwörter kann man sich merken, wirre Zeichenkolonnen werden
zwangsläufig aufgeschrieben oder in Passwortmanagern verwaltet.
* Passwortmanager sind keineswegs 100% hackersicher, und am Ende wird
die lästige endlos-Zeichenkolonne dann wahrscheinlich auch noch über die
(leicht belauschbare) Zwischenablage in die Eingabemaske übertragen.
=> Es spricht viel für merkbare, menschenfreundliche Kennwörter,
natürlich mit gewissen Mindestanforderungen an Länge und genutzte
Zeichenmenge.

Wenn es einigermaßen sicher sein soll, hilft am Ende eh nur eine
Kombination mehrerer Maßnahmen, etwa:
* Kritische Daten haben grundsätzlich nichts auf Servern zu suchen, die
via Internet erreichbar sind oder gar draußen herum getragen werden
(Notebooks...).
* Keine Software-Monokultur, in der Hacker mit einem einzigen Exploit
gleich die gesamte IT-Infrastruktur des Unternehmens bis in den letzten
Winkel abräumen können.
* Eine sinnvoll gewählte 2FA-Authentifizierung mit einer physischen
Komponente (Smartcard/Token/PIN-Generator/Anwesenheit im Büro/etc).
* Und vor allem eine durchdachte Autorisierung, bei der nicht ein
einziger Account (womöglich ausgerechnet der des kaufmännischen Chefs
mit IT-Nulldurchblick) Zugriff auf alles hat.

 

[Helmut Schellong]

On 11/15/2022 21:30, Hergen Lehmann wrote:

Am 15.11.22 um 18:31 schrieb Helmut Schellong:

On 11/15/2022 18:22, Helmut Schellong wrote:
On 11/15/2022 17:34, Helmut Wabnig wrote:
Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

Sie sind aber automatisch beträchtlich unsicherer.

Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.

Nein, das ist Unsinn.

Das ist mathematisch ganz klar darstellbar, eindeutig, unwiderlegbar.
Merkbare sind bei mindestens 16 erforderlichen Zeichen netto auch längst unpraktikabel.

> Jegliche Zugangskontrolle für Menschen ist *IMMER* ein Kompromiss aus Entropie und Komfort. Leidet der Komfort zu sehr, sucht der User nach Umgehungen und dann wird es *wirklich* gefährlich.

Ja, allerdings suche ich keine Umgehungen (mehr), weshalb ich ganz sicher bin.
Komfort habe ich dennoch.

* merkbare Passwörter können erheblich länger werden als wirre Zeichenkolonnen, ohne die Praktikabilität zu sehr leidet.
* merkbare Passwörter kann man sich merken, wirre Zeichenkolonnen werden zwangsläufig aufgeschrieben oder in Passwortmanagern verwaltet.

Ich verwende eine simple Alternative zu einem Paßwort-Manager.
Nämlich ein bish-Skript.

* Passwortmanager sind keineswegs 100% hackersicher, und am Ende wird die lästige endlos-Zeichenkolonne dann wahrscheinlich auch noch über die (leicht belauschbare) Zwischenablage in die Eingabemaske übertragen.
=> Es spricht viel für merkbare, menschenfreundliche Kennwörter, natürlich mit gewissen Mindestanforderungen an Länge und genutzte Zeichenmenge.

Durchaus, dennoch sind sie beweisbar automatisch unsicherer.

Wenn es einigermaßen sicher sein soll, hilft am Ende eh nur eine Kombination mehrerer Maßnahmen, etwa:
* Kritische Daten haben grundsätzlich nichts auf Servern zu suchen, die via Internet erreichbar sind oder gar draußen herum getragen werden (Notebooks...).

Ja, beispielsweise sollten Personaldaten nicht aus dem Internet zugreifbar sein.
Bei Conti waren sie zugreifbar.

> * Keine Software-Monokultur, in der Hacker mit einem einzigen Exploit gleich die gesamte IT-Infrastruktur des Unternehmens bis in den letzten Winkel abräumen können.

Ja, bei Conti wurde alles abgeräumt.

> * Eine sinnvoll gewählte 2FA-Authentifizierung mit einer physischen Komponente (Smartcard/Token/PIN-Generator/Anwesenheit im Büro/etc).

Das wurde bei Conti offenbar nicht berücksichtigt.

* Und vor allem eine durchdachte Autorisierung, bei der nicht ein einziger Account (womöglich ausgerechnet der des kaufmännischen Chefs mit IT-Nulldurchblick) Zugriff auf alles hat.

Ja, es muß eine mehrschichtige Struktur geben.

Paßwörter sind der wichtigste Schwachpunkt.
Sich nachfolgend 20 Zeichen herauszuholen, dürfte ein bestmögliches Paßwort ergeben: ]\"W*G[?Pci{F(db7N/0}

Kombinationen = zeichenmenge_einer_stelle ^ anzahl_stellen
Kombinationen = 95^20 = 3,58e39

0x_LIj7|bPtfndwo;}]JCFVu1#8hM)S(eTAHkp9/@,UGs^RN\\zDy3c6E\"$%~l<{Q
:2R1aS7+@GAiYs|JkHpfEK3}#W&,$t!TL4z>9^(mh_QCDM*<BX8`g0-x~r.;[6I\"
J<v@WBR^2f{1Zw][dSCb)t`$X+kIUEYF#!3muMxi_>\\VNTo6\"8z~eLgP}(njOh:|
56Zk72c9VJ%1.`hQrj?;}za[{AG\"b+sfYHXC3$Ry]tnIM,i\\D8do/4EelF|_BL
v)xMatFeQ&J48}\\[+72NdI%g.?<*Xc$DH#yb-3{5(V>^]\"`YnR6E!B0:Kj_iC~k;
F:4Z\\{az~6^,MR7G5A\"lJ(bXQxS.Uk[d1V]E9K%s)f#y*CNun3iHvT/c?P2Lq
On:~dl_J4*Wy.}GsCpwL]%P-S{Q\"e\\1[R;b^jquX3mg)6BIFz7`U?v!25V(h@<Mk
+~vuK@$<\"39og`P{(cjw4nx#b)HDF_Jrke8\\AN1.-C[&:2BT*5LSWti,z/XpUdlO
D5>jJ04m.uSd\\i6@Xx\"72G_,c%)^bf(Ry;l:vnPskK}Qh|wMV3LTt1BZOg[HeCp*
({|t5q1yMu$HvY:w~8Kz7+mr3>9o?J,AXBx\"GCOR}0\\iEc_hL]k#W%^`gVDQbs-a
zf.5*v&)e-/BpDNcosM]SIhLQrg!X<0;EY(t>8R?Jdl@|HqKV_+%^2[jFU`{a$xA
o8>ATKtjCyRa9Z]\"W*G[?Pci{F(db7N/0}4|nke3<!q.Hl)$#:L;^_+Imf%ErYQ2
rVKvq:b&_}6m[fQLnh(RuWZC@Y;%>IGo#M3{c/~^-E|z0+`9pdi45wAegj\\,N$?t
!ej-]T:k_}8@<I9b|i(HGWCVw+m/PB;Ss.pYu\\1oL,Mz\"3Ayh5XrvZtNn&{0K%x#
xTSev$\\VI]o%WrN,:|Oli?M#ds&UZ\"@y*QE38`qA;a<jH4kKDnb+twzB0~/>YJXC
?x7pD<fZ;g@Uq32j[J4{FKu(/%~v.ScXB}1>dCW,mi&-w`PA5zRYnE\"|T:Ga^)N9


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Hanno Foest]

On 15.11.22 21:30, Hergen Lehmann wrote:

Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.

Nein, das ist Unsinn.

Jegliche Zugangskontrolle für Menschen ist *IMMER* ein Kompromiss aus
Entropie und Komfort. Leidet der Komfort zu sehr, sucht der User nach
Umgehungen und dann wird es *wirklich* gefährlich.

* merkbare Passwörter können erheblich länger werden als wirre
Zeichenkolonnen, ohne die Praktikabilität zu sehr leidet.
* merkbare Passwörter kann man sich merken, wirre Zeichenkolonnen werden
zwangsläufig aufgeschrieben oder in Passwortmanagern verwaltet.

ObXKCD https://xkcd.com/936/

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

 

[Hergen Lehmann]

Am 15.11.22 um 23:22 schrieb Helmut Schellong:

On 11/15/2022 21:30, Hergen Lehmann wrote:
Am 15.11.22 um 18:31 schrieb Helmut Schellong:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.

Nein, das ist Unsinn.

Das ist mathematisch ganz klar darstellbar, eindeutig, unwiderlegbar.

Menschen sind kein mathematisches Modell.

Merkbare sind bei mindestens 16 erforderlichen Zeichen netto auch längst
unpraktikabel.

Menschen können ganze Theaterstücke auswendig lernen und grammatikalisch
sinnvolle Sätze in z.T. atemberaubendem Tempo in die Tastatur hacken.

Natürlich ist es voll und ganz praktikabel, eine willkürliche gewählte,
leidlich sinnvolle Abfolge von mehreren Worten schnell zu lernen und
flüssig zu tippen. Dann streut man noch irgendwo eine Ziffer und ein
Sonderzeichen ein, und fertig ist ein gut merkbares Passwort mit sehr
hoher Entropie.

Jetzt sage dem User, er soll eine gleich lange Zufallsfolge auswendig
lernen und er wird dir einen Vogel zeigen.

Jegliche Zugangskontrolle für Menschen ist *IMMER* ein Kompromiss aus
Entropie und Komfort. Leidet der Komfort zu sehr, sucht der User nach
Umgehungen und dann wird es *wirklich* gefährlich.

Ja, allerdings suche ich keine Umgehungen (mehr), weshalb ich ganz
sicher bin.
Komfort habe ich dennoch.

Reale Nutzer in Großunternehmen bekommen unheimlich viele lästige
Vorgaben aufgetischt und suchen sehr kreativ nach Wegen, die lästigsten
davon zu umgehen. Das gilt natürlich auch und gerade für Dinge, die
einen jeden Tag stören, wie das blöde Passwort, das sich kein Schwein
merken kann.

Also packt $user das toll sichere, endlos lange Zufallspasswort mit ganz
vielen Sonderzeichen für irgend einen Serverzugang in eine Textdatei und
legt diese auf den Desktop, damit er schnell Copy&Paste machen kann.
Oder er nimmt einen Passwortmanager und wählt als Masterpasswort das
bewährte \"1234\".
Und schon hat sich die IT mit ihren Vorgaben ins Knie geschossen.

=> Es spricht viel für merkbare, menschenfreundliche Kennwörter,
natürlich mit gewissen Mindestanforderungen an Länge und genutzte
Zeichenmenge.

Durchaus, dennoch sind sie beweisbar automatisch unsicherer.

Nein. Entropie kann durch einen großen Zeichenvorrat entstehen, aber
auch einfach durch eine entsprechend längere Abfolge von willkürlich
gewählten Worten der menschlichen Sprache.

Siehe das von Hanno verlinkte Beispiel.

 

[Marcel Mueller]

Am 15.11.22 um 17:34 schrieb Helmut Wabnig:

Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

In absehbarer Zeit wird eine handelsübliche GraKa jedes Passwort, dass
sich ein normal sterblicher Nicht-Savant noch merken kann, knacken
können, noch lange bevor Quantencomputer zum Angriff blasen. Dann hat
sich das ohnehin erledigt.

Damit ist die Kategorie \"Wissen\" bei 2FA weitgehend obsolet. Lediglich
für Verfahren, wo man die Anzahl der Versuche mit vertretbaren
Nebenwirkungen extrem begrenzen kann, geht das noch.

Biometrie ist noch viel schlechter geeignet. Zum einen nicht
fälschungssicher, aber, was noch viel wichtiger ist, *nicht
austauschbar*, wenn es einmal kompromittiert ist. Im Darknet gibt es
jetzt schon einen florierenden Handel mit biometrischen Ausweisdaten.

Die Lösung werden klassische Schlüssel sein, so wie in der guten alten
Zeit, nur eben elektronisch. FIDO2 bildet das ja jetzt schon ab.
\"Besitz\" bleibt also ein geeignetes Mittel.

Aber gegen die Hacker hilft auch das nicht wirklich. Zu viele Systeme
sind aus aller Welt erreichbar und führen darauf angreifbare
Bananensoftware aus.
Und zudem sitzt die noch größere Schwachstelle davor: der Mensch. Man
kann Menschen immer durch geeignete Beeinflussung dazu bringen, Dinge zu
tun, die sie eigentlich nicht wollen. Das macht die Werbung jeden Tag.
Und eben auch der klassische Enkeltrick oder sein IT Pendant der
CEO-Fraud. Und wenn es beim ersten nicht klappt, nimmt man halt den
nächsten, einer pro Ziel reicht ja.

Kurzum, jeder ist angreifbar.
Man kann nur den Aufwand durch geeignete Maßnahmen so weit in die Höhe
treiben, dass es sich ökonomisch nicht mehr lohnt. Damit wird man 99%
des Ungeziefers los, da die alles überwiegende Motivation immer noch
klassischer Geld-Raub ist.
Institutionen, bei denen der Aufwand keine Rolle spielt, wird man nie
los. Man bräuchte dazu auch unbegrenzte Ressourcen.
Naja, und die Hacker um der Ehre willen wird man auch nicht los. Aber
das sind extrem wenige. Hinzi kommt, dass die meist erheblich weniger
Schaden anrichten.


Marcel

 

[Gerrit Heitsch]

On 11/16/22 08:00, Marcel Mueller wrote:

Am 15.11.22 um 17:34 schrieb Helmut Wabnig:
Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

In absehbarer Zeit wird eine handelsübliche GraKa jedes Passwort, dass
sich ein normal sterblicher Nicht-Savant noch merken kann, knacken
können, noch lange bevor Quantencomputer zum Angriff blasen. Dann hat
sich das ohnehin erledigt.

Nicht ganz. Denn ausprobieren am Login-Prompt kann die Grafikkarte das
nicht, da sind mit Absicht Verzögerungen drin.

Der Trick funktioniert nur wenn du den Hash hast, dann kann die
Grafikkarte ihre Geschwindigkeit ausspielen. Aber wenn du den hast ist
das jetzt schon problematisch.

Es hat schon seinen Grund warum /etc/shadow (und ähnliches) vom normalen
User nicht gelesen werden kann.

Gerrit

 

[Marcel Mueller]

Am 15.11.22 um 19:02 schrieb Gerrit Heitsch:

On 11/15/22 18:47, Andreas Graebe wrote:
Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß.

Ja, aber der Angreifer hat diese Information nicht. Hat er richtig
geraten kommt er rein, aber wenn nicht sagt ihm keiner, daß er fast
richtig geraten hat und ihm nur noch ein korrektes Zeichen fehlt.

Falsch, er hat die Information oft. Er muss nur einmal beim jeweiligen
Dienst auf den Account-Erstellen-Knopf drücken und oder sich die AGBs
durchlesen bzw. danach recherchieren.

Aber die Einschränkung des Wertebereichs durch diese Beschränkung ist
eher gering. Hingegen erschwert sie die Wahrscheinlichkeit für den
menschlichen Faktor, möglichst simple Zeichenfolgen zu nehmen - mehr
allerdings auch nicht.

Das kann man grob überschlagen: statt ca. 100^16 sind die letzten zwei,
drei Faktoren nur noch jeweils eine Symbolgruppe. Die Ziffern sind mit
nur 10 Symbolen dabei die kleinste und schlechteste. Das kostet eine
Zehnerpotenz.
Bereits die Einschränkung, dass Menschen typischerweise nur eins oder
der vorgeschriebenen Symbolgruppen verwenden und für den Rest nur
Kleinbuchstaben und vllt. Ziffern, ist eine viel, viel wirksamere
Einschränkung des Lösungsraumes. Das kostet schon eher 4 Zehnerpotenzen,
selbst wenn man Kleinbuschtaben und Ziffern optimalerweise in eine
Symbolgruppe packt. Das entspricht näherungsweise einem um 2 Zeichen
kürzeren Passwort.
Simple Passworte nur aus Kleinbuchstaben würden aber ca. 10
Zehnerpotenzen kosten.

Man muss sich immer im Klaren sein, dass sich der Exponent der
Potenzfunktion immer stärker auswirkt als die Basis.
x ^ y = exp(y * log(x))
x geht nur logarithmisch in die Exponentialfunktion ein.
Zwei Zeichen mehr, und man hat den Effekt jeglicher Zeichen-Regeln bei
Passwörtern mehr als ausgeglichen.


Marcel

 

[Thorsten Böttcher]

Am 16.11.2022 um 08:33 schrieb Marcel Mueller:

Am 15.11.22 um 19:02 schrieb Gerrit Heitsch:
On 11/15/22 18:47, Andreas Graebe wrote:
Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß.

Ja, aber der Angreifer hat diese Information nicht. Hat er richtig
geraten kommt er rein, aber wenn nicht sagt ihm keiner, daß er fast
richtig geraten hat und ihm nur noch ein korrektes Zeichen fehlt.

Falsch, er hat die Information oft. Er muss nur einmal beim jeweiligen
Dienst auf den Account-Erstellen-Knopf drücken und oder sich die AGBs
durchlesen bzw. danach recherchieren.

Ich hatte noch nie die Vorgabe für Passwörter, dass ich Ziffern an
bestimmte Stellen schreiben muss.

Die Vorgabe lautet doch eher: Das Passwort muss mindestens eine Zahl
enthalten. Es kann aber 16 Zahlen enthalten.
Und wo die stehen weiß keiner. Außer dem User. Im Idealfall.

 

[Thorsten Böttcher]

Am 15.11.2022 um 18:47 schrieb Andreas Graebe:

Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie
oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß. Ohne den
\"Ziffernzwang\" kann es aber auch ein Kleinbuchstabe, ein Großbuchstabe
oder ein Sonderzeichen sein, mit anderen Worten gibt es ungleich mehr
mögliche Kombinationen.

Daher vermute ich, daß ein solches Passwort mittels entsprechender
Algorithmen leichter zu knacken sein wird, als wenn all diese Zeichen
möglich aber nicht zwingend vorgeschrieben sind.

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um eine
verständliche Erklärung, warum diese Einschränkung die Sicherheit erhöht.

Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der
letzten Stelle steht?
Sie könnte auch an der ersten Stelle, oder an der 7. stehen. Oder an der
2., 3. und 11. Stelle.

Wenn man nur Kleinbuchstaben zulässt muss man pro Stelle 26 Buchstaben
probieren. Lässt man auch Großbuchstaben zu hat man schon 52
Möglichkeiten. Kommen noch Zahlen dazu sind es 63.

 

[Gerrit Heitsch]

On 11/16/22 08:33, Marcel Mueller wrote:

Am 15.11.22 um 19:02 schrieb Gerrit Heitsch:
On 11/15/22 18:47, Andreas Graebe wrote:
Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß.

Ja, aber der Angreifer hat diese Information nicht. Hat er richtig
geraten kommt er rein, aber wenn nicht sagt ihm keiner, daß er fast
richtig geraten hat und ihm nur noch ein korrektes Zeichen fehlt.

Falsch, er hat die Information oft. Er muss nur einmal beim jeweiligen
Dienst auf den Account-Erstellen-Knopf drücken und oder sich die AGBs
durchlesen bzw. danach recherchieren.

Nein, dann hat er diese Information immer noch nicht. Denn die Ziffer
muss ja nicht am Ende des Passwords stehen, die kann auch an anderer
Stelle stehen. Die Vorgabe ist schliesslich nicht \'1 Ziffer am Ende\'
sondern \'mindestens 1 Ziffer im Password\'.

Gerrit

 

[Holger Schieferdecker]

Am 15.11.2022 um 21:30 schrieb Hergen Lehmann:

Jegliche Zugangskontrolle für Menschen ist *IMMER* ein Kompromiss aus
Entropie und Komfort. Leidet der Komfort zu sehr, sucht der User nach
Umgehungen und dann wird es *wirklich* gefährlich.

* merkbare Passwörter können erheblich länger werden als wirre
Zeichenkolonnen, ohne die Praktikabilität zu sehr leidet.
* merkbare Passwörter kann man sich merken, wirre Zeichenkolonnen werden
zwangsläufig aufgeschrieben oder in Passwortmanagern verwaltet.

Merkbare Passwörter landen trotzdem im Passwortmanager, wenn man sie nur
recht selten braucht. Mittlerweile ist die Anzahl an benötigten
Passwörtern recht groß, und längst nicht alle tippt man regelmäßig.

Was ist eigentlich aus der alten Empfehlung geworden, von einem gut
merkbaren Satz die Anfangsbuchstaben zu nehmen und dann noch
Sonderzeichen einzustreuen? Das ist ähnlich gut merkbar, ergibt aber
eine wirre Zeichenfolge.

* Passwortmanager sind keineswegs 100% hackersicher, und am Ende wird
die lästige endlos-Zeichenkolonne dann wahrscheinlich auch noch über die
(leicht belauschbare) Zwischenablage in die Eingabemaske übertragen.

KeePass bietet optional die Möglichkeit, Passwörter nicht am Stück,
sondern in Teilen zu übertragen. Das ist laut eigener Aussage nicht
komplett sicher, soll aber gegen die gängigen Keylogger und Ausspähen
der Zwischenablage helfen.

https://keepass.info/help/v2/autotype_obfuscation.html

Holger