Hacker haben offenbar (stets) Zugriff zu ALLEM!...

[Heinz Schmitz]

Helmut Schellong wrote:

...
Ich schüttle seit Jahrzehnten immer wieder verständnislos den Kopf über solche Vorkommnisse.
Mein eigener PC ist offenbar beträchtlich besser geschützt, als die Server beim Conti-Konzern!
...

Du bist einfach nur unauffälliger. Du könntest wohl auch keine 50 Mio
Lösegeld bezahlen .

Grüße,
H.

PS
Schild an der Haustür:
\"Wenn Sie Geld wollen, müssen Sie bei meiner Bank einbrechen.\"

 

[Heinz Schmitz]

Andreas Graebe wrote:

Ich mußte in neuerer Zeit Paßwörter wählen, die selbst für
Quanten-Computer kaum knackbar sind.
Klein- und Großbuchstaben, Ziffern, Sonderzeichen, mindestens 16 Zeichen
lang.

Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie
oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß. Ohne den
\"Ziffernzwang\" kann es aber auch ein Kleinbuchstabe, ein Großbuchstabe
oder ein Sonderzeichen sein, mit anderen Worten gibt es ungleich mehr
mögliche Kombinationen.

Daher vermute ich, daß ein solches Passwort mittels entsprechender
Algorithmen leichter zu knacken sein wird, als wenn all diese Zeichen
möglich aber nicht zwingend vorgeschrieben sind.

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um eine
verständliche Erklärung, warum diese Einschränkung die Sicherheit erhöht.

Wir werden mehr wissen, wenn der erste ELSTER-Account geknackt
wurde. Elster hat mich bei der Erst-Registrierung fast unter die Decke
getrieben, weil es jedes vorgeschlagene Passwort abgelehnt hat. Bis
auf das Letzte.

Grüße,
H.

 

[Volker Bartheld]

On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:

On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Wie lange haben wir @work irgendwelche maximalkomplizierten Paßworte
eingegeben, die UNBEDINGT aus Buchstaben (Groß- und Kleinschreibung),
Ziffern und Sonderzeichen bestehen mußte, 16 Stellen oder länger. Der
Benutzername durfte auch nicht enthalten sein und irgendeine Black Box
hat noch nach Substrings gesucht, die aus trivialen Sequenzen (qwertz,
admin, 12345, usw.) besteht.

Natürlich immer hübsch alle zwei-drei Monate ändern, mit maximaler
Differenz zum vorherigen Paßwort (einfach eine Zahl inkrementieren wäre
zu einfach). Und natürlich Single-Sign-On als reine Utopie. In der
Theorie klapps, in der Praxis hast Du für GIT ein eigenes
Paßwortmanagement, für Confluence/Jira, für Jenkins und natürlich das
hauseigene Intranet. Bei PulseVPN klickst Du noch drei Disclaimer weg,
bevor Du endlich arbeiten darfst und nach spätenstens 5 Minuten geht
der Gruppenrichtlinien-Bildschirmschoner an und Du darfst Dein Paßwort
neu eingeben. Wegen der Privatspäre auch den Benutzernamen.

Ergebnis: Man schreibt sich den Kram in eine Datei, macht CTRL-C CTRL-V
und nutzt Chrome Autofill.

Inzwischen hatte jemand ein Einsehen und erlaubt den o. g. Ansatz.
\"volker trägt rosa schlüpfer\" nun also endlich möglich. Ein Traum wird
wahr!

Volker

 

[Volker Bartheld]

On Wed, 16 Nov 2022 02:49:44 +0100, Hergen Lehmann wrote:

Am 15.11.22 um 23:22 schrieb Helmut Schellong:
[...]
Menschen sind kein mathematisches Modell.
Natürlich ist es voll und ganz praktikabel
Reale Nutzer in Großunternehmen
Entropie kann durch einen großen Zeichenvorrat entstehen

Du sprichst mit dem Chuck Norris der IT Security. Der kann Paßworte rein
visuell aus Speicherchips extrahieren. Noch Monate, nachdem der PC
ausgeschaltet wurde. Diskussion daher sinnlos.

Volker

 

[Ole Jansen]

Am 16.11.22 um 12:33 schrieb Volker Bartheld:

On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.

Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein
Passwort mit \"§\" wenn dieses Zeichen bei der Berechnung der Tabelle
(oder beim Wörterbuch) nicht berücksichtigt wurde.

Wie lange haben wir @work irgendwelche maximalkomplizierten Paßworte
eingegeben, die UNBEDINGT aus Buchstaben (Groß- und Kleinschreibung),
Ziffern und Sonderzeichen bestehen mußte, 16 Stellen oder länger. Der
Benutzername durfte auch nicht enthalten sein und irgendeine Black Box
hat noch nach Substrings gesucht, die aus trivialen Sequenzen (qwertz,
admin, 12345, usw.) besteht.

Cracklibs welche die üblichen \"Hacker\" Substitutionen wie
\"A\" mit \"4\" enthalten sind inzwischen nichts Besonderes mehr.

Und natürlich Single-Sign-On als reine Utopie. In der
Theorie klapps, in der Praxis hast Du für GIT ein eigenes
Paßwortmanagement, für Confluence/Jira, für Jenkins und natürlich das
hauseigene Intranet. Bei PulseVPN klickst Du noch drei Disclaimer weg,
bevor Du endlich arbeiten darfst und nach spätenstens 5 Minuten geht
der Gruppenrichtlinien-Bildschirmschoner an und Du darfst Dein Paßwort
neu eingeben.

Und Kamera läuft. Alles sehr sicher...

Inzwischen hatte jemand ein Einsehen und erlaubt den o. g. Ansatz.
\"volker trägt rosa schlüpfer\" nun also endlich möglich. Ein Traum wird
wahr!

Hauptsache alles ist offshore und in der Cloud und Betroffene
haben niemand greifbar wenns schief geht.

O.J.

 

[Axel Berger]

Thorsten Böttcher wrote:

Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der
letzten Stelle steht?

Die Fehlannnahme steckte an anderer Stelle: \"wenn die ersten 15 Zeichen
stimmen\". Genau das erfährt eben keiner, nur daß das Gesamtkennwort aus
16 Zeichen falsch ist. Das ist kein Tresor im Schwarzweißfilm, wo man
die Stellen einzeln und nacheinander löst.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --

 

[Ole Jansen]

Am 16.11.22 um 13:13 schrieb Axel Berger:

Thorsten Böttcher wrote:
Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der
letzten Stelle steht?

Die Fehlannnahme steckte an anderer Stelle: \"wenn die ersten 15 Zeichen
stimmen\". Genau das erfährt eben keiner, nur daß das Gesamtkennwort aus
16 Zeichen falsch ist. Das ist kein Tresor im Schwarzweißfilm, wo man
die Stellen einzeln und nacheinander löst.

Das gilt nur bei Brute Force, aber nicht in jedem Fall:
<https://www.youtube.com/watch?v=Um75rEBPjMo>

O.J.

 

[Thorsten Böttcher]

Am 16.11.2022 um 13:13 schrieb Axel Berger:

Thorsten Böttcher wrote:
Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der
letzten Stelle steht?

Die Fehlannnahme steckte an anderer Stelle: \"wenn die ersten 15 Zeichen
stimmen\". Genau das erfährt eben keiner, nur daß das Gesamtkennwort aus

Von der Annahme war aber keine rede.

 

[Axel Berger]

Thorsten Böttcher wrote:
> Von der Annahme war aber keine rede.

Doch. Drei Schritte zurück:

Andreas Graebe wrote:

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß.

--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --

 

[Eric Bruecklmeier]

Am 16.11.2022 um 08:55 schrieb Thorsten Böttcher:

Am 15.11.2022 um 18:47 schrieb Andreas Graebe:
Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie
oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß. Ohne den
\"Ziffernzwang\" kann es aber auch ein Kleinbuchstabe, ein Großbuchstabe
oder ein Sonderzeichen sein, mit anderen Worten gibt es ungleich mehr
mögliche Kombinationen.

Daher vermute ich, daß ein solches Passwort mittels entsprechender
Algorithmen leichter zu knacken sein wird, als wenn all diese Zeichen
möglich aber nicht zwingend vorgeschrieben sind.

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um eine
verständliche Erklärung, warum diese Einschränkung die Sicherheit erhöht.

Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der
letzten Stelle steht?

Der Angreifer weiß aber immerhin, daß er alle bestimmte Kombinationen
wie \"nur Buchstaben\", \"nur Zahlen\" oder \"nur Zahlen und Buchstaben\" etc.
erst gar nicht ausprobieren muß...

 

[Eric Bruecklmeier]

Am 16.11.2022 um 13:33 schrieb Axel Berger:

Thorsten Böttcher wrote:
Von der Annahme war aber keine rede.

Doch. Drei Schritte zurück:

Andreas Graebe wrote:
Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß.

Das besagt aber nicht, daß die ersten Stellen bekannt wären, sondern
lediglich, daß ein 16. stelliges Kennwort aus lauter Buchstaben gar
nicht erst versucht werden muß und das ist völlig korrekt - trifft aber
auf jede Stellenzahl zu.

 

[Thorsten Böttcher]

Am 16.11.2022 um 13:37 schrieb Eric Bruecklmeier:

Am 16.11.2022 um 08:55 schrieb Thorsten Böttcher:
Am 15.11.2022 um 18:47 schrieb Andreas Graebe:
Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie
oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß. Ohne den
\"Ziffernzwang\" kann es aber auch ein Kleinbuchstabe, ein Großbuchstabe
oder ein Sonderzeichen sein, mit anderen Worten gibt es ungleich mehr
mögliche Kombinationen.

Daher vermute ich, daß ein solches Passwort mittels entsprechender
Algorithmen leichter zu knacken sein wird, als wenn all diese Zeichen
möglich aber nicht zwingend vorgeschrieben sind.

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um eine
verständliche Erklärung, warum diese Einschränkung die Sicherheit erhöht.

Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der
letzten Stelle steht?


Der Angreifer weiß aber immerhin, daß er alle bestimmte Kombinationen
wie \"nur Buchstaben\", \"nur Zahlen\" oder \"nur Zahlen und Buchstaben\" etc.
erst gar nicht ausprobieren muß...

Das ist richtig.
Ich danke aber man bekommt mehr Möglichkeiten dazu, wenn man den
Zeichenvorrat erhöht, wie man durch gewisse Vorgaben wieder verliert.
Sonst würde das wohl keiner machen.

Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

 

[Axel Berger]

Thorsten Böttcher wrote:
> Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Nö. Der Zweck ist, öffentlich hohe Sicherheit vorzutäuschen. Tatsachen
interessieren in der Politik und vor Gericht nicht.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --

 

[Thorsten Böttcher]

Am 16.11.2022 um 13:54 schrieb Axel Berger:

Thorsten Böttcher wrote:
Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Nö. Der Zweck ist, öffentlich hohe Sicherheit vorzutäuschen. Tatsachen

Aha. Du musst aber viele Menschen kennen, um so ein Aussage treffen zu
können.


> interessieren in der Politik und vor Gericht nicht.

Was hat das denn mit Politik und Gericht zu tun?

 

[Eric Bruecklmeier]

Am 16.11.2022 um 13:52 schrieb Thorsten Böttcher:

Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Das kann sein, muß aber nicht. In der IT geht es ganz oft um gefühlte
Sicherheit und auch hauptberufliche ITler erzählen oft genug
hanebüchenen Unsinn...

 

[Ole Jansen]

Am 16.11.22 um 13:52 schrieb Thorsten Böttcher:
> Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Wie man es nimmt.
Die US Behörde NIST hat 2006 eine Studie über durch Menschen
gemachte Passwörter veröffentlicht (\"Special Publication 800-63\").

Durch Auswertung realer Passwörter wurden folgende Faustwerte
ermittelt, mit welchen sich näherungsweise die Stärke eines
Passwortes abschätzen lässt:

\"The entropy of the first character is four bits;
The entropy of the next seven characters are two bits per character;
The ninth through the twentieth character has 1.5 bits of entropy per
character;
Characters 21 and above have one bit of entropy per character.
A \"bonus\" of six bits is added if both upper case letters and
non-alphabetic characters are used.
A \"bonus\" of six bits is added for passwords of length 1 through 19
characters following an extensive dictionary check to ensure the
password is not contained within a large dictionary.
Passwords of 20 characters or more do not receive this bonus because it
is assumed they are pass-phrases consisting of multiple dictionary
words\"

Die meisten Regeln oder Prüfroutinen die eine Mindeststärke von
Passwörtern gewährleisten sollen beziehen sich darauf.

O.J.

 

[Enrik Berkhan]

Volker Bartheld <news2022@bartheld.net> wrote:

\"volker trägt rosa schlüpfer\" nun also endlich möglich. Ein Traum wird
wahr!

Und zwar für alle Mitleser hier, garantiert! ;-)

 

[Gregor Szaktilla]

Am 15.11.22 um 18:47 schrieb Andreas Graebe:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Jein

Ich denke, dass es dabei darum geht, lexikalische Passwörter zu
verhindern. Die Möglichkeiten werden zwar eingeschränkt, aber es wird
erheblich erschwert, ein Passwort zu erraten.

Gruß

Gregor



--
Sehrsehr! Vielviel!

Jaja.

 

[Gerrit Heitsch]

On 11/16/22 13:10, Ole Jansen wrote:

Am 16.11.22 um 12:33 schrieb Volker Bartheld:
On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.
Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein
Passwort mit \"§\" wenn dieses Zeichen bei der Berechnung der Tabelle
(oder beim Wörterbuch) nicht berücksichtigt wurde.

Sie funktioniert auch mit salted Password Hashes oder sehr langen
Passwords nicht. Man bräuchte eine gigantische Menge Speicher für eine
Rainbowtable um Passwörter mit 15 oder mehr Zeichen zu cracken.
Abgesehen von der Zeit die es braucht diese Tabelle zu erstellen.

Wobei \'correctbatteryhorsestaple\' ziemlich sicher in der Sammlung von zu
versuchenden Passwörtern zu finden ist.

Gerrit

 

[Gerrit Heitsch]

On 11/16/22 13:21, Ole Jansen wrote:

Am 16.11.22 um 13:13 schrieb Axel Berger:
Thorsten Böttcher wrote:
Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der
letzten Stelle steht?

Die Fehlannnahme steckte an anderer Stelle: \"wenn die ersten 15 Zeichen
stimmen\". Genau das erfährt eben keiner, nur daß das Gesamtkennwort aus
16 Zeichen falsch ist. Das ist kein Tresor im Schwarzweißfilm, wo man
die Stellen einzeln und nacheinander löst.

Das gilt nur bei Brute Force, aber nicht in jedem Fall:
https://www.youtube.com/watch?v=Um75rEBPjMo

Ja, wenn du den Hash hast bist du schon einen Schritt weiter. Aber
selbst dann sollte es nicht viel helfen wenn der salted ist.

Gerrit