Hacker haben offenbar (stets) Zugriff zu ALLEM!...

[Helmut Wabnig]

On Wed, 16 Nov 2022 14:49:51 +0100, Gerrit Heitsch
<gerrit@laosinh.s.bawue.de> wrote:

On 11/16/22 13:10, Ole Jansen wrote:
Am 16.11.22 um 12:33 schrieb Volker Bartheld:
On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.
Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein
Passwort mit \"§\" wenn dieses Zeichen bei der Berechnung der Tabelle
(oder beim Wörterbuch) nicht berücksichtigt wurde.

Sie funktioniert auch mit salted Password Hashes oder sehr langen
Passwords nicht. Man bräuchte eine gigantische Menge Speicher für eine
Rainbowtable um Passwörter mit 15 oder mehr Zeichen zu cracken.
Abgesehen von der Zeit die es braucht diese Tabelle zu erstellen.

Wobei \'correctbatteryhorsestaple\' ziemlich sicher in der Sammlung von zu
versuchenden Passwörtern zu finden ist.

Gerrit

Was ist, wenn ich Tippfehler einbaue die ich merken kann,
die aber in keinem Wörterbuch stehen.

corectalbateryhoresstaplle

w.

--
This email has been checked for viruses by Avast antivirus software.
www.avast.com

 

[Ole Jansen]

Am 16.11.22 um 15:51 schrieb Helmut Wabnig:

On Wed, 16 Nov 2022 14:49:51 +0100, Gerrit Heitsch
gerrit@laosinh.s.bawue.de> wrote:

On 11/16/22 13:10, Ole Jansen wrote:
Am 16.11.22 um 12:33 schrieb Volker Bartheld:
On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.
Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein
Passwort mit \"§\" wenn dieses Zeichen bei der Berechnung der Tabelle
(oder beim Wörterbuch) nicht berücksichtigt wurde.

Sie funktioniert auch mit salted Password Hashes oder sehr langen
Passwords nicht. Man bräuchte eine gigantische Menge Speicher für eine
Rainbowtable um Passwörter mit 15 oder mehr Zeichen zu cracken.
Abgesehen von der Zeit die es braucht diese Tabelle zu erstellen.

Wobei \'correctbatteryhorsestaple\' ziemlich sicher in der Sammlung von zu
versuchenden Passwörtern zu finden ist.

Gerrit

Was ist, wenn ich Tippfehler einbaue die ich merken kann,
die aber in keinem Wörterbuch stehen.

corectalbateryhoresstaplle

Nehmen wir mal an das Wörterbuch wäre aus dem englischen Wiktionary
gebaut. Dann gäbe es z.B. Matches zu folgenden Einträgen:

co - Kohlenmonoxid, abk. für County, mil. Dienstgrad, Vorsilbe \"bei\"...
rectal - \"von hinten\"
bat - Fledermaus, (Baseball)Schläger
ery - suffix \"ein Platz für\" usw
hores - Plural von hore (misspld. für Prostituierte)
stap - Stock, Schläger
lle - gälisches Pronomen

Zu viel Kopfkino. Ich denk jetzt lieber mal an Pferde ;-)

O.J.

 

[Gerrit Heitsch]

On 11/16/22 16:58, Ole Jansen wrote:

Am 16.11.22 um 15:51 schrieb Helmut Wabnig:
On Wed, 16 Nov 2022 14:49:51 +0100, Gerrit Heitsch
gerrit@laosinh.s.bawue.de> wrote:

On 11/16/22 13:10, Ole Jansen wrote:
Am 16.11.22 um 12:33 schrieb Volker Bartheld:
On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.
Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein
Passwort mit \"§\" wenn dieses Zeichen bei der Berechnung der Tabelle
(oder beim Wörterbuch) nicht berücksichtigt wurde.

Sie funktioniert auch mit salted Password Hashes oder sehr langen
Passwords nicht. Man bräuchte eine gigantische Menge Speicher für eine
Rainbowtable um Passwörter mit 15 oder mehr Zeichen zu cracken.
Abgesehen von der Zeit die es braucht diese Tabelle zu erstellen.

Wobei \'correctbatteryhorsestaple\' ziemlich sicher in der Sammlung von zu
versuchenden Passwörtern zu finden ist.

  Gerrit

Was ist, wenn ich Tippfehler einbaue die ich merken kann,
die aber in keinem Wörterbuch stehen.

corectalbateryhoresstaplle

Nehmen wir mal an das Wörterbuch wäre aus dem englischen Wiktionary
gebaut. Dann gäbe es z.B. Matches zu folgenden Einträgen:

co - Kohlenmonoxid, abk. für County, mil. Dienstgrad, Vorsilbe \"bei\"...
rectal - \"von hinten\"
bat - Fledermaus, (Baseball)Schläger
ery - suffix \"ein Platz für\" usw
hores - Plural von hore (misspld. für Prostituierte)
stap - Stock, Schläger
lle - gälisches Pronomen

Das hilft dir aber nichts wenn du nur den Hash hast, denn der passt nur
auf das ganze Password und nicht auf Teile davon.

Gerrit

 

[Hans-Juergen Schneider]

Heinz Schmitz wrote:

Elster hat mich bei der Erst-Registrierung fast unter die Decke
getrieben, weil es jedes vorgeschlagene Passwort abgelehnt hat. Bis
auf das Letzte.

Bitte geben Sie ein sicheres Kennwort ein.
- Lewwerworscht
Entschuldigung, Ihr Passwort ist zu kurz!
- Lewwerworschtweck
Entschuldigung, Ihr Passwort muss mindestens 1 Zahl enthalten!
- 1 Lewwerworschtweck
Entschuldigung, Ihr Passwort darf keine Leerzeichen enthalten!
- 50dreckslewwerworschtweck
Entschduldigung, Ihr Passwort muss mindestens einen Umlaut enthalten!
- 50dreckslewwerwärschtweckverdammt
Entschduldigung, Ihr Passwort muss mindestens einen Großbuchstaben
enthalten!
- 50DreckslewwerwärschtweckVERDAMMT
Entschduldigung, Ihr Passwort muss mindestens ein Sonderzeichen
enthalten!
- 50DreckslewwerwärschtweckVERDAMMT!!!!!
Entschuldigung, Ihr Passwort darf nur Großbuchstaben enthalten, die
nicht aufeinanderfolgend sind!
-DunnerWedderNochmolVerdammderSchweissdreckJetzKannschMichGleiGreizweisSunschtWoWasIssnDessFäeScheissSyschdem50DrecksLewwerwärschtWeckVerdammt!!!!!
Entschuldigung, dieses Passwort ist bereits vergeben. Bitte wählen Sie
ein anderes!

 

[Helmut Schellong]

On 11/16/2022 02:49, Hergen Lehmann wrote:

Am 15.11.22 um 23:22 schrieb Helmut Schellong:
On 11/15/2022 21:30, Hergen Lehmann wrote:
Am 15.11.22 um 18:31 schrieb Helmut Schellong:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.

Nein, das ist Unsinn.

Das ist mathematisch ganz klar darstellbar, eindeutig, unwiderlegbar.

Menschen sind kein mathematisches Modell.

Die Anzahl der möglichen Kombinationen sind der absolut entscheidende Parameter (Brute Force).

Merkbare sind bei mindestens 16 erforderlichen Zeichen netto auch längst unpraktikabel.

Menschen können ganze Theaterstücke auswendig lernen und grammatikalisch sinnvolle Sätze in z.T. atemberaubendem Tempo in die Tastatur hacken.

Ich kenne niemanden, der das kann.

> Natürlich ist es voll und ganz praktikabel, eine willkürliche gewählte, leidlich sinnvolle Abfolge von mehreren Worten schnell zu lernen und flüssig zu tippen. Dann streut man noch irgendwo eine Ziffer und ein Sonderzeichen ein, und fertig ist ein gut merkbares Passwort mit sehr hoher Entropie.

Beispielsweise 6 Wörter, deren Anfangsbuchstaben verwendet werden - das geht noch.
Jedoch ≥15 Wörter sind nicht mehr praktikabel.
Und wie werden beispielsweise 10 verschiedene Sonderzeichen identifiziert?
Wie ist das bei geforderten Ziffern?
Wie ist das bei Unterscheidung von Groß und Klein?

https://upload.wikimedia.org/wikipedia/commons/0/0f/KeePass_random_password.png

Du hast ein mangelhaftes Gefühl für die reale Praxis, wie sie aktuell vorliegt.

> Jetzt sage dem User, er soll eine gleich lange Zufallsfolge auswendig lernen und er wird dir einen Vogel zeigen.

Ja, natürlich!
Deshalb verwende ich seit Jahren ein bish-Skript, das mir gespeicherte Paßwörter entschlüsselt liefert.
(Schrieb ich bereits.)
Ich habe schon lange erkannt, daß dies Konzept der einzige langzeitig funktionierende, sichere Weg ist.
Andere Konzepte sind leidige Umgehungen.

Jegliche Zugangskontrolle für Menschen ist *IMMER* ein Kompromiss aus Entropie und Komfort. Leidet der Komfort zu sehr, sucht der User nach Umgehungen und dann wird es *wirklich* gefährlich.

Ja, allerdings suche ich keine Umgehungen (mehr), weshalb ich ganz sicher bin.
Komfort habe ich dennoch.

Reale Nutzer in Großunternehmen bekommen unheimlich viele lästige Vorgaben aufgetischt und suchen sehr kreativ nach Wegen, die lästigsten davon zu umgehen. Das gilt natürlich auch und gerade für Dinge, die einen jeden Tag stören, wie das blöde Passwort, das sich kein Schwein merken kann.

Die Stärke von Paßwörtern kann ganz leicht erzwungen werden - ohne Umgehungsmöglichkeit.

Also packt $user das toll sichere, endlos lange Zufallspasswort mit ganz vielen Sonderzeichen für irgend einen Serverzugang in eine Textdatei und legt diese auf den Desktop, damit er schnell Copy&Paste machen kann.
Oder er nimmt einen Passwortmanager und wählt als Masterpasswort das bewährte \"1234\".
Und schon hat sich die IT mit ihren Vorgaben ins Knie geschossen.

Siehe oben.

=> Es spricht viel für merkbare, menschenfreundliche Kennwörter, natürlich mit gewissen Mindestanforderungen an Länge und genutzte Zeichenmenge.

Durchaus, dennoch sind sie beweisbar automatisch unsicherer.

Nein. Entropie kann durch einen großen Zeichenvorrat entstehen, aber auch einfach durch eine entsprechend längere Abfolge von willkürlich gewählten Worten der menschlichen Sprache.

Gebe ein konkretes Beispiel! (wie ich es mehrfach tat)
Forderungen sind bekannt: mindestens 4 Zeichengruppen, mindestens 15 Zeichen lang.

*** Ich habe _hunderte_ Paßwörter im Internet. ***
*** Da kann ich jegliche Umgehung und Merkbarkeit vergessen. ***

cessoGar#sUpo45(*t)2 dichte= 87.95 1.4943074849700503e+22s
]\"W*G[?Pci{F(db7N/0} dichte=131.397 1.7924296120427950e+35s

Vorstehend Testergebnisse zur Paßwort-Stärke.
https://wiesicheristmeinpasswort.de/

Kombinationen = zeichenmenge_einer_stelle ^ anzahl_stellen

Es zählt _nur_ die vorstehende Formel bei BrutForce.
Wenn also feststeht, daß nur BrutForce erfolgreich sein kann.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Andreas Graebe]

Am Wed, 16 Nov 2022 14:28:04 +0100 schrieb Gregor Szaktilla:

Am 15.11.22 um 18:47 schrieb Andreas Graebe:
Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Jein

Ich denke, dass es dabei darum geht, lexikalische Passwörter zu
verhindern. Die Möglichkeiten werden zwar eingeschränkt, aber es wird
erheblich erschwert, ein Passwort zu erraten.

Gruß

Gregor

Das leuchtet mir ein, danke.

 

[Helmut Schellong]

On 11/16/2022 08:17, Gerrit Heitsch wrote:

On 11/16/22 08:00, Marcel Mueller wrote:
Am 15.11.22 um 17:34 schrieb Helmut Wabnig:
Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

In absehbarer Zeit wird eine handelsübliche GraKa jedes Passwort, dass sich ein normal sterblicher Nicht-Savant noch merken kann, knacken können, noch lange bevor Quantencomputer zum Angriff blasen. Dann hat sich das ohnehin erledigt.

Nicht ganz. Denn ausprobieren am Login-Prompt kann die Grafikkarte das nicht, da sind mit Absicht Verzögerungen drin.

Der Trick funktioniert nur wenn du den Hash hast, dann kann die Grafikkarte ihre Geschwindigkeit ausspielen. Aber wenn du den hast ist das jetzt schon problematisch.

Es hat schon seinen Grund warum /etc/shadow (und ähnliches) vom normalen User nicht gelesen werden kann.

Ja; Ich bin seit Jahren sehr erstaunt, mit welcher Dämlichkeit und Denkarmut argumentiert wird.

Wenn ich in der Industrie mit Paßwort geschützte Zugänge programmierte (uC), hatte ich
eine um jeweils 5 Sekunden verzögerte Eingabemöglichkeit programmiert.
Und nach drei Fehlversuchen war Ende im Gelände - Zugang gesperrt, ohne Umgehungsmöglichkeit.
Jeder Fehlversuch wurde in die Fehlerhistorie eingetragen, EEPROM, mit Uhrzeit+Datum.
BrutForce ist da doch praktisch unmöglich.

Sehr ähnlich passiert es bei meinem neuen De-Mail-Zugang.
Es gibt da ein Entsperr-Paßwort.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Hanno Foest]

Am 16.11.22 um 18:44 schrieb Helmut Schellong:

Wenn ich in der Industrie mit Paßwort geschützte Zugänge programmierte
(uC), hatte ich
eine um jeweils 5 Sekunden verzögerte Eingabemöglichkeit programmiert.
Und nach drei Fehlversuchen war Ende im Gelände - Zugang gesperrt, ohne
Umgehungsmöglichkeit.

Ja, ist ne schöne Methode, um Kollegen zu ärgern: Mit deren Usernamen
sich 3mal falsch anmelden. Jedenfalls bei Systemen, die so idiotisch wie
die von Helmut programmiert sind.

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

 

[Helmut Schellong]

On 11/16/2022 11:28, Holger Schieferdecker wrote:

Am 15.11.2022 um 21:30 schrieb Hergen Lehmann:
Jegliche Zugangskontrolle für Menschen ist *IMMER* ein Kompromiss aus Entropie und Komfort. Leidet der Komfort zu sehr, sucht der User nach Umgehungen und dann wird es *wirklich* gefährlich.

* merkbare Passwörter können erheblich länger werden als wirre Zeichenkolonnen, ohne die Praktikabilität zu sehr leidet.
* merkbare Passwörter kann man sich merken, wirre Zeichenkolonnen werden zwangsläufig aufgeschrieben oder in Passwortmanagern verwaltet.

Merkbare Passwörter landen trotzdem im Passwortmanager, wenn man sie nur recht selten braucht. Mittlerweile ist die Anzahl an benötigten Passwörtern recht groß, und längst nicht alle tippt man regelmäßig.

So ist es, ich habe >100 im Internet.
Ich muß folglich zwingend ein Tool haben, das mir entschlüsselte Paßwörter liefert.
Alles andere ist Nonsens.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 11/16/2022 18:55, Hanno Foest wrote:

Am 16.11.22 um 18:44 schrieb Helmut Schellong:

Wenn ich in der Industrie mit Paßwort geschützte Zugänge programmierte (uC), hatte ich
eine um jeweils 5 Sekunden verzögerte Eingabemöglichkeit programmiert.
Und nach drei Fehlversuchen war Ende im Gelände - Zugang gesperrt, ohne Umgehungsmöglichkeit.
Ja, ist ne schöne Methode, um Kollegen zu ärgern: Mit deren Usernamen sich 3mal falsch anmelden. Jedenfalls bei Systemen, die so idiotisch wie die von Helmut programmiert sind.

Usernamen gab es in dem Fall nicht.
Und den Zweck des geschützten Menüs habe ich auch nicht genannt.
Dieses Verhalten war abgesegnet; ich programmierte niemals irgend etwas idiotisches.

Idioten sind diejenigen Kollegen, die sich 3-mal hintereinander falsch anmelden.
Zumal dies durch 3 Fehlermeldungen quittiert wurde.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Marcel Mueller]

Am 16.11.22 um 09:06 schrieb Gerrit Heitsch:

On 11/16/22 08:33, Marcel Mueller wrote:
Falsch, er hat die Information oft. Er muss nur einmal beim jeweiligen
Dienst auf den Account-Erstellen-Knopf drücken und oder sich die AGBs
durchlesen bzw. danach recherchieren.

Nein, dann hat er diese Information immer noch nicht. Denn die Ziffer
muss ja nicht am Ende des Passwords stehen, die kann auch an anderer
Stelle stehen. Die Vorgabe ist schliesslich nicht \'1 Ziffer am Ende\'
sondern \'mindestens 1 Ziffer im Password\'.

Es fliegen trotzdem etliche Möglichkeiten raus, die man nicht mehr
testen muss.


Marcel

 

[Gerrit Heitsch]

On 11/16/22 20:37, Marcel Mueller wrote:

Am 16.11.22 um 09:06 schrieb Gerrit Heitsch:
On 11/16/22 08:33, Marcel Mueller wrote:
Falsch, er hat die Information oft. Er muss nur einmal beim
jeweiligen Dienst auf den Account-Erstellen-Knopf drücken und oder
sich die AGBs durchlesen bzw. danach recherchieren.

Nein, dann hat er diese Information immer noch nicht. Denn die Ziffer
muss ja nicht am Ende des Passwords stehen, die kann auch an anderer
Stelle stehen. Die Vorgabe ist schliesslich nicht \'1 Ziffer am Ende\'
sondern \'mindestens 1 Ziffer im Password\'.

Es fliegen trotzdem etliche Möglichkeiten raus, die man nicht mehr
testen muss.

Ja, aber durch die Sonderzeichen die man reinnimmt bekommt man mehr als
nur einen Ausgleich dafür.

Gerrit

 

[Hans-Peter Diettrich]

On 11/16/22 5:55 PM, Hans-Juergen Schneider wrote:
[...]

-DunnerWedderNochmolVerdammderSchweissdreckJetzKannschMichGleiGreizweisSunschtWoWasIssnDessFäeScheissSyschdem50DrecksLewwerwärschtWeckVerdammt!!!!!
Entschuldigung, dieses Passwort ist bereits vergeben. Bitte wählen Sie
ein anderes!

Das erinnert mich an meinen letzen Besuch bei Heise. Sinngemäß:

eMail und vermutetes Passwort: Falsches Passwort!
eMail und \"Passwort vergessen\": BenutzerID unbekannt!
eMail und \"Neuer Account\": BenutzerID bereits vergeben!

DoDi

 

[Marcel Mueller]

Am 16.11.22 um 20:40 schrieb Gerrit Heitsch:

On 11/16/22 20:37, Marcel Mueller wrote:
Am 16.11.22 um 09:06 schrieb Gerrit Heitsch:
On 11/16/22 08:33, Marcel Mueller wrote:
Falsch, er hat die Information oft. Er muss nur einmal beim
jeweiligen Dienst auf den Account-Erstellen-Knopf drücken und oder
sich die AGBs durchlesen bzw. danach recherchieren.

Nein, dann hat er diese Information immer noch nicht. Denn die Ziffer
muss ja nicht am Ende des Passwords stehen, die kann auch an anderer
Stelle stehen. Die Vorgabe ist schliesslich nicht \'1 Ziffer am Ende\'
sondern \'mindestens 1 Ziffer im Password\'.

Es fliegen trotzdem etliche Möglichkeiten raus, die man nicht mehr
testen muss.

Ja, aber durch die Sonderzeichen die man reinnimmt bekommt man mehr als
nur einen Ausgleich dafür.

Natürlich. Aber die hätte man vorher ja auch auch schon eintippen
können, wenn ich deiner Argumentationslogik Folge.

Der Nutzen liegt alleine in dem Unterschied zwischen Theorie und Praxis.
Theoretisch beschleunigt jegliche Einschränkung Brute-Force-Angriffe.
Praktisch, nun ja, Menschen sind wenig kreativ beim Ausdenken von
Passwörtern. Dadurch kann man weit unter die statistisch erwartbare Zeit
für einen Brute-Force-Angriff kommen, zumindest im Mittel.
Es ist halt ein Katz und Maus Spiel.


Marcel

 

[Marcel Mueller]

Am 16.11.22 um 08:17 schrieb Gerrit Heitsch:

On 11/16/22 08:00, Marcel Mueller wrote:
Am 15.11.22 um 17:34 schrieb Helmut Wabnig:
Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

In absehbarer Zeit wird eine handelsübliche GraKa jedes Passwort, dass
sich ein normal sterblicher Nicht-Savant noch merken kann, knacken
können, noch lange bevor Quantencomputer zum Angriff blasen. Dann hat
sich das ohnehin erledigt.

Nicht ganz. Denn ausprobieren am Login-Prompt kann die Grafikkarte das
nicht, da sind mit Absicht Verzögerungen drin.

Du hast jetzt eine der Ausnahmen genannt, wo man die Anzahl sinnvoll
begrenzen kann.

Der Trick funktioniert nur wenn du den Hash hast, dann kann die
Grafikkarte ihre Geschwindigkeit ausspielen. Aber wenn du den hast ist
das jetzt schon problematisch.

Bei guten Hashes und ein brauchbaren Passwörtern ist die Lösung bisher
noch selten ökonomisch sinnvoll abbildbar.

Es hat schon seinen Grund warum /etc/shadow (und ähnliches) vom normalen
User nicht gelesen werden kann.

Schon klar. Hilft halt wenig, wenn jemand Schraubenzieherzugang erlangt.

Aber was machst du mit einem (hoffentlich) passwortgeschützen Container
im Cloud-Backup?
Und was machst du beim Kennwort für die Festplattenverschlüsselung?

Es gibt viele Anwendungen für Passwörter. Und etliche davon erlauben das
durchprobieren mit maximaler Geschwindigkeit.

Und solange User noch dieselben oder zumindest ähnliche Passwörter
verschiedenerorts verwenden, kommt man mit einzelnen Lücken gut zum Ziel.
Die Mehrfachverwendung von Passwörtern zu verhindern wiederum, ist
selbst kaum ohne riesiges Sicherheitsloch umsetzbar.


Marcel

 

[Gerrit Heitsch]

On 11/17/22 08:57, Marcel Mueller wrote:

Am 16.11.22 um 08:17 schrieb Gerrit Heitsch:
On 11/16/22 08:00, Marcel Mueller wrote:
Am 15.11.22 um 17:34 schrieb Helmut Wabnig:
Passwörter die man sich nicht merken kann
sind auch nix Brauchbares.

In absehbarer Zeit wird eine handelsübliche GraKa jedes Passwort,
dass sich ein normal sterblicher Nicht-Savant noch merken kann,
knacken können, noch lange bevor Quantencomputer zum Angriff blasen.
Dann hat sich das ohnehin erledigt.

Nicht ganz. Denn ausprobieren am Login-Prompt kann die Grafikkarte das
nicht, da sind mit Absicht Verzögerungen drin.

Du hast jetzt eine der Ausnahmen genannt, wo man die Anzahl sinnvoll
begrenzen kann.

Der Trick funktioniert nur wenn du den Hash hast, dann kann die
Grafikkarte ihre Geschwindigkeit ausspielen. Aber wenn du den hast ist
das jetzt schon problematisch.

Bei guten Hashes und ein brauchbaren Passwörtern ist die Lösung bisher
noch selten ökonomisch sinnvoll abbildbar.

Es hat schon seinen Grund warum /etc/shadow (und ähnliches) vom
normalen User nicht gelesen werden kann.

Schon klar. Hilft halt wenig, wenn jemand Schraubenzieherzugang erlangt.

Aber was machst du mit einem (hoffentlich) passwortgeschützen Container
im Cloud-Backup?

Die Cloud vermeiden wenn möglich. Ansonsten eben lange Passwörter für
diesen Zweck.


> Und was machst du beim Kennwort für die Festplattenverschlüsselung?

Auch das sollte lang sein.

Es gibt viele Anwendungen für Passwörter. Und etliche davon erlauben das
durchprobieren mit maximaler Geschwindigkeit.

Oft sind die Algorithmen zwischen Passwordeingabe und der Verwendung des
Ergebnisses (als Schlüssel o. ä.) mit Absicht ineffizient, aufwendig und
langsam gestaltet. Eben um solche Angriffe auszubremsen. Die Grafikkarte
wird das zwar immer noch schneller können, aber eben trotzdem gebremst.

Gerrit

 

[Eric Bruecklmeier]

Am 17.11.2022 um 09:38 schrieb Marte Schwarz:

[...]

So ähnlich hat Comdirect nicht nur einen Kunden verloren.

Speziell diese Firma hat sich so blöd angestellt, daß man den Eindruck
gewinnen konnte, die haben einfach keine Lust mehr... Da hatte ich dann
auch keine Lust mehr.

 

[Marte Schwarz]

Hi Hanno,

Und nach drei Fehlversuchen war Ende im Gelände - Zugang gesperrt,
ohne Umgehungsmöglichkeit.
Ja, ist ne schöne Methode, um Kollegen zu ärgern: Mit deren Usernamen
sich 3mal falsch anmelden. Jedenfalls bei Systemen, die so idiotisch wie
die von Helmut programmiert sind.

So ähnlich hat Comdirect nicht nur einen Kunden verloren.

Marte

 

[Peter Heirich]

Am Tue, 15 Nov 2022 17:47:39 -0000 (UTC) schrieb Andreas Graebe:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Ja, korrekt, aber nur wenig.

Hauptsinn ist es bestimmte Angriffe zu unterdrücken.

Die deutsche Sprache sind etwa 50000 Wörter. Diese mit geringen
Modifikationen (Groß-, Kleinschreibung etc.) durchlaufen zu lassen, geht
schnell. Ein 5 stelliges Passwort in Brute Force sind 62**5 = 916132832
Durchläufe.

Zahl und Sonderzeichen bringen meist von der Idee ab, ein Passwort wie
\"Müller-Thurgau\" zu benutzen.

Peter

 

[Holger Schieferdecker]

Am 16.11.2022 um 13:52 schrieb Thorsten Böttcher:

Am 16.11.2022 um 13:37 schrieb Eric Bruecklmeier:
Am 16.11.2022 um 08:55 schrieb Thorsten Böttcher:
Am 15.11.2022 um 18:47 schrieb Andreas Graebe:
Hallo, dazu habe ich eine Frage. Und ich meine das ernst, keine Ironie
oder so etwas. Ich verstehe nämlich eins nicht:

Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Wenn bei einem 16-stelligen Passwort 15 Stellen keine Ziffer enthalten,
ist es demnach sicher, daß die 16. Stelle eine Ziffer sein muß. Ohne
den
\"Ziffernzwang\" kann es aber auch ein Kleinbuchstabe, ein Großbuchstabe
oder ein Sonderzeichen sein, mit anderen Worten gibt es ungleich mehr
mögliche Kombinationen.

Daher vermute ich, daß ein solches Passwort mittels entsprechender
Algorithmen leichter zu knacken sein wird, als wenn all diese Zeichen
möglich aber nicht zwingend vorgeschrieben sind.

Vielleicht mache ich hier irgendeinen Denkfehler, dann bitte ich um
eine
verständliche Erklärung, warum diese Einschränkung die Sicherheit
erhöht.

Woher weiß denn derjenige der das Passwort rät, dass die Ziffer an der
letzten Stelle steht?


Der Angreifer weiß aber immerhin, daß er alle bestimmte Kombinationen
wie \"nur Buchstaben\", \"nur Zahlen\" oder \"nur Zahlen und Buchstaben\" etc.
erst gar nicht ausprobieren muß...

Das ist richtig.
Ich danke aber man bekommt mehr Möglichkeiten dazu, wenn man den
Zeichenvorrat erhöht, wie man durch gewisse Vorgaben wieder verliert.
Sonst würde das wohl keiner machen.

Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Das weiß ich nicht. Meine Vermutung wäre eher, daß die Vorgaben zu Länge
und zu verwendenden Zeichen verhindern sollen, daß die allermeisten
Paßwörter kürzer als 8 Zeichen sind und nur aus Kleinbuchstaben bestehen.

Holger