Hacker haben offenbar (stets) Zugriff zu ALLEM!...

[Rupert Haselbeck]

Peter Heirich schrieb:

Andreas Graebe:
Wenn ein Passwort zwangsweise Sonderzeichen, Zahlen, Groß- und
Kleinschreibung enthalten _muß_, schränkt das nicht die Anzahl der
möglichen Kombinationen eher ein?

Ja, korrekt, aber nur wenig.

Hauptsinn ist es bestimmte Angriffe zu unterdrücken.

Hauptsinn ist es, die Verwendung des möglichen Zeichenraumes möglichst
zu erzwingen. Das ist allerdings selten erfolgreich...

Die deutsche Sprache sind etwa 50000 Wörter. Diese mit geringen
Modifikationen (Groß-, Kleinschreibung etc.) durchlaufen zu lassen, geht
schnell. Ein 5 stelliges Passwort in Brute Force sind 62**5 = 916132832
Durchläufe.

Deshalb verlangt man ja auch _deutlich_ längere Passwörter und verzögert
die Antwort bei der Eingabe eines flaschen Passworts, (sofern man denn
die Abfrage auch wirklich unter eigener Kontrolle hat)

Zahl und Sonderzeichen bringen meist von der Idee ab, ein Passwort wie
\"Müller-Thurgau\" zu benutzen.

Ja. Man verwendet dann \"§Müller-Thurgau0122\" und bei der geforderten
Änderung 90 Tage später \"§Müller-Thurgau012022\"...

MfG
Rupert

 

[Ole Jansen]

Am 16.11.22 um 17:38 schrieb Gerrit Heitsch:

On 11/16/22 16:58, Ole Jansen wrote:
Am 16.11.22 um 15:51 schrieb Helmut Wabnig:
On Wed, 16 Nov 2022 14:49:51 +0100, Gerrit Heitsch
gerrit@laosinh.s.bawue.de> wrote:

On 11/16/22 13:10, Ole Jansen wrote:
Am 16.11.22 um 12:33 schrieb Volker Bartheld:
On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich
unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.
Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein
Passwort mit \"§\" wenn dieses Zeichen bei der Berechnung der Tabelle
(oder beim Wörterbuch) nicht berücksichtigt wurde.

Sie funktioniert auch mit salted Password Hashes oder sehr langen
Passwords nicht. Man bräuchte eine gigantische Menge Speicher für eine
Rainbowtable um Passwörter mit 15 oder mehr Zeichen zu cracken.
Abgesehen von der Zeit die es braucht diese Tabelle zu erstellen.

Wobei \'correctbatteryhorsestaple\' ziemlich sicher in der Sammlung
von zu
versuchenden Passwörtern zu finden ist.

  Gerrit

Was ist, wenn ich Tippfehler einbaue die ich merken kann,
die aber in keinem Wörterbuch stehen.

corectalbateryhoresstaplle

Nehmen wir mal an das Wörterbuch wäre aus dem englischen Wiktionary
gebaut. Dann gäbe es z.B. Matches zu folgenden Einträgen:

co - Kohlenmonoxid, abk. für County, mil. Dienstgrad, Vorsilbe \"bei\"...
rectal - \"von hinten\"
bat - Fledermaus, (Baseball)Schläger
ery - suffix \"ein Platz für\" usw
hores - Plural von hore (misspld. für Prostituierte)
stap - Stock, Schläger
lle - gälisches Pronomen

Das hilft dir aber nichts wenn du nur den Hash hast, denn der passt nur
auf das ganze Password und nicht auf Teile davon.

Natürlich hilft es, denn die Häufigkeit einzelner Grapheme,
Graphemreihenfolgen oder Silben ist bei Klartext gegeben
und intelligente Brute Force Angriffe nutzen das.

Herr Kaspersky hat da mal ein Tool online gestellt:
<https://password.kaspersky.com/de/>

\"gagigeiauweiates\" = schlecht (häufig vorkommende Sequenzen)
\"brcwcspnunfbanuz\" = top (seltene Sequenzen)

Demnach ist
\"correctbatteryhorsestaple\" ein ungeeignetes Passwort (Wörterbuch) und
\"corectalbateryhoresstaplle\" ein sehr Sicheres, aber in \"correct\"
wohl deutlich schwerer zu merken als z.B. \"fifafifhttfaatvitm\"
(Jeweils die Anfangsbuchstaben aus einem Vers von Shakespeares MacBeth,
eine weiter oben vorgeschlagene Mnemotechnik.)

Bis jemand dem Tool Cockney oder Gälisch bei bringt.
Die Gefahr dass man bei der Wahl seiner \"Geheimsprache\"
ins Klo greift bleibt also.

\"przybylski\" jedenfalls ist Mist. Kaspersky kann also schon polnisch.

O.J.

 

[Laurenz Trossel]

On 2022-11-15, Hanno Foest <hurga-news2@tigress.com> wrote:

> ObXKCD https://xkcd.com/936/

https://xkcd.com/538/
Actual actual reality.

 

[Gerrit Heitsch]

On 11/17/22 10:58, Ole Jansen wrote:

Am 16.11.22 um 17:38 schrieb Gerrit Heitsch:
On 11/16/22 16:58, Ole Jansen wrote:
Am 16.11.22 um 15:51 schrieb Helmut Wabnig:
On Wed, 16 Nov 2022 14:49:51 +0100, Gerrit Heitsch
gerrit@laosinh.s.bawue.de> wrote:

On 11/16/22 13:10, Ole Jansen wrote:
Am 16.11.22 um 12:33 schrieb Volker Bartheld:
On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich
unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.
Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein
Passwort mit \"§\" wenn dieses Zeichen bei der Berechnung der Tabelle
(oder beim Wörterbuch) nicht berücksichtigt wurde.

Sie funktioniert auch mit salted Password Hashes oder sehr langen
Passwords nicht. Man bräuchte eine gigantische Menge Speicher für eine
Rainbowtable um Passwörter mit 15 oder mehr Zeichen zu cracken.
Abgesehen von der Zeit die es braucht diese Tabelle zu erstellen.

Wobei \'correctbatteryhorsestaple\' ziemlich sicher in der Sammlung
von zu
versuchenden Passwörtern zu finden ist.

  Gerrit

Was ist, wenn ich Tippfehler einbaue die ich merken kann,
die aber in keinem Wörterbuch stehen.

corectalbateryhoresstaplle

Nehmen wir mal an das Wörterbuch wäre aus dem englischen Wiktionary
gebaut. Dann gäbe es z.B. Matches zu folgenden Einträgen:

co - Kohlenmonoxid, abk. für County, mil. Dienstgrad, Vorsilbe \"bei\"...
rectal - \"von hinten\"
bat - Fledermaus, (Baseball)Schläger
ery - suffix \"ein Platz für\" usw
hores - Plural von hore (misspld. für Prostituierte)
stap - Stock, Schläger
lle - gälisches Pronomen

Das hilft dir aber nichts wenn du nur den Hash hast, denn der passt
nur auf das ganze Password und nicht auf Teile davon.

Natürlich hilft es, denn die Häufigkeit einzelner Grapheme,
Graphemreihenfolgen oder Silben ist bei Klartext gegeben
und intelligente Brute Force Angriffe nutzen das.

Bleibt allerdings brute force und da ist ein langes Password hilfreich.

Herr Kaspersky hat da mal ein Tool online gestellt:
https://password.kaspersky.com/de/

Wobei man natürlich ein Password, welches man dort tested nicht mehr als
Password benutzen sollte. Man weiss schliesslich nicht ob das gleich
wieder vergessen wird oder in einer Datenbank landet. Ich werde meine
aktuellen Passworte dort jedenfalls nicht testen.

Gerrit

 

[Helmut Schellong]

On 11/17/2022 10:58, Ole Jansen wrote:

Am 16.11.22 um 17:38 schrieb Gerrit Heitsch:
On 11/16/22 16:58, Ole Jansen wrote:
Am 16.11.22 um 15:51 schrieb Helmut Wabnig:
On Wed, 16 Nov 2022 14:49:51 +0100, Gerrit Heitsch
gerrit@laosinh.s.bawue.de> wrote:

On 11/16/22 13:10, Ole Jansen wrote:
Am 16.11.22 um 12:33 schrieb Volker Bartheld:
On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/

Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.

Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
[...]
Was ist, wenn ich Tippfehler einbaue die ich merken kann,
die aber in keinem Wörterbuch stehen.

corectalbateryhoresstaplle

Nehmen wir mal an das Wörterbuch wäre aus dem englischen Wiktionary
gebaut. Dann gäbe es z.B. Matches zu folgenden Einträgen:

co - Kohlenmonoxid, abk. für County, mil. Dienstgrad, Vorsilbe \"bei\"...
rectal - \"von hinten\"
bat - Fledermaus, (Baseball)Schläger
ery - suffix \"ein Platz für\" usw
hores - Plural von hore (misspld. für Prostituierte)
stap - Stock, Schläger
lle - gälisches Pronomen

Das hilft dir aber nichts wenn du nur den Hash hast, denn der passt nur auf das ganze Password und nicht auf Teile davon.

Natürlich hilft es, denn die Häufigkeit einzelner Grapheme,
Graphemreihenfolgen oder Silben ist bei Klartext gegeben
und intelligente Brute Force Angriffe nutzen das.

Herr Kaspersky hat da mal ein Tool online gestellt:
https://password.kaspersky.com/de/

\"gagigeiauweiates\" = schlecht (häufig vorkommende Sequenzen)
\"brcwcspnunfbanuz\" = top (seltene Sequenzen)

Demnach ist
\"correctbatteryhorsestaple\" ein ungeeignetes Passwort (Wörterbuch) und
\"corectalbateryhoresstaplle\" ein sehr Sicheres, aber in \"correct\"
wohl deutlich schwerer zu merken als z.B. \"fifafifhttfaatvitm\"
(Jeweils die Anfangsbuchstaben aus einem Vers von Shakespeares MacBeth,
eine weiter oben vorgeschlagene Mnemotechnik.)

Bis jemand dem Tool Cockney oder Gälisch bei bringt.
Die Gefahr dass man bei der Wahl seiner \"Geheimsprache\"
ins Klo greift bleibt also.

\"przybylski\" jedenfalls ist Mist. Kaspersky kann also schon polnisch.

Eines muß man wissen: Ein guter Algorithmus zum Herausfinden von Paßwörtern
wendet BrutForce erst ganz zum Schluß an, wenn alle anderen Methoden erfolglos waren.
Diese anderen Methoden kommen in Minuten bis Stunden zum Erfolg.
BrutForce braucht meist viele Jahre.

]\"W*G[?Pci{F(db7N/0}
Vorstehend ein Paßwort, das nur per BrutForce herausfindbar ist.
Das gilt für alle Sequenzen aus nachfolgender Zeichenmenge mit Länge >7.
(Kryptographischer Zufall)

VIR3L<BbHg/~`wA;.?e\\#2(!F\"f-n&qC9XG+J)Y8,aMsr^@x{$01h7So_ukpcDz]
k.J,9T1nVWu!tMfoE*B3lU+icjzqga@<?dR>-([IXP7p8h5|&DY$QeLxy^6N0;w/
MsKD|A+^nurNB>vo$qi?)C1lQI5gF%Z_}w<0e3Xak8~2h.`*Pf/HW[T#!(V@SGc6
wt?pcf;R-(<s`U}g.%3^r_0qy\"Jl:iWv2*6x/IzjuVPa{MZ@|\\ko4n]$h8T+QYK[
JK83{Xr&+j)L~m@s`ME7vVWn65*0AQTOCxqtB:FZH\\$l2/yUca,<S9Y-_|]4%?1>
f+yHxRK2n*SoF4dVM9~h\"a{AB$wQ/J<WNj>t5Lsue[z]ZPb1D.pCi|3X7_;G}T`k
.}CHP%Z8[7k\\KUO@t#gL20YJ>Mnbo`;T$sihw\"x]_efdrQSj:IBqu^31G(V|XaR*
TrOE_-?;9Q4e|sNSYoc72vg#lRF{K,^>5&Vau}6\"J.@bhUx~GdWZnIDL[pimqHfy
ym1Fj[58nVq:MGLdca&D]o70Sk>_A{/@\"OJ$pb`^sRrUuZ2!TBIwf*4(9He)X}~<
ELI(B]^!\"po0$*<z1X8@7O+-bAP;_Ms#UZdtl)rq`xYKV}4>NuFfQiWSvC:3,5G/
?rPBU;enh-uzc\\b%I}X.AT[2KdE]F^<s_`Q*{5N0|>mykGq8g/4lRw:!&7v~9WaO
\\+#-l/N&5e<J%$n[goah!VHI.X96`8d;AkY~u)D1]wMfc3v7Bym|0ZFbOUP?CxK\"
XBp]6O,K<^rD.gVN(?kP/l|d[*E9_@-GYy`I5JzC>+f;jQMnveR$~8L\"baq73u\\2
*Ftjz3~Nys\\)kg}$(0h5%m!Mud9,#{A>nYBw[@e?X\"Ia-lcr/xH]o&Uiv+2:^CD4
k,nEfc:~#wz{06pt.uQ$5<7[DVGy+e!LT@d|>Ig*q%shjB\"M\\?-;}oUrRx`S/3Oi
~%I*vT;o\"Xkqu0@l$-Lbd>en5[F<sifHp._)j&tP{4OhD^AZ7N6wG!]zJC|}:1Q2


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 11/17/2022 08:46, Marcel Mueller wrote:

Am 16.11.22 um 20:40 schrieb Gerrit Heitsch:
On 11/16/22 20:37, Marcel Mueller wrote:
Am 16.11.22 um 09:06 schrieb Gerrit Heitsch:
On 11/16/22 08:33, Marcel Mueller wrote:
Falsch, er hat die Information oft. Er muss nur einmal beim jeweiligen Dienst auf den Account-Erstellen-Knopf drücken und oder sich die AGBs durchlesen bzw. danach recherchieren.

Nein, dann hat er diese Information immer noch nicht. Denn die Ziffer muss ja nicht am Ende des Passwords stehen, die kann auch an anderer Stelle stehen. Die Vorgabe ist schliesslich nicht \'1 Ziffer am Ende\' sondern \'mindestens 1 Ziffer im Password\'.

Es fliegen trotzdem etliche Möglichkeiten raus, die man nicht mehr testen muss.

Ja, aber durch die Sonderzeichen die man reinnimmt bekommt man mehr als nur einen Ausgleich dafür.

Natürlich. Aber die hätte man vorher ja auch auch schon eintippen können, wenn ich deiner Argumentationslogik Folge.

Der Nutzen liegt alleine in dem Unterschied zwischen Theorie und Praxis. Theoretisch beschleunigt jegliche Einschränkung Brute-Force-Angriffe. Praktisch, nun ja, Menschen sind wenig kreativ beim Ausdenken von Passwörtern. Dadurch kann man weit unter die statistisch erwartbare Zeit für einen Brute-Force-Angriff kommen, zumindest im Mittel.

Ich bin genügend kreativ dabei (s.u.), habe aber auch einen Generator mit kryptographischem Zufall.
tw8hdS@hrzUKa*(,
gsJdk76jjUO-<#[q
nDds&^fODSk2ilwo
...


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 11/17/2022 10:06, Holger Schieferdecker wrote:

Am 16.11.2022 um 13:52 schrieb Thorsten Böttcher:
Am 16.11.2022 um 13:37 schrieb Eric Bruecklmeier:
Am 16.11.2022 um 08:55 schrieb Thorsten Böttcher:
Am 15.11.2022 um 18:47 schrieb Andreas Graebe:
[...]
Das ist richtig.
Ich danke aber man bekommt mehr Möglichkeiten dazu, wenn man den Zeichenvorrat erhöht, wie man durch gewisse Vorgaben wieder verliert.
Sonst würde das wohl keiner machen.

Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.

Das weiß ich nicht. Meine Vermutung wäre eher, daß die Vorgaben zu Länge und zu verwendenden Zeichen verhindern sollen, daß die allermeisten Paßwörter kürzer als 8 Zeichen sind und nur aus Kleinbuchstaben bestehen.

Kombinationen = zeichenmenge_einer_stelle ^ anzahl_stellen

Die vorstehende Formel ist alles, was für Einschätzungen gebraucht wird.

10^2 = 100
26^2 = 676


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Volker Bartheld]

On Wed, 16 Nov 2022 13:10:19 +0100, Ole Jansen wrote:

Am 16.11.22 um 12:33 schrieb Volker Bartheld:
On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote:
On 15.11.22 21:30, Hergen Lehmann wrote:
Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer.
Nein, das ist Unsinn.
ObXKCD https://xkcd.com/936/
Genau so schauts aus. Den Comic muß ich mir merken, als
Argumentationsgrundlage.
Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force
korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.

Die englische Sprache umfaßt etwa 600\'000 Wörte bzw. Wortformen, davon
rechnet man rd. 170\'000 dem aktiven Wortschatz zu. Ein Mutterspachler
verwendet angeblich um die 20\'000 Worte, sind wir gnädig und erlauben
so einem Dictionary 2\'000 Worte. Im o. g. Beispiel seien die vier Worte
enthalten. Der Angriff braucht also worst case 2\'000^4 (1.6*10^13)
Versuche. Schon ein sportliches Unterfangen, wenn man z. B. nach dem
dritten erfolglosen Versuch 60s warten muß. Es ist sogar schon ein
sportliches Unterfangen, das per Internet mit einer Latenz von 100ms zu
versuchen.

Ja, man könnte die angegriffene Hardware irgendwie virtualisieren oder
elektronisch den Stecker ziehen, bevor der Fehlerzähler erhöht wird.
Oder eine Seitenkanalattacke probieren (manche Prüfverfahren brauchen
länger, je mehr Stellen eines Paßworts stimmen).

oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.

Natürlich. Das geht bei kaputten Systemen immer. Vielleicht sind die
Paßworte auch im Klartext in einer Datenbank gespeichert und ich komme
per SQL-Injection ran. Dann brauche ich genau einen einzigen Versuch.

Wie lange haben wir @work irgendwelche maximalkomplizierten Paßworte
eingegeben, die UNBEDINGT aus Buchstaben (Groß- und Kleinschreibung),
Ziffern und Sonderzeichen bestehen mußte, 16 Stellen oder länger. Der
Benutzername durfte auch nicht enthalten sein und irgendeine Black Box
hat noch nach Substrings gesucht, die aus trivialen Sequenzen (qwertz,
admin, 12345, usw.) besteht.

Cracklibs welche die üblichen \"Hacker\" Substitutionen wie
\"A\" mit \"4\" enthalten sind inzwischen nichts Besonderes mehr.

Umso gschmarriger die o. g. Komplexitätsregeln.

Und natürlich Single-Sign-On als reine Utopie. [...] nach spätenstens
5 Minuten geht der Gruppenrichtlinien-Bildschirmschoner an und Du
darfst Dein Paßwort neu eingeben.
Und Kamera läuft. Alles sehr sicher...

Es reicht, Deinen Kopfhörer angeschlossen zu haben und einen
entsprechenden Chipsatz zu verwenden. Den pervertiert man dann als
Mikrofon und hört zu, was Du so tippst:

https://www.wired.com/2016/11/great-now-even-headphones-can-spy/
https://hackaday.com/2022/05/06/audio-eavesdropping-exploit-might-make-that-clicky-keyboard-less-cool/

Oder die Zimmerpflanze ist durchs Fenster zu erkennen:

https://people.csail.mit.edu/mrub/VisualMic/

Hauptsache alles ist offshore und in der Cloud und Betroffene
haben niemand greifbar wenns schief geht.

Natürlich. Wenn ich dem bayrischen Landesdatenschutzbeauftragten stecken
würde, was hier @work so abgeht, kriegt der einen DSGVO-Herzanfall. Und
hier geht es nicht um ausgefuchste BND-NSA-CIA-FBI-Mossad-Methoden.

Volker

 

[Volker Bartheld]

On Wed, 16 Nov 2022 14:10:35 +0100, Ole Jansen wrote:

Am 16.11.22 um 13:52 schrieb Thorsten Böttcher:
Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.
Die US Behörde NIST hat 2006 eine Studie über durch Menschen
gemachte Passwörter veröffentlicht (\"Special Publication 800-63\").

Sind das die mit der NSA-Backdoor in ihrer Dual_EC_DRBG
Referenzimpolementierung [1]?

SCNR,
Volker

[1] https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html

 

[Volker Bartheld]

On Wed, 16 Nov 2022 13:08:37 -0000 (UTC), Enrik Berkhan wrote:

Volker Bartheld <news2022@bartheld.net> wrote:
\"volker trägt rosa schlüpfer\" nun also endlich möglich. Ein Traum wird
wahr!
Und zwar für alle Mitleser hier, garantiert! ;-)

Nee. Habe ich doch schon längst auf \"all your base are belong to us\"
geändert.

Volker

 

[Ole Jansen]

Am 17.11.22 um 14:31 schrieb Volker Bartheld:

Natürlich. Wenn ich dem bayrischen Landesdatenschutzbeauftragten stecken
würde, was hier @work so abgeht, kriegt der einen DSGVO-Herzanfall. Und
hier geht es nicht um ausgefuchste BND-NSA-CIA-FBI-Mossad-Methoden.

Konzerne mit Global IT, Single Sign on und alles bötteschön in die
Microsoft Cloud. Und bitte keine Extrawürste wie GIT-Server
mit separatem Passwortmanagement o.Ä, das muss dann alles nach AZURE!

Und wenn die Amis ihre deutschen Töchter nicht mehr lieb haben
wird mit drei Mausklicks die ganze Firma bis hoch zum CEO ausgesperrt.
Dann erzählen sie was von \"Angriffen durch russische Hacker\" und
die Daten sind sicher in USA und alles was in EU/D an Gesetzen wie
DSGVO, IP, Technologietransfer uvm gilt ist außen vor und nur so
viel wert was sich in Übersee einklagen lässt. Also praktisch
garnichts.

Das ist inzwischen doch völlig normales Geschäftsgebahren unserer
\"Freunde\"?

O.J.

 

[Ole Jansen]

Am 17.11.22 um 14:33 schrieb Volker Bartheld:

On Wed, 16 Nov 2022 14:10:35 +0100, Ole Jansen wrote:
Am 16.11.22 um 13:52 schrieb Thorsten Böttcher:
Das hat doch bestimmt schon ein schlauer Kopf durchgerechnet.
Die US Behörde NIST hat 2006 eine Studie über durch Menschen
gemachte Passwörter veröffentlicht (\"Special Publication 800-63\").

Sind das die mit der NSA-Backdoor in ihrer Dual_EC_DRBG
Referenzimpolementierung [1]?

[1] https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html

Standards festlegen. Das NIST macht sozusagen das was die PTB hier
macht.

O.J.

 

[Hanno Foest]

Am 17.11.22 um 14:31 schrieb Volker Bartheld:

oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen.
Ein Passwort wie \"correctbatteryhorsestaple\" lässt sich über
solche Abkürzungen brechen.

Natürlich. Das geht bei kaputten Systemen immer. Vielleicht sind die
Paßworte auch im Klartext in einer Datenbank gespeichert und ich komme
per SQL-Injection ran. Dann brauche ich genau einen einzigen Versuch.

Na ja, daß jemand bei einem (mglw. begrenzt) erfolgreichen Angriff die
Hashes rausgetragen hat ist jetzt kein so ganz seltener Fall. Ansonsten
bräuchte man Passwörter ja nicht hashen.

Rainbowtables über den gesamten englischen Wortschatz^4 (oder 3, oder 5,
oder den deutschen Wortschatz...) halte ich dennoch (bislang) für
unrealistisch. Zumal die Hashes ja hoffentlich noch gut gesalzen sind.

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

 

[Wolfgang Allinger]

On 16 Nov 22 at group /de/sci/electronics in article bcmtr6s03f75$.dlg@news.bartheld.net
<news2022@bartheld.net> (Volker Bartheld) wrote:

\"volker trägt rosa schlüpfer\" nun also endlich möglich. Ein Traum wird
wahr!

Send pics!



Saludos (an alle Vernünftigen, Rest sh. sig)
Wolfgang

--
Ich bin in Paraguay lebender Trollallergiker reply Adresse gesetzt!
Ich diskutiere zukünftig weniger mit Idioten, denn sie ziehen mich auf
ihr Niveau herunter und schlagen mich dort mit ihrer Erfahrung!
(lt. alter usenet Weisheit) iPod, iPhone, iPad, iTunes, iRak, iDiot

 

[Wolfgang Allinger]

On 16 Nov 22 at group /de/sci/electronics in article 63751616.9E6C4409@hrz.tu-chemnitz.de
<echo@hrz.tu-chemnitz.de> (Hans-Juergen Schneider) wrote:

Heinz Schmitz wrote:

Elster hat mich bei der Erst-Registrierung fast unter die Decke
getrieben, weil es jedes vorgeschlagene Passwort abgelehnt hat. Bis
auf das Letzte.

Bitte geben Sie ein sicheres Kennwort ein.
- Lewwerworscht
Entschuldigung, Ihr Passwort ist zu kurz!
- Lewwerworschtweck
Entschuldigung, Ihr Passwort muss mindestens 1 Zahl enthalten!
- 1 Lewwerworschtweck
Entschuldigung, Ihr Passwort darf keine Leerzeichen enthalten!
- 50dreckslewwerworschtweck
Entschduldigung, Ihr Passwort muss mindestens einen Umlaut enthalten!
- 50dreckslewwerwärschtweckverdammt
Entschduldigung, Ihr Passwort muss mindestens einen Großbuchstaben
enthalten!
- 50DreckslewwerwärschtweckVERDAMMT
Entschduldigung, Ihr Passwort muss mindestens ein Sonderzeichen
enthalten!
- 50DreckslewwerwärschtweckVERDAMMT!!!!!
Entschuldigung, Ihr Passwort darf nur Großbuchstaben enthalten, die
nicht aufeinanderfolgend sind!
-DunnerWedderNochmolVerdammderSchweissdreckJetzKannschMichGleiGreizweisSunsc
htWoWasIssnDessFäeScheissSyschdem50DrecksLewwerwärschtWeckVerdammt!!!!!
Entschuldigung, dieses Passwort ist bereits vergeben. Bitte wählen Sie ein
anderes!

so ähnlich gings mir, als ich als Ausgewanderter-Nicht-EU-Deutscher
versuchte, mich ins dt. Wählerverzeichnis einzutragen. Nicht nur der
geforderte Nachweis, das ich Nachrichten aus D täglich lese, höre und
sehe, bereitete ziemliche Schwierigkeiten, aber dann noch ein Zugang mit
PW.... Ich habs aufgegeben. Das war wohl der Zweck der Übung.

Wenn Wahlen etwas verändern könnten, wären sie längst verboten!


Saludos (an alle Vernünftigen, Rest sh. sig)
Wolfgang

--
Ich bin in Paraguay lebender Trollallergiker reply Adresse gesetzt!
Ich diskutiere zukünftig weniger mit Idioten, denn sie ziehen mich auf
ihr Niveau herunter und schlagen mich dort mit ihrer Erfahrung!
(lt. alter usenet Weisheit) iPod, iPhone, iPad, iTunes, iRak, iDiot

 

[Wolfgang Allinger]

On 17 Nov 22 at group /de/sci/electronics in article jtlvvpFr77eU2@mid.individual.net
<DrDiettrich1@aol.com> (Hans-Peter Diettrich) wrote:

On 11/16/22 5:55 PM, Hans-Juergen Schneider wrote:
[...]
-DunnerWedderNochmolVerdammderSchweissdreckJetzKannschMichGleiGreizweisSuns
chtWoWasIssnDessFäeScheissSyschdem50DrecksLewwerwärschtWeckVerdammt!!!!!
Entschuldigung, dieses Passwort ist bereits vergeben. Bitte wählen Sie ein
anderes!

Das erinnert mich an meinen letzen Besuch bei Heise. Sinngemäß:

eMail und vermutetes Passwort: Falsches Passwort!
eMail und \"Passwort vergessen\": BenutzerID unbekannt!
eMail und \"Neuer Account\": BenutzerID bereits vergeben!

Das ist die übliche Kniefickerei auf vielen Seiten!
Scheissskriptkiddies ... na immerhin 5 S :]



Saludos (an alle Vernünftigen, Rest sh. sig)
Wolfgang

--
Ich bin in Paraguay lebender Trollallergiker reply Adresse gesetzt!
Ich diskutiere zukünftig weniger mit Idioten, denn sie ziehen mich auf
ihr Niveau herunter und schlagen mich dort mit ihrer Erfahrung!
(lt. alter usenet Weisheit) iPod, iPhone, iPad, iTunes, iRak, iDiot

 

[Rolf Bombach]

Helmut Schellong schrieb:

Ein Zeichensatz enthält 256 verschiedene Zeichen (8 Bit).
Je mehr (>15) (verschiedene) Zeichen daraus gewählt werden, desto größer
die Anzahl der möglichen Kombinationen.

Kombinationen = 256^anzahl
Kombinationen =  95^anzahl  (ascii)

Ja eben. Ascii hat nur 95 printable characters. Und andere Zeichensätze
sind eher selten auf der Tastatur und nicht zu empfehlen, insbesondere
wenn man unterschiedliche Eingabegeräte hat.
Von den Sonderzeichen sind meist auch nicht alle erlaubt, hab da schon
das merkwürdigste erlebt. Letztendlich bleiben auch nicht viel mehr
als 64 Zeichen, also reichlich 6 bit.
Fernschreibercode hatte nur 5 bit, also 32 Zeichen. Bösartig könnte
man jetzt sagen: Nur Grossbuchstaben (eventuell plus Ziffern).

Marcel hat das schon angesprochen. Das läuft darauf raus, dass
fünf \"Gross-und Kleinbuchstaben, Ziffern und Sonderzeichen\" etwa
so gut sind wie sechs \"nur Kleinbuchstaben\".

Hätte man eine weitere Shift-Taste, die zwischen rot und schwarz
umschalten könnte (gabs früher bei der Schreibmaschine), würde
das auf den ersten Blick die Symbolmenge verdoppeln, aber es
wäre auch nur 1 (ein) Bit mehr.

Dazu kommt genau das Problem, dass Andreas angesprochen hat. Meist
werden die Symbolmengen oder die Symbolwechsel künstlich herabgesetzt
wie durch \"mindestens zwei Zahlen\" (gemeint sind Ziffern), mindestens
xy Grossbuchstaben, nicht mehrere Grossbuchstaben hintereinander,
keine Sonderzeichen am Anfang oder am Ende, etc.
Genau der Mist wie bei der Enigma.

--
mfg Rolf Bombach

 

[Rolf Bombach]

Marcel Mueller schrieb:

Am 16.11.22 um 09:06 schrieb Gerrit Heitsch:
On 11/16/22 08:33, Marcel Mueller wrote:
Falsch, er hat die Information oft. Er muss nur einmal beim jeweiligen Dienst auf den Account-Erstellen-Knopf drücken und oder sich die AGBs durchlesen bzw. danach recherchieren.

Nein, dann hat er diese Information immer noch nicht. Denn die Ziffer muss ja nicht am Ende des Passwords stehen, die kann auch an anderer Stelle stehen. Die Vorgabe ist schliesslich nicht \'1
Ziffer am Ende\' sondern \'mindestens 1 Ziffer im Password\'.

Es fliegen trotzdem etliche Möglichkeiten raus, die man nicht mehr testen muss.

Hier will ich noch mein Erlebnis mit den hochkarätigen IT-Sicherheitsflachzangen
von heute schildern.
Der Irrsin fing damit an, dass die \"allgemeine Bundesverwaltung\" auf irgend ein
zentrales SAP-irgendwas umstellen wollte. Und jeder sollte da individuell alles
mögliche eintragen. Der Zugriff auf den zentralen Server wurde maximal kompliziert
gestaltet. Klar, zuerst brauche ich Zugriff auf einen PC im Institut mit dortigem
Login und meinem Passwort. Dann ging es über Citrix(?)-basierendes irgendwa, was $
auch einen Account mit eigenem Passwort lief. Von dort aus zu irgend einem
swiss-E-Admin-blafasel-Server mit, man ahnt es schon, eigenem Account und Passwort.
Hat man das geschafft, konnte man sich auf SAP dann einloggen, mit, äh, unnötig
zu erwähnen, einem weiteren Account mit eigenem Passwort.

Man wurde angehalten, sich vorher Accountnamen und Passwörter auszudenken.
Natürlich ohne Angabe der Richtlinien. Dann durfte jeder Angestellte individuell
zu einer längeren Sitzung antraben, wo die Accounts dann eingerichtet wurden und
irgendwelche USB-Dongles (später Karten) verteilt wurden.

Ich tippe ein 18-stelliges Passwort ein. \"Passwort zu lang\", hä, darf doch nicht
wahr sein, Steinzeit.
Und dann typisch IT-Arschloch-Pestalozzi: Ich tippe also 16-Stelliges Passwort
ein. Nicht akzeptiert, muss mehr Sonderzeichen enthalten. OK, Sonderzeichen eingeflickt.
Danach: Passwort nicht akzeptiert, muss \"mindestens zwei alphanumerische
Zeichen (sic)\" enthalten.
What? Ich hab 12 alphanumerische Zeichen eingetippt.
Klar, IT-ler verstehen ihren eigenen Slang nicht, gemeint waren 2 Ziffern.

Ähnliches bei den beiden andern Passwörtern. Die hatten wieder andere Kriterien.
Und wieder sagen sie nicht, was die Kriterien sind. Muss man einzeln ausprobieren
und sich dann jedesmal anscheissen lassen.

Irgendwann, so nach 20 Minuten, habe ich kapituliert. Ich hab dann gefragt, was
das soll und was ich machen könnte; ich hätte bald alles durchpermutiert.

Antwort (bitte vorher setzen und Getränke ausser Reichweite hinstellen):
\"Nehmen Sie einfach ihren Nachnamen und setzen Sie die Abteilungsnummer dahinter.
Das hat bis jetzt immer funktioniert.\"

IT-Sicherheit 2020. Faszinierend.

--
mfg Rolf Bombach

 

[Helmut Schellong]

On 11/19/2022 23:16, Rolf Bombach wrote:

Marcel Mueller schrieb:
Am 16.11.22 um 09:06 schrieb Gerrit Heitsch:
On 11/16/22 08:33, Marcel Mueller wrote:
[...]
Es fliegen trotzdem etliche Möglichkeiten raus, die man nicht mehr testen muss.

Hier will ich noch mein Erlebnis mit den hochkarätigen IT-Sicherheitsflachzangen
von heute schildern.
Der Irrsin fing damit an, dass die \"allgemeine Bundesverwaltung\" auf irgend ein
[...]
Ich tippe ein 18-stelliges Passwort ein. \"Passwort zu lang\", hä, darf doch nicht
wahr sein, Steinzeit.

Das NIST hat vor vielen Jahren empfohlen, Paßwörter bis zu einer Länge von 64 zuzulassen.

Und dann typisch IT-Arschloch-Pestalozzi: Ich tippe also 16-Stelliges Passwort
ein. Nicht akzeptiert, muss mehr Sonderzeichen enthalten. OK, Sonderzeichen eingeflickt.
Danach: Passwort nicht akzeptiert, muss \"mindestens zwei alphanumerische
Zeichen (sic)\" enthalten.
What? Ich hab 12 alphanumerische Zeichen eingetippt.
Klar, IT-ler verstehen ihren eigenen Slang nicht, gemeint waren 2 Ziffern.

Ja, anstatt \'Ziffer\' wird neuerdings überwiegend \'Zahl\' geschrieben.
Horrend falsch ist \'An/Aus\' statt \'Ein/Aus\'.

Es wird oft eine Fähigkeit als KI bezeichnet, obwohl es keine KI ist.
Bei wirklicher KI gibt es milliarden-schwere Rückzüge.
Vielleicht wurde festgestellt, daß die bisherigen Vorstellungen davon irrig sind:
starkes Unterschätzen.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 11/19/2022 23:01, Rolf Bombach wrote:

Helmut Schellong schrieb:

Ein Zeichensatz enthält 256 verschiedene Zeichen (8 Bit).
Je mehr (>15) (verschiedene) Zeichen daraus gewählt werden, desto größer
die Anzahl der möglichen Kombinationen.

Kombinationen = 256^anzahl
Kombinationen =  95^anzahl  (ascii)

Ja eben. Ascii hat nur 95 printable characters. Und andere Zeichensätze
sind eher selten auf der Tastatur und nicht zu empfehlen, insbesondere
wenn man unterschiedliche Eingabegeräte hat.
Von den Sonderzeichen sind meist auch nicht alle erlaubt, hab da schon
das merkwürdigste erlebt. Letztendlich bleiben auch nicht viel mehr
als 64 Zeichen, also reichlich 6 bit.
Fernschreibercode hatte nur 5 bit, also 32 Zeichen. Bösartig könnte
man jetzt sagen: Nur Grossbuchstaben (eventuell plus Ziffern).

Ich verwende oft 64 Zeichen aus einer Menge von 95-2=93 Zeichen.
Die vermiedenen Zeichen sind » « und »\'«, weil die in Shell-Skripten
besonders beachtet werden müssen.

Marcel hat das schon angesprochen. Das läuft darauf raus, dass
fünf \"Gross-und Kleinbuchstaben, Ziffern und Sonderzeichen\" etwa
so gut sind wie sechs \"nur Kleinbuchstaben\".

Hätte man eine weitere Shift-Taste, die zwischen rot und schwarz
umschalten könnte (gabs früher bei der Schreibmaschine), würde
das auf den ersten Blick die Symbolmenge verdoppeln, aber es
wäre auch nur 1 (ein) Bit mehr.

Dazu kommt genau das Problem, dass Andreas angesprochen hat. Meist
werden die Symbolmengen oder die Symbolwechsel künstlich herabgesetzt
wie durch \"mindestens zwei Zahlen\" (gemeint sind Ziffern), mindestens
xy Grossbuchstaben, nicht mehrere Grossbuchstaben hintereinander,
keine Sonderzeichen am Anfang oder am Ende, etc.
Genau der Mist wie bei der Enigma.

Es gibt Empfehlungen, um sich die Sache einfacher zu machen --> Komfort.
Und die Sicherheit sinkt dadurch beachtlich - stört aber offenbar irgendwie niemanden.

Die Möglichkeit, daß Wörtertabellen im ersten Schritt eines Angriffs benutzt werden
können, um innerhalb von Minuten bis Stunden statt Jahren ein Paßwort zu knacken, wird unterschätzt.
Hier wurde schon 2000^4 genannt, wobei \'4\' die Anzahl Wörter ist, nicht die Anzahl Zeichen!

Etwas anders sind Keys.
In der kryptographischen Szene werden Keys aus 256 Bit als sicher vor Quanten-Computern angesehen.
Die Bits (0 und 1) müssen aber (nach der ersten Stufe) /stark/ angeordnet sein.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html