News RTX 4090 vs Passwörter: Sind 8 Zeichen noch sicher?

wieder mal ein total unnötiger Artikel.
Es ist schön wenn eine 4090 ein achtstelliges Passwort in 49min knackt, nur wo will man das bitte anwenden?
Jede halbwegs vernünftige Seite fordert weitere Maßnahmen sobald man sein Passwort zu oft falsch eingegeben hat ein. Ergo kann man die ursprüngliche Frage ob ein achtstelliges Passwort noch sicher ist mit einem "Ja" beantworten (sofern das passwort nicht "12345678" etc ist).
 
Mecker_Manni schrieb:
wieder mal ein total unnötiger Artikel.
Es ist schön wenn eine 4090 ein achtstelliges Passwort in 49min knackt, nur wo will man das bitte anwenden?
Jede halbwegs vernünftige Seite fordert weitere Maßnahmen sobald man sein Passwort zu oft falsch eingegeben hat ein. Ergo kann man die ursprüngliche Frage ob ein achtstelliges Passwort noch sicher ist mit einem "Ja" beantworten (sofern das passwort nicht "12345678" etc ist).
Zum Vergrößern anklicken....
Wie oben schon beschrieben geht es darum, wenn ein Hacker einen Server gehackt hat und an die MD5-Hashes von allen Usern dieser Plattform gekommen ist. Wenn dann das Passwort zu einfach ist, kann das Passwort leicht herausgefunden und bei anderen Diensten genutzt werden, weil viele unbedarfte User überall das gleiche Passwort nutzen.
 
Die meisten Internetanbieter nutzen auch nach wie vor Hashes auf Basis von MD5, weil sie etabliert sind und Systemumstellungen immer Geld kosten.
Zum Vergrößern anklicken....
Ich wäre wirklich erstaunt, wenn MD5 immer noch standard ist. PBKDF2 wurde 2000 entwickelt und sogar MediaWiki ist vor 10 Jahre laut https://de.wikipedia.org/wiki/PBKDF2 umgestiegen ist.

Die meisten Webframework lassen gar keine günstige berechnende Key-Derivation-Funcation zu.
 
Ob das irgendwann mal was wird mit FIDO2?

ElliotAlderson schrieb:
Ein Passwort aus reinen Buchstaben ist eben nicht so sicher, wie eines aus Zeichen, Ziffern, großen und kleinen Buchstaben.
Zum Vergrößern anklicken....
Wie unterscheiden sich denn beim stumpfen ausprobieren
Code: 
cEWfIZulGMeEtVEqntIZWGLR
jWGb~|lc@9wJ`$%haX-7@dm-

Alleine für den Fall, den Mist irgendwann mal per Hand eintippen zu müssen, am besten auch noch am Phone, würde ich freiwillig keine Sonderzeichen verwenden.
Schon die abwechselnde Groß- und Kleinschreibung ist da die reinste Qual.


www.zdnet.com

The case of case-insensitive passwords

Patrick Lambert considers the recent decision by Blizzard to ignore case-sensitivity in user passwords from the perspective of the security vs. convenience debate.
www.zdnet.com www.zdnet.com
Auf der einen Seite sinnlose Qual mit 5 Anforderungen und dann so etwas. :klatsch:
Das hatte ich damals auch nur per Zufall mitbekommen, nachdem ich das Paswort Jahre lang immer schön brav mit Großbuchstaben eingetippt hatte.
 
psalm64 schrieb:
... weil viele unbedarfte User überall das gleiche Passwort nutzen.
Zum Vergrößern anklicken....
Wobei ich das nicht unbedingt "unbedarft" nennen würde. Es kommt mMn eben auch auf die "Art" einer Webseite an. Für Foren-Accounts zb, wo ich ja nur Beiträge posten kann, brauche ich als User ja gar nicht dieselbe Sicherheit wie zb. für Amazon oder eBay usw, wo man Dinge kaufen kann. Oder auch seine "Finanzplattformen" wie zb. Paypal oder sein Online-Banking, wo man direkt Geld verschicken kann. Da sollte man natürlich kein "Masterpasswort" verwenden.
 
XT1024 schrieb:
Wie unterscheiden sich denn beim stumpfen ausprobieren
Code: 
cEWfIZulGMeEtVEqntIZWGLR
jWGb~|lc@9wJ`$%haX-7@dm-
Zum Vergrößern anklicken....
Erste Variante besteht aus 25 Zeichen mit je 52 Möglichkeiten (26 Buchstaben klein/groß).
Das sind 52^25 mögliche Kombinationen.

Die zweite Variante besteht ebenfalls aus 25 Zeichen mit je 76 Möglichkeiten (wenn wir von %+'-/!,$~|@`_ als zulässige Sonderzeichen ausgehen).
Das wären 76^25 mögliche Kombinationen.

XT1024 schrieb:
Alleine für den Fall, den Mist irgendwann mal per Hand eintippen zu müssen, am besten auch noch am Phone, würde ich freiwillig keine Sonderzeichen verwenden.
Schon die abwechselnde Groß- und Kleinschreibung ist da die reinste Qual.
Zum Vergrößern anklicken....
Hol dir einen Passwortmanager. Die gibt es auch fürs Handy.
 
AyC schrieb:
Mit 2FA ist das nicht mehr möglich und der Account ist sicher und man kann den Account nicht hacken!
Zum Vergrößern anklicken....
Das ist falsch...

Es ist ein Mythos das MFA, einen Account unhackbar macht... Es ist sogar recht einfach, nennt sich evilginx, gibts auf github für umme und ist ein MitM Proxy. Wenn ich es schaffe jemanden einen Link unterzuschieben, was in der Regel recht einfach ist, dann bekomme ich nicht nur Username + Passwort sondern nach der MFA Bestätigung auch das auth cookie, das brauche ich dann nur noch in einen Browser meiner Wahl zu importieren. Stand heute, ist lediglich Fido2 gegen solche Angriffe robust genug, da hier kryptografische handshake kaputt geht.

github.com

GitHub - kgretzky/evilginx2: Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication

Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication - kgretzky/evilginx2
github.com github.com
 
ElliotAlderson schrieb:
Hol dir einen Passwortmanager. Die gibt es auch fürs Handy.
Zum Vergrößern anklicken....
Dann halt für den Fall, dass ich mal an einen fremden Rechner muss.

ElliotAlderson schrieb:
Erste Variante besteht aus 25 Zeichen mit je 52 Möglichkeiten (26 Buchstaben klein/groß).
Zum Vergrößern anklicken....
Da du das vorher nicht weißt, musst du doch eh alles ausprobieren.
Ob das Passwort nun zZZzZz ist oder aGPz+1



Wird das durch solche Richtlinien nicht sogar noch vereinfacht? Dann weiß man ja, dass definitiv Zahlen und Sonderzeichen vorkommen müssen.
 
JoM79 schrieb:
Zweifaktor ist auch nicht wirklich sicher, es wird nur schwerer.
Und darum geht's doch eigentlich, es dem potenziellen Schadensverursacher schwerer zu machen.
Zum Vergrößern anklicken....
Was ist an Zweifaktor-Authentifizierung nicht wirklich sicher ?
Solange man das nicht auf dem gleichen Gerät macht, sehe ich da keine großen Risiken, vor allem im Vergleich zu "nur Passwort benutzen".
nibi030 schrieb:
Das ist falsch...

Es ist ein Mythos das MFA, einen Account unhackbar macht... Es ist sogar recht einfach, nennt sich evilginx, gibts auf github für umme und ist ein MitM Proxy. Wenn ich es schaffe jemanden einen Link unterzuschieben, was in der Regel recht einfach ist, dann bekomme ich nicht nur Username + Passwort sondern nach der MFA Bestätigung auch das auth cookie, das brauche ich dann nur noch in einen Browser meiner Wahl zu importieren. Stand heute, ist lediglich Fido2 gegen solche Angriffe robust genug, da hier kryptografische handshake kaputt geht.

github.com

GitHub - kgretzky/evilginx2: Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication

Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication - kgretzky/evilginx2
github.com github.com
Zum Vergrößern anklicken....
Und deswegen nutzt man den zweiten Faktor eben NICHT auf dem gleichen Gerät, das man auch für das Passwort bzw. den Zugang nutzt, sondern auf einem anderen Gerät (bspw. PC + Smartphone).
 
XT1024 schrieb:
Da du das vorher nicht weißt, musst du doch eh alles ausprobieren.
Ob das Passwort nun zZZzZz ist oder aGPz+1
Zum Vergrößern anklicken....
Da aber unbedarfte User dazu tendieren Passwörter "einfach" zu halten, wenn es keine Restriktionen gibt, kannst Du beim Ausprobieren dann erstmal die Zeichenfolgen ohne Sonderzeichen probieren und sparst jede Menge Zeit...
Zumal es ja genau diese User sind, für die sich die Hacker interessieren, weil die tendenziell auch noch das gleiche Passwort bei anderen Diensten nutzen...

XT1024 schrieb:
Wird das durch solche Richtlinien nicht sogar noch vereinfacht? Dann weiß man ja, dass definitiv Zahlen und Sonderzeichen vorkommen müssen.
Zum Vergrößern anklicken....
Siehe oben, das macht dann aber auch die Passwort-Suche bei den Passwörtern der unbedarften User schwieriger. Und es steigert die Chance, das diese User das gleiche Passwort bei anderen Plattformen nicht nochmal nutzen, wegen unterschiedlicher Anforderungen.
 
TausendWatt schrieb:
Dass es aber um ihre Daten und die des Unternehmens/Studienortes/das private Netzwerk sind, dass gehackt werden kann, wird dabei viel zu eifnach vergessen. User gehen auch so mit ihren Logins schon viel zu schlampig um, die stehen nämlich auch auf Zetteln und kleben über all.
Zum Vergrößern anklicken....

Sind sie doch teilweise selber schuld.
Ich muss auf der Arbeit ~1 Dutzend PW "merken".
Für jeden Mist zum anmelden ein anders PW.
Dazu kommen noch die ganzen Telefon Nr die man "braucht" weil viele Kollegen einfach kein Bock auf PC haben
(ua. steht EMail und Teams zur Verfügung).
Noch bis letztes Jahr muste man die PW jede drei Wochen wechseln!
 
Kondar schrieb:
Sind sie doch teilweise selber schuld.
Ich muss auf der Arbeit ~1 Dutzend PW "merken".
Für jeden Mist zum anmelden ein anders PW.
Dazu kommen noch die ganzen Telefon Nr die man "braucht" weil viele Kollegen einfach kein Bock auf PC haben
(ua. steht EMail und Teams zur Verfügung).
Noch bis letztes Jahr muste man die PW jede drei Wochen wechseln!
Zum Vergrößern anklicken....
Mit so einer Einstellung, würde ich unseren Geschäftsführer davon überzeugen, dir nie wieder einen PC, LAptop oder sonst was zur Verfügung zu stellen. Wofür sind den solche Maßnahmen? Einfach mal darüber nachdenken, denn keine IT macht das um die Leute zu ärgern. Wenn du mal ein Unternehmen gesehen hast, dass gehackt wurde, würdest du auch anderes darüber denken. Denn der erste Gang ist zum Arbeitsamt und bis zum neuen Job, kannst du erstmal mit kanpp 60% deine Nettos rechnen und das nur für die ersten 12 Monate...

Und für Passwörter gibts PAsswortmanager, wie mein Vorredner schon anmerkte, KEypass z.B. ist kostenlos und stellt dir jede IT zur Verfügung... Musst dir also nur 2 PAsswörter merken, das login PAsswort und MAsterpasswort für die PW Datenbank!
 
nibi030 schrieb:
Das ist falsch...

Es ist ein Mythos das MFA, einen Account unhackbar macht...
Zum Vergrößern anklicken....

Aber dann muss der User eben wieder etwas zusätzlich machen. Das ist schon ein großer Unterschied. Es ist eine Definitionssache, was als "sicher" gilt. Natürlich gibt es viele Möglichkeiten an Daten heranzukommen. Aber mit einem einfachen Passwort gibt es viele einfache Möglichkeiten, ohne das der User irgendwas machen muss. Mit 2FA (getrennte Geräte, der User ist sich Gefahren bewusst), ist es sicher, wenn der User nichts macht. Gibt es Fälle wo 2FA geknackt wurde, ohne zu tun des Users bei einer richtigen Implementierung?

In deinem Fall müsste der User auf einen Link klicken und zwar in dem Augenblick wo er beim Online Banking angemeldet ist. Da findet aber normal auch eine Abmeldung automatisch nach 10min statt. Und dann wird es schon schwieriger, dass eine fremde Person genau zu der Zeit einen Link unterschieben kann.
TausendWatt schrieb:
Mit so einer Einstellung, würde ich unseren Geschäftsführer davon überzeugen, dir nie wieder einen PC, LAptop oder sonst was zur Verfügung zu stellen. Wofür sind den solche Maßnahmen?
Zum Vergrößern anklicken....

Wenn mal wieder ein Krankenhaus oder eine Stadt komplett verschlüsselt ist und für Wochen lahmgelegt ist, wenn man kein Lösegeld bezahlt, versteht man vielleicht auch das Problem. Ist wie bei einer Datensicherung, die meisten machen es nicht, nach 7 Jahren geht dann die Festplatte kaputt und erst dann interessant einen das Problem.

Aber das Problem ist ja nicht nur der einzelne Nutzer, häufig ist es die BWL bzw. der Chef. Man gibt ungerne Geld für Sicherheit aus, wenn es auch so läuft und noch nie etwas passiert ist.
 
Zuletzt bearbeitet:
Mazrim_Taim schrieb:
Nach jeder Eingabe des PW einfach eine Sek. als Warteschritt einfügen hilft schon extrem viel.
Zum Vergrößern anklicken....
Man muss nur aufpassen, dass man, wenn man IPv6 anbietet, direkt ganze Subnetze und keine einzelnen Adressen sperrt.
Pu244 schrieb:
Die beiden Hauptgründe sind, dass man die Passwörter entweder durch Social Engineering oder mit einem Trojaner abgreift. Beides ist wesentlich schneller und einfacher.
Zum Vergrößern anklicken....
Wobei man es natürlich irgendwelchen Scriptkiddies nicht zu leicht machen sollte. Acht Zeichen sind ohne weitere Maßnahmen wirklich nicht mehr so ein großes Problem.
Schori schrieb:
Was ist von dem PW Manager in Firefox und Co zu halten?
Zum Vergrößern anklicken....
Das Problem damit ist, dass die Passwörter dort im Klartext vorliegen. Für sensible Passwörter gefährlich, weil die dann einfach auslesbar sind, wenn das System kompromittiert wird.
aluis schrieb:
In der Regel hat man Salt, da nützt dann auch ne 4090 nichts.
Zum Vergrößern anklicken....
Salt hilft nur gegen Rainbow-Table-Attacken.
aluis schrieb:
Und wie kommt man an den MD5? Per Zauberei?
Zum Vergrößern anklicken....
Naja jedesmal, wenn mal wieder irgendein Unternehmen kompromittiert wird. Deswegen soll man nicht die gleichen Passwörter überall verwenden.
 
Letztens den PC meiner Mutter auf Sicherheitsmängel geprüft, 33mal das selbe Passwort ohne Zahlen und Sonderzeichen laut Chrome...

Erstmal Bitwarden installiert und alles auf 16 Zeichen erhöht per Generator.
 
Zuletzt bearbeitet:
TausendWatt schrieb:
Mit so einer Einstellung, würde ich unseren Geschäftsführer davon überzeugen, dir nie wieder einen PC, LAptop oder sonst was zur Verfügung zu stellen. Wofür sind den solche Maßnahmen? Einfach mal darüber nachdenken, denn keine IT macht das um die Leute zu ärgern. Wenn du mal ein Unternehmen gesehen hast, dass gehackt wurde, würdest du auch anderes darüber denken. Denn der erste Gang ist zum Arbeitsamt und bis zum neuen Job, kannst du erstmal mit kanpp 60% deine Nettos rechnen und das nur für die ersten 12 Monate...

Und für Passwörter gibts PAsswortmanager, wie mein Vorredner schon anmerkte, KEypass z.B. ist kostenlos und stellt dir jede IT zur Verfügung... Musst dir also nur 2 PAsswörter merken, das login PAsswort und MAsterpasswort für die PW Datenbank!
Zum Vergrößern anklicken....
:wall:
Wenn es Passwortmanager gäbe hätte ich nur ein PW zu merken und nicht duzende inc. verschieden Logins.

Wenn ich was zu melden hätte wären solche Leute ihren Job los da die absichtlich dafür sorgen das es eben zu solchen Situation kommt.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Geforce RTX 4090 vs. Geforce RTX 4090 D: Drache schlägt Flaggschiff mit verbotenen 600 Watt
Antworten
13
Aufrufe
1K
Lantis86
L
PCGH-Redaktion
News Unfaires GPU-Duell, Reloaded? RTX 4090 vs. 7900 XTX im Video-Test
2
Antworten
27
Aufrufe
1K
Independents
I
PCGH-Redaktion
Special Geforce RTX 4090 vs. Radeon RX 7900 XTX: Duell der Topmodelle - Nachtest 2024
4 5 6
Antworten
106
Aufrufe
6K
Quake2008
Quake2008
PCGH-Redaktion
News RTX 4090: Nvidia liefert wieder Founders Edition
2
Antworten
25
Aufrufe
1K
RX480
RX480
PCGH-Redaktion
News Tschüss, UVP: Kampfpreise bei Geforce RTX 4090?
2
Antworten
26
Aufrufe
1K
DarkWing13
DarkWing13
Oben Unten
Zurück