News RTX 4090 vs Passwörter: Sind 8 Zeichen noch sicher?

[ToZo1]

Letztens den PC meiner Mutter auf Sicherheitsmängel geprüft, 33mal das selbe Passwort ohne Zahlen und Sonderzeichen laut Chrome...

Erstmal Bitwarden installiert und alles auf 16 stellen erhöht per Generator.

Ja, damit ist deine Mutter vor dem Datensammeln durch Google&Friends sicher.

 

[psalm64]

Man muss nur aufpassen, dass man, wenn man IPv6 anbietet, direkt ganze Subnetze und keine einzelnen Adressen sperrt.

1. Wir reden hier über Angriffe auf Password-Hashes, die man sich bei einem Serverhack abgegriffen hat. Nicht davon, das man es x-mal im Webinterface auf einer Webseite probiert. Und da kann man es lokal halt so oft pro Millisekunde probieren, wie die HW es hergibt.
2. Abgesehen davon will ich hoffen, das man die Sperre auf den user (+ggf. die IP) ansetzt und damit ist es herzlich egal wie viele IPs Du hast, selbst wenn Du ein ganzes Botnetz zur Verfügung hast.

 

[TausendWatt]

Wenn es Passwortmanager gäbe hätte ich nur ein PW zu merken und nicht duzende inc. verschieden Logins.

Wenn ich was zu melden hätte wären solche Leute ihren Job los da die absichtlich dafür sorgen das es eben zu solchen Situation kommt.

einfach nur unfassbar

 

[psalm64]

Wenn es Passwortmanager gäbe hätte ich nur ein PW zu merken und nicht duzende inc. verschieden Logins.

Dann installiere Dir einen? Keepass gibt es z.B. auch als Portable Version, dafür braucht man auch keine Admin-Rechte, falls das das einzige Problem ist (und es keine Whitelist/Blacklist-Regel für SW bei Euch gibt?).

 

[TriadFish]

Aber wer einen direkten Zugang (mit unbegrenzten Versuchen und ohne Zeitverzögerung) hat kann seit Ewigkeiten 8-stellige Passwörter in zumutbarer Zeit knacken, auch mit normalen Heim-PCs.

Ja, aber das gibt es (aus Sicherheitsgründen) doch praktisch nirgendwo mehr seit locker 20 Jahren. Daher verstehe ich den Sinn dieses Artikels nicht. Wo kann man bitte noch tausende male hintereinander ein falsches Passwort eingeben, ohne zumindest pausiert zu werden.

Passwörter werden in aller Regel in irgendeienr Form "abgegriffen" und nicht durch tausende Eingebaversuche erraten.

 

[Incredible Alk]

Wo kann man bitte noch tausende male hintereinander ein falsches Passwort eingeben, ohne zumindest pausiert zu werden.

Überall, wo du an die MD5-Datei gekommen bist in der ein Server dein Passwort verschlüsselt hat.
Es geht nicht darum in irgendner Onlinemaske rumzuprobieren (da wäre alleine das Frontend schon derart lahm dass nur 10 pro Sekunde gingen selbst wenns keine künstliche Limitierung gäbe), es geht darum lokal Passwörter aus verschlüsselten Serverdaten zu extrahieren, die durch eine Sicherheitslücke entwendet wurden.
Wenn jemand etwa durch Meltdown/Spectre um nen bekannten zu nennen an die Passwortdatei von PCGH gekommen wäre (!), könnte er lokal Milliarden von Versuchen pro Sekunde ausführen mit entsprechender hardware und Loginpasswörter von Usern hier, die nur 8 stellen haben, in Minuten knacken... die von Usern die 20 Stellen verwendet haben nicht.

 

[nimmermehr_dx]

Eine Frage/Anregung an den Autor, Andreas Link:

Wieso ist im Artikel ein Screenshot von einer halben Tabelle? Ohne die Spaltenüberschriften ist die Tabelle nicht sehr informativ. Ein einfaches Bildschirmfoto der Tabelle hätte gereicht. Eine gute Kmprimierung ohne JPG-Rauschen wäre noch der Zuckerguss gewesen. (Bin gespannt was das Foren-System aus meinen Screenshot macht. Die Vorschau sieht schon mal nicht so toll aus.)


Quelle: https://www.hivesystems.com/blog/are-your-passwords-in-the-green

 

[Bl4ckR4v3n]

Mag ja sein, dass man mit einer 4090 solche PW recht schnell knackt aber wieso den aufwand wenn ich anders viel leichter an meine Opfer komme? Bisher ist man via phishing und co viel effektiver und dann braucht man nicht mal etwas knacken sondern kriegt die Daten einfach so.
Mit MFA kann man zumindest solche Bruteforce aktionen deutlich erschweren und indem man verschiedene PW für jeden Account nimmt den Schaden drastisch minimieren. PW-Manager erlauben dazu auch noch recht einfach unfassbar Lange PW erstellen.

 

[nibi030]

Und deswegen nutzt man den zweiten Faktor eben NICHT auf dem gleichen Gerät, das man auch für das Passwort bzw. den Zugang nutzt, sondern auf einem anderen Gerät (bspw. PC + Smartphone).

Es ist völlig wurscht ob auf dem selben Gerät oder einem anderen Gerät... zumindest in meinem Beispiel mit Evilginx. Wenn ich dir dein Auth Cookie (Session Cookie) klaue, dann kann von mir aus auch das MFA Gerät im Atomschutzbunker liegen.

In deinem Fall müsste der User auf einen Link klicken und zwar in dem Augenblick wo er beim Online Banking angemeldet ist. Da findet aber normal auch eine Abmeldung automatisch nach 10min statt. Und dann wird es schon schwieriger, dass eine fremde Person genau zu der Zeit einen Link unterschieben kann.

ne du hast nicht verstanden wie evilginx und die Sache mit den Auth Cookie klauen funktioniert... ich klau einfach ab Beginn des Logins den Session Cookie und kann den in einen Browser importieren und solange nutzen wie der gültig ist. Ja, du wirst bei deiner Bank in 10 Minuten abgemeldet...die reichen ja schon völlig aus. Aber Bank ist auch ein schlechtes Beispiel, die haben Gott sei Dank noch weitere Sicherheitsmechanismen um jede Transaktion zu validieren.

 

[PCGH_Torsten]

8 Zeichen sind gefühlt seit 20 Jahren nicht mehr "sicher"

Die beiden Gründe, warum die meisten Passwörter nicht geknackt werden per Bruteforce ist, weil
1.) Es nicht versucht wird weil der Passwortinhaber bzw. das hinter dem Passwort zu belanglos ist
2.) Weil die meisten Onlineservices nur eine kleine Zahl an Versuchen zulassen bzw. die Passwortdatei nicht offline zugänglich ist.

Aber wer einen direkten Zugang (mit unbegrenzten Versuchen und ohne Zeitverzögerung) hat kann seit Ewigkeiten 8-stellige Passwörter in zumutbarer Zeit knacken, auch mit normalen Heim-PCs.
Den Hinweis, lieber lange als komplizierte Passwörter zu knacken hat XKCD vor langer langer Zeit schon hübsch dargestellt:

Password Strength

xkcd.com

Leider hat man den Leuten jahrzehntelang erzählt sie sollen sich komplizierte Passworter ausdenken, viele Policies erwarten noch heute Sonderzeichen, Zahlen, Groß-/Kleinschreibung usw. - obwohl das alles Quatsch ist wenn das Passwort nur lang genug ist (und in keinem Wörterbuch steht).

2) ist der entscheidende Faktor: Es muss einem Angreifer unmöglich gemacht werden, mehr als ein paar dutzend geratene Zeichenkombinationen überhaupt auf Richtigkeit prüfen zu können. Dann ist selbst eine 4-stellige Pin relativ sicher. Wenn die Versuche eines Angreifers dagegen nur durch seine Rechenleistung beschränkt sind, beispielweise weil verschlüsselte Inhalte mit konkreten Inhalten frei heruntergeladen werden konnten, dann braucht es sehr viel mehr als nur acht Stellen.

Bezüglich des bekannten XKCD-Comics möchte ich aber mal eins sagen: Das ist einer der ganz wenigen Fälle, in denen Munroe seine Hausaufgaben nicht gemacht hat.
Die Mächtigkeit eines Passworts definiert sich nicht aus dem Speicherplatz, den es einnimmt, sondern aus der Zahl der Möglichkeiten, die es annehmen könnte. Nur wenn man komplett freien Binärcode verwend, ist beides identisch – aber 2^44 Bit ASCII-Code ermöglichen nicht 2^44 Buchstabenkombinationen, denn ASCII besteht überwiegend nicht aus Buchstaben. Vieles lässt sich nicht einmal tippen. Ein Level darüber gilt das gleiche für Buchstaben versus Wörter: Nur wer "trzmq" genauso bereitwillig nutzt, wie "horse", der kann von einer Zufallskombination aus fünf Buchstaben sprechen. Wer leicht merkbare Wörter nutzt, arbeitet dagegen mit Wörtern. Und wenn es auch noch einfache Wörter sein sollen, sind die ziemlich leicht zu erraten. Die meisten Menschen bestreiten ihren Alltag mit 1.000 Wörtern oder weniger, mit ein paar Fachbegriffen liegt der aktive Wortschatz vielleicht bei 2.000 Zeichen. Sehr viel mehr können wir zwar verstehen, müssen aber erstmal aktiv nachdenken und/oder sind uns bei der Schreibweise unsicher – sowas kann ein Angreifer bei Passwörter ausklammern. Muss er verschieden Fachvokabulare als in Betracht ziehen, ergeben sich vielleicht 5.000 Möglichkeiten je Stelle = Wort in einem typischen Passwort, nehmen die Leute eher naheliegendes, blieben 1.000 oder weniger.
"correcthorsebatterystaple" gehört ziemlich sicher in letztere Kategorie und hat demnach keine Entropie von
121.987.944.123.281.928.470.243.645.070.630.000.000.000 (2^44 Bit, Soweit es mir der Windows-Rechner anzeigt^^)
wie behauptet. Es kommt auch nicht gemäß der enthaltenen Buchstaben auf
236.773.830.007.967.588.876.795.164.938.470.000 (= 26^25)
Die meisten Passwortersteller werden auch nicht die von "4 beliebige Wörter aus dem Oxford" schaffen, also nicht
835.210.000.000.000.000.000 (= 170.000^4)
Stattdessen ist für eine Sammlung von intellektuellen Nutzern eine Entropie von
625.000.000.000.000 (5.000^4)
zu prüfen und bei Personen mit eher umgangsprachlicher Ausdrucksweise
1.000.000.000.000 (1.000^4)
Das ist 27 Größenordnungen weniger als im Comic behauptet und ein Brute-Force-Angriff würde statt Milliarden von Jahren nur Sekundenbruchteile erfordern. Zum Vergleich: 8 Stellen inklusive Ziffern und Satzzeichen des deutschen Tastatur-Kernlayouts (diakritische Zeichen nicht mitgezählt) kommt immerhin auf
7.837.433.594.376.961 (92^8)
Möglichkeiten – ist also mehrere tausend Mal sicherer als Pferde, die Batterien stapeln. Zumindest wenn man bereit ist, auch mal ein Pipe oder eine geschweifte Klammer statt ein Ausrufezeichen einzubauen. Mit in (Online-)Texten anzutreffende Zeichen (_/+...) kann man immerhin von
1.235.736.291.547.681 (77^8)
ausgehen.

Korrektur: Keine Ahnung wieso, aber einen Tag später ist 2^44 eine viel kleinere Zahl.^^ Nämlich
17.592.186.044.416
Die Grundüberlegung zur Passwortstärke hat aber Bestand.

Das scheitert oft daran, dass Seiten eine Obergrenze für Zeichen setzen - ein PW beispielsweise maximal 63 Stellen lang sein darf oder noch weniger.

Selbst wenn sie es annehmen: Es wäre nicht das erste Mal, dass nur ein Teil davon gespeichert wird.

Achtung bitte nicht lachen:
Ein Freund von mir stiefelt in die Sparkassenfiliale seiner Wahl und bestellt einen neuen TAN-Generator, weil der Alte den Geist aufgegeben hat.
Die Bedienung am Schalter sagt, das sei ja gar nicht nötig, er könnte ja die App benutzen und darüber 2FA nutzen. Daraufhin antwortet er, das er aber das Banking auch über das Handy macht und daher den Generator als 2FA benötigt. Daraufhin wird er mit Fragezeichen angeguckt und ihm wird gesagt, aber das sei doch trotzdem 2FA, weil das ja unterschiedliche Apps sind...
*omg*

Diese App-Lösungen kombinieren in der Regel den Faktor "hat das Smartphone" und "kennt ein Passwort" oder ähnliches. Der Rückkanal für sich ist, auch beim TAN-Generator, kein zweiter Faktor, sondern dient nur der Kontrolle um Re(p)lay-Attacken zu verhindern. Bei rein Web-basierten Lösungen konnten Angreifer zuvor eine real laufende Session highjacken und einfach eine ihnen genehme Überweisung ausführen lassen. Darauf, dass die Apps dagegen sicher sind, würde ich auch nicht wetten – "ING-DiBa-App" ist für Hacker zumindest schon mal ein wesentlich kleineres Ziel als "Internet Explorer" und da auch schwerer angreifbar, da man dort keine Plug-Ins von Drittanbietern installieren oder damit fremde Webseiten besuchen kann.

Die viel größere Gefahr bei "ich mach alles mit meinem Smartphone"-Nutzern ist meiner Meinung nach die Gegenrichtung:
Das Smartphone dient nicht nur als einziger Zugangsfaktor zum Online-Banking und damit für sämtliche denkbaren Bestellvorgänge, sondern auch als Log-In-Kriterium für sämtliche Shopaccounts, die ohne explizite Überweisung auskommen, als Bezahlsystem im Laden, als Aktivierungs-Feedback-Loop um neue Zugänge für irgend eine der genannten Funktionen einzurichten, als einziges Kommunikationswerkzeug für alle Kontaktmöglichkeiten zu Bank, Händlern und Telekommunikationsanbieter und teilweise auch noch als Auto- und Haustürschlüssel. Als Recherchetool und einzige Kontaktmöglichkeit zu Freunden, die Helfen könnten, sowieso und künftig auch als Perso.
Was, wenn das kaputt oder verloren geht respektive verloren gegangen wird?
Kein Geld, keine Zugänge, keine Möglichkeit seine Identität gegenüber irgendwem zu beweisen, um Geld oder Zugänge wiederherzustellen. Und zunehmend weniger die Fähigkeit, seinen Alltag auch nur ein paar Tage ohne zu gestalten.

 

[lefskij]

Die Entropien haben mich schwindelig gemacht und ich musste mir erstmal ein kühles Bier aufmachen, um den Schreck zu verdauen aber der letzte Absatz trifft den Nagel auf den Kopf - alles schön bequem haben wollen und mit nur wenig Aufwand durch den Tag kommen, wird meiner Ansicht nach zum neuen Lifestyle.

Mal sehen, wie lange das noch gut geht

 

[psalm64]

[...] Diese App-Lösungen kombinieren in der Regel den Faktor "hat das Smartphone" und "kennt ein Passwort" oder ähnliches. [...]

Naja, immerhin meinte sie nicht irgendeine schwurbelige Sparkassen-App, die im Grunde wahrscheinlich auch nichts anderes als ein Browser ist, sondern einen "echten" Token oder Tan-Generator, nur halt als App statt in HW. Bringt aber halt auch nichts, wenn man die Banking App + Generator auf einem Gerät nutzt und das Gerät dann übernommen wird...

 

[Ghostshield]

15 stelliges Password, 9000 Jahre nach der Tabelle

 

[Schnitzelnator]

Ich benutze auch 15 Stellen, aber ich glaube ich stelle das dann mal auf 20 um. Denn dass 8 mit KI-Lösungen schon in 1 Sekunde geknackt werden können, wusste ich bisher nicht.
Am Ende ist es ja egal, wie lange das Passwort ist, wenn man einen PW-Manager zum Generieren benutzt. Aber man sollte sich damit auch nicht zu sicher fühlen und ehrlich geschrieben, würde ich auf Windows glaube ich lieber keinen PW-Manager benutzen. Schon auf Linux habe ich höchste Bedenken, aber man kann sich das ja gar nicht mehr alles merken.

Statt das einfach zu knackende "26.07.1985" kann ich als Passwort auch "Ichhabeam26.Juli1985Geburtstag" benutzen.

Ein Level darüber gilt das gleiche für Buchstaben versus Wörter: Nur wer "trzmq" genauso bereitwillig nutzt, wie "horse", der kann von einer Zufallskombination aus fünf Buchstaben sprechen. Wer leicht merkbare Wörter nutzt, arbeitet dagegen mit Wörtern.

Ganz recht. Zwar ist das Eingabealphabet dann wirklich sehr groß (Ein Wörterbuch und Daten) statt nur ein paar Buchstaben und Sonderzeichen und bietet somit auch wieder zusätzliche Sicherheit - trotzdem hat das Passwort dann nur 5 Symbole.

Passwörter (alleine) sind so was von Neunziger Jahre.... nur ein 2ter Faktor bringt die nötige Sicherheit.

Völlig richtig, denn der PC kann ja bereits kompromittiert sein. Ich bedaure es sehr, dass z.B. PCGH nicht erlaubt, z.B. FIDO-Keys oder OTP-Token zu benutzen. Wo es geht, habe ich einfach meine 2 FIDO-Keys als zweiten Faktor hinterlegt und muss nur auf den Knopf am USB-Stick drücken, wenn er beim Einloggen blinkt. Einfacher geht es nicht. Und das soll mal jemand versuchen, zu hacken - schließlich muss man ja manuell auf den Knopf drücken, sonst wird kein Token generiert.

Edit: OTP-Generator am Smartphone benutze ich auch, wo kein FIDO geht, aber das finde ich auch sehr umständlich, denn wie man sich vielleicht denken kann, brauche ich alleine schon ziemlich lange, das Ding überhaupt zu entsperren

 

[deady1000]

Wirklich cool, dass der Artikel gerade jetzt kommt. Ich höre mir aktuell nach langer Zeit mal wieder das Hörbuch Digital Fortress (deutsch: Diabolus) von Dan Brown aus dem Jahr 1998 an. Dort habe die NSA im Geheimen den Supercomputer TRANSLTR aus "drei Millionen CPUs" (heute wohl eher GPUs) gebaut, welcher angeblich mittels Brute-Force in der Lage war Passwörter mit 64-Bit DES Verschlüsselung (Vorgänger von AES) binnen Sekunden oder spätestens Minuten in der Luft zu zerfetzen.

Sicherlich ist sowas heute nicht vom Tisch. Heutzutage ist mit modernen GPU-Farmen, KI und evtl Quantencomputingauch einiges machbar, wenn es darum geht z.B. mit physischem Zugriff verschlüsselte Festplatten zu entschlüsseln. Wo ein Wille und entsprechend Geld ist, ist auch ein Weg. Aber ich glaube mit 2FA, und wenn man nicht aktuell Staatsfeind Nr. 1 ist, sind die persönlichen Inhalte momentan einigermaßen safe.

 

[freaky1978]

Lustiges Thema man sollte davon ausgehen das die meisten größeren Firmen ein Intranet betreiben.
Des weiteren ist dann dort nach 5x falsch der Spass zuende mehrfache Sperrungen in kurzer Zeit rufen, die IT
auf den Plan. Sieht also mager aus ohne MFA Angfriff und selbst dann wäre dann nach 5x Schicht.
Sprich Passwörter sind 6-8 Zeichen + den üblichen Rödel.
Lustig ist dann immer die Aussage ich war nur in Mittagspause jetzt bin ich gesperrt......oder ich bin so oft gesperrt können Sie sich das erklären wohlgemerkt in einer Netzwerkdömäane....den mesiten ist nicht bewusst
das man nur die E-Mail braucht und 5x falsches PW.....ehrlich es tut einfach nur noch weh die Dummheit

Privat ist das natürlich wieder was anderes aber was viele vergessen ist das
A. Email + Passwort benötigt werden also beides muss stimmen
B. Muss man sich echt schon saudämlich anstellen
C. Die Welt ist eh schon verloren davon ausgehend was ich schon für Passwörter habe miterleben müssen
da wäre die Welt gehackt aber so was von die Passwörter der meisten Menschen hätte jeder Dumme in der Regel
wahrscheinlich nach den üblichen Schema per Bruteforce raus


Glaubt mir das ist Fakt....habe mich schon so gekringelt vor Lachen...wie oft Laub, Wald, Liebe, Monate in den
simpelsten Varis verwendet werden

gr

fr1978

 

[Homerclon]

Wurde das nicht mal irgendwo wiederlegt?
Ich habe gehört, je öfter man das Passwort wechselt, umso einfacher ist es zu knacken. Man kann sich ja nicht endlos viele komplizierte Passwörter merken, wodurch diese immer einfacher werden.

Richtig, sogar von demjenigen der mit dieser Empfehlung anfing, bereut es inzwischen.

 

[MyticDragonblast]

Ja, du wirst bei deiner Bank in 10 Minuten abgemeldet...die reichen ja schon völlig aus. Aber Bank ist auch ein schlechtes Beispiel, die haben Gott sei Dank noch weitere Sicherheitsmechanismen um jede Transaktion zu validieren.

Beleghafte Überweisungen sind da doch viel einfacher: Dank maschineller Auswertung prüft da niemand mehr(außer bei Unleserlichkeit der Kontodaten oder für Stichproben) manuell die Unterschrift. Solange das Opfer nicht regelmäßig sein Konto überprüft ist die Kohle weg. Damit hat man schon den kritischen Schritt getan, das Opfer zu bestehlen, der Rest der Verschleierung des Verbleibs des Geldes und das evtl. Waschen, wenn man es im selben Rechtsraum halten will ist da eher das Problem.

Zettel am Monitor:
Ist ok, solange niemand anders da physisch dran kann, z.B. weil eigenes verschlossenes Büro. Erfüllt so zwar statt dem Kriterium "Wissen" das Kriterium "Besitz" einer 2FA, aber das ist für die Funktion unerheblich, solange der andere genutzte Faktor unabhängig davon ist. Im Großraumbüro oder anderen Orten wo nicht Berechtigte darauf Zugriff haben, da kann der Besitzer auch mal schnell wechseln, wenn jemand das Zettelchen an sich nimmt. Ist in dem Fall ja nichts anderes, als wenn man seinen Schlüssel nachts draußen an die Tür hängt...

 

[blautemple]

Dann installiere Dir einen? Keepass gibt es z.B. auch als Portable Version, dafür braucht man auch keine Admin-Rechte, falls das das einzige Problem ist (und es keine Whitelist/Blacklist-Regel für SW bei Euch gibt?).

Ich hoffe inständig dass das durch die IT genauso gesperrt ist. Einfach so irgendwelche Exe Dateien zu erlauben, ganz egal ob Admin Rechte oder nicht, ist sicherheitstechnischer Selbstmord.

 

[deftones]

Sehr unpraktisch, so lange Passwörter zu verwenden, welche nur in Keypass gespeichert sind.

Folgende pragmatische Lösung kann helfen: Man nimmt ein Buch zur Hand. Aus dem Buch wird ein Satz verwendet, der stur zusammengeschrieben wird. Natürlich kein Allerweltsatz. Solch ein längerer Satz ist nicht zu entschlüsseln. Der Anwender muss sich nur noch die Seite merken. Oder er verwendet ein Lesezeichen. Den Satz kann der Benutzer sich auch so gut merken.

Ansonsten sind die Probleme bekannt. Passkeys sind natürlich hier die perfekte Lösung (über Windows Hello, Fingerabdruck, Smartphone etc.), wenn diese Funktion angeboten wird. Die weniger entwickelte Methode mit doppelter Authentifizierung wäre eine gute Lösung.

Mach das jetzt aber auch schon ewig, ja das mit dem Allerweltsatz und sonstige Passwortstrategien kann man machen. Aber wenn man dann nur einen Allerweltsatz hat, bringt das ja auch nix.

Keepass ist auf dem Tabelt, Handy und Rechner. Immer da ohne Fummeln und dadurch das es auf drei Geräten ist sehr unwahrscheinlich das die Daten mal verloren gehen.

Wenn ich mal ein neues Smartphone hole, dann werde ich langsam mal auf Passkeys umsteigen. Zur Zeit lohnt es sich noch nicht so wirklich da es zu wenige Dienste sind die das unterstützen.