News Hacker erbeuten eine Milliarde US-Dollar von Banken

Cool Master · 19. Februar 2015

Nein, es kommt nicht auf die Implementierung an. Selbst wenn das PW mit AES verschlüsselt wird muss ja auch ein Algorithmus zum entschlüsseln da sein und damit wird halt einfach drauf los geraten und ist sehr sehr schnell erraten.

Ein gutes PW ist ein langes PW welches Groß und Kleinschreibung, Sonderzeichen und Zahlen hat.

deathscythemk2 · 19. Februar 2015

Cool Master schrieb:
Nein, es kommt nicht auf die Implementierung an. Selbst wenn das PW mit AES verschlüsselt wird muss ja auch ein Algorithmus zum entschlüsseln da sein und damit wird halt einfach drauf los geraten und ist sehr sehr schnell erraten.

Ein gutes PW ist ein langes PW welches Groß und Kleinschreibung, Sonderzeichen und Zahlen hat.

Natürlich kommt es genau darauf an. Du weißt doch gar nicht, was mit dem eingegebenen Passwort passiert? Weißt du ob es einen Salt bekommt? Wovon reden wir hier eigentlich, welches Passwort soll geknackt werden? Ok klar, wenn du einen TC Container findest, gebe ich dir recht, dass man da keine für Wörterbuchangriffe anfälligen PWs nehmen sollte, aber wenn du irgendwo eindringen willst, hast du mit Bruteforce eh keine Chance.

Cool Master · 19. Februar 2015

deathscythemk2 schrieb:
Natürlich kommt es genau darauf an.

Nein tut es nicht.

deathscythemk2 schrieb:
Du weißt doch gar nicht, was mit dem eingegebenen Passwort passiert? Weißt du ob es einen Salt bekommt?

Muss mich auch nicht jucken dafür ist das System zuständig. Ich habe eine Eingabe Maske mit "Passwort eingeben" dort gibt man das PW ein und die Eingabe wird durch ein Algorithmus mit der DB verglich wenn es passt ist man drin wenn nicht PW Flasch und erneut versuchen.

Da ist es sowas von egal ob man nun ein MD5 Hash hat, ein AES oder ein Blowfish Wert mit Salt. Das beste ist immer noch ein langes komplexes PW und keine Haustiernamen, Familienname, Geburtstage usw. verwenden.

deathscythemk2 · 19. Februar 2015

Und genau das meine ich doch. Bei einer Datei die man entschlüsselt, nimmt man ein "richtiges" Passwort. Aber sonst überall, gibt es vorkehrungen gegen BruteForce Angriffe, wir sind ja nicht mehr im Jahr '99

Was glaubst du was passiert, wenn du versuchst bei FB innerhalb von 10 Sekunden, 100 Passwörterzu testen? Dann kriegste ne Sperre und fertig.

Cool Master · 19. Februar 2015

deathscythemk2 schrieb:
Dann kriegste ne Sperre und fertig.

Jdownloader kann auch schon ein reconnect glaubst du Bruteforce tools können das nicht auch

cruse · 20. Februar 2015

Cool Master schrieb:
Nein! Man muss Mitarbeiter einfach nur schulen gute Passwörter zu nutzen. Vor allem von dieser "Min. X Zeichen" Tour muss man weg kommen.

Man kann sich z.B. dieses Passwort !nYg"z<nP^=2vX_K%]=* wie folgt merken:

! nut YELP golf " zip < nut PARK ^ = 2 visa XBOX _ KOREAN % ] = *

Man kann natürlich auch Sätze bilden und den ersten Buchstab immer nemen. --> MknaSbudeBin Dazu noch eine Zahl und gut ist

ich geb hier auf arbeit mein pw 20-30x am tag ein. bildschirmschoner(nicht änderbar) und abwesenheitscheck sei dank.
mit deinem pw vorschlag hab ich eine hohe failquote, wenn ich jetzt unter zeitdruck stehe...
ich will dich mal sehn, wie du, wenn ICH hinter dir stehe und dich vollquatsche mit sachen wie "na wird das heute nochmal was...kriegstes gebacken....solche anfänger..." (oder ähnlich ^^) DEIN VORGESCHLAGENES pw eingibst.
wenn du 10 jahre oder länger irgendwo arbeitest. dort 1x im monat oder alle 2 wochen ein neues pw nehmen musst, welches mit den alten nix zu tun haben soll denkst du dir also auch immer ein komplett neues aus..
zudem greife ich das mit nem keylogger ganz einfach ab ^^

das hört sich immer alles simpel an, aber in der praxis ist man dann doch zu faul auf die dauer

deathscythemk2 · 20. Februar 2015

Cool Master schrieb:
Jdownloader kann auch schon ein reconnect glaubst du Bruteforce tools können das nicht auch

Und wie schnell geht das? Btw. wenn ein Nutzername so oft versucht wird angemeldet zu werden, wird der Account halt temporär gesperrt. Wir reden hier von einem Unterschied von einigen Versuchen zu millionen in der Sekunde. Selbst bei 100 Versuchen pro Sekunde (wenn es das System zu lassen würde), bräuchte man noch ultra lange.

Cool Master · 20. Februar 2015

cruse schrieb:
mit deinem pw vorschlag hab ich eine hohe failquote, wenn ich jetzt unter zeitdruck stehe...

Dann machst du was falsch...

cruse schrieb:
ich will dich mal sehn, wie du, wenn ICH hinter dir stehe und dich vollquatsche mit sachen wie "na wird das heute nochmal was...kriegstes gebacken....solche anfänger..." (oder ähnlich ^^) DEIN VORGESCHLAGENES pw eingibst.

Das PW würde ich nicht nehmen... Es war, eher als Besipsiel zu sehen nicht als Vorschlag... Denk dir ein langen Satz aus z.B. was du in deiner Kindheit gerne gemacht hast oder etwas aus einem Hobby etc. etc...

cruse schrieb:
wenn du 10 jahre oder länger irgendwo arbeitest. dort 1x im monat oder alle 2 wochen ein neues pw nehmen musst, welches mit den alten nix zu tun haben soll denkst du dir also auch immer ein komplett neues aus..

Genau das entfällt dann ja mit meiner "Technik". Dieses PW ändern liegt einfach daran weil die meisten Leute 12345abcfd"! oder ähnlich benutzen. Wenn meine "Technik" mal in fleisch und blut übergegangen ist hat man damit 0 Probleme.

cruse schrieb:
zudem greife ich das mit nem keylogger ganz einfach ab ^^

Wow... Wenn man ein Keylogger aufm Rechner hat hat man ganz andere Probleme. "Wenn du ein Trojaner hast lösch ich dir die HDD" Genau so sinnvoll die Aussage...

cruse schrieb:
das hört sich immer alles simpel an, aber in der praxis ist man dann doch zu faul auf die dauer

Meine Technik ist aber deutlich besser als wenn der Admin meint alle 2 oder 4 Wochen das PW ändern zu lassen. Einmal ein gutes PW mit 15-20 Zeichen welches man sich selber überlegt hat und den Satz auswendig kennt hat man damit 0 Probleme.

deathscythemk2 · 20. Februar 2015

@Cool Master
Das regelmäßige ändern hat unter anderem den Vorteil, dass bereits abgefangene Passwörter nicht mehr benutzt werden können. Da kannst du auch 100 Stellen haben, wenn es einer - wie auch immer - abgefangen hat, dann kann er es solange nutzen, bis es geändert wird. Und da sind mir 1-3 Monate lieber, als immer.

Cool Master · 20. Februar 2015

Ja damit könnte man leben

ottoman · 20. Februar 2015

Cool Master schrieb:
Jdownloader kann auch schon ein reconnect glaubst du Bruteforce tools können das nicht auch

Auf was für einem Niveau hier diskutiert wird...

Cool Master · 20. Februar 2015

Und was soll daran nun auszusetzen sein? JDownloader ist eben ein Tool was vielen etwas sagt und die Funktion eines recconects ist nun auch nicht so alt, wurde aber dank UPnP deutlich leichter

ottoman · 20. Februar 2015

Der Reconnect dauert wie lang? Und nach wie viel falschen Passworteingaben wird man wieder gesperrt? Und gibt es vielleicht noch mehr Möglichkeiten, einen Client zu identifizieren, außer über die IP?

Cool Master · 20. Februar 2015

ottoman schrieb:
Der Reconnect dauert wie lang?

Öhh ka wie lang der brauch aber ~5 Sek so um den Dreh.

ottoman schrieb:
Und nach wie viel falschen Passworteingaben wird man wieder gesperrt?

Kommt aufs System an. Bei uns sind es 3.

ottoman schrieb:
Und gibt es vielleicht noch mehr Möglichkeiten, einen Client zu identifizieren, außer über die IP?

Wenn man Bruteforce Tools nutzt eher weniger im Browser natürlich über Cookies.

ottoman · 20. Februar 2015

Und diese zweistellige Anzahl an Versuchen pro Minute (!) bezeichnest du dann als BruteForce?

deathscythemk2 · 20. Februar 2015

Das habe ich ja weiter oben schon erläutert. BruteForce macht nur Sinn, wenn man z.B. den TC-Container schon hat oder die verschlüsselten Daten. Externe Server sind heutzutage relativ gut gegen simple BruteForce Attacken abgesichert. Deshalb kann man z.B. im Web auch "simplere" Passwörter wählen. Wobei man eh alles was im WWW ist, als offen betrachten kann/sollte.

Cool Master · 20. Februar 2015

@ottoman

Nein aber über das Web macht man eh kein Bruteforce alleine sondern hat ein Netzwerk dahinter welches tausende von Anfragen pro Sekunde macht.

Haldi · 20. Februar 2015

Ich hab ja keine Ahnung von professioneller Computer Sicherheit. Aber wenn sich ein Nutzer von mehreren IP Adressen gleichzeitig, oder mehr als 10x Nacheinander mit Falschem PW anzumelden versucht, sollte da nicht Iwo eine Warnleuchte angehen?

Cool Master · 20. Februar 2015

@Haldi

Das gibt es auch. Abe rnicht jeder nutzt es. Google z.B. sendet eine E-Mail wenn die was feststellen oder sich deine IP ändert (WLAN zu Mobile Daten) aber nicht jeder hat das eingebaut.

chico-ist · 21. Februar 2015

Cool Master schrieb:
Jdownloader kann auch schon ein reconnect glaubst du Bruteforce tools können das nicht auch

Dein Ernst? Ein Reconnect wie du Ihn als Beispiel anführst funktioniert auch nur deshalb, weil Du in diesem Fall (Freeload) mit keinen konkreten Nutzerdaten im System hinterlegt bist (außer eben der IP und im Browser ggf. Cookies). Die ganze Diskussion die Du hier mit deathscythemk2 führst lässt eher darauf schließen, dass Du dein Know-How entweder aus sehr alten oder sehr, sehr rudimentären Quellen beziehst/bezogen hast. Also bitte bring dich auf einen halbwegs aktuellen Stand, sonst machst Du dich nur weiter lächerlich - nur ein gut gemeinter Rat.

News Hacker erbeuten eine Milliarde US-Dollar von Banken

Fleet Admiral

Commander

Fleet Admiral

Commander

Fleet Admiral

Fleet Admiral

Commander

Fleet Admiral

Commander

Fleet Admiral

Lt. Commander

Fleet Admiral

Lt. Commander

Fleet Admiral

Lt. Commander

Commander

Fleet Admiral

Admiral

Fleet Admiral

Lt. Commander

Ähnliche Themen