Nun, in ein LAN kommst du nicht SO leicht, denn im Zweifel hängt da doch irgend ein Router mit NAT davor. Du müsstest schon direkt im LAN angreifen (triviales WLAN-Passwort, oder "unbeobachtete" LAN-Dose). In dem Falle bist du dann aber schon wieder quasi im Vertrauenskreis und kannst dir viel leichter neue Rechte erschleichen, bis hoch zu der Fähigkeit, alle Passwörter vor dem HAsh abzugreifen.Piktogramm schrieb:Rechenzentren sind meist zu aufwendig genug gesichert. Bringt aber nix, ich redete ja von lokalen Netzwerken von Behörden, Firmen & Co.
Nein, das Fazit hier sieht deutlich anders aus, und zwar für ALLE Fälle :Solang das so ist muss man als Nutzer eben Passwörter verwenden, die im Zweifelsfall so sperrig sind, dass sie von Angreifern auch bei nur mangelhafter Sicherung zu unwirtschaftlich sind um sie zu knacken.*
1.) Ist der Dienst wichtig? Schau nach, ob er eine Form von Single Sign On anbietet, z.B. Login über Facebook, Google oder Twitter. Der Dienst erhält hier nur relativ triviale Daten, die wirklich sensiblen Dinge (dein Passwort) bleiben beim SSO-Anbieter.
2.) Ist der Dienst total Banane? Liegen keine wirklich wichtigen Dinge drauf? Willst du nur in einem Forum kommentieren, brauchst du eine Wegwerf-Mailadresse oder sowas? Nimm ein Bananen-Passwort. Passwort1234 ist hier tatsächlich sinnvoll. Warum? Wenn es abhanden kommt, hat der Angreifer Zugriff auf einen total trivialen Dienst, aber nicht auf eines deiner evtl. sogar kostbaren Passwörter. Denn mal ehrlich: Wer denkt sich für alle drölfzillionen Dienste wirklich neue SICHERE Passwörter aus? Irgendwann zeichnet sich da ein Schema ab...
Tja, das BSI und die Bundesregierung haben ja tatsächlich halbgare Gesetzesentwürfe zu dem Thema in der Schublade, die am Ende aber nichts bringen. Erlittene Sicherheitsverstöße sollen ja angeblich meldepflichtig werden... bloß, wer prüft das?Ansonsten, ich wäre dafür, dass solche Stümpereien strafbar wären. Derzeit ist es aber so, dass man als angestellter Admin fliegt, als freier Admin den Auftrag verliert und/oder den Anwalt der betroffenen Firmen am Hals hat.
"Wirtschaftlich" ist schon gar nicht so falsch.*Wobei mir das Argument "wirtschaftlich nicht knackbar" überhaupt nicht passt. "Technologisch in XX Jahren nicht knackbar" sollte das Ziel sein!
Einen Dienst, den du im Zweifel über mehrere Jahre nutzt und dessen Passwort du evtl. aus Bequemlichkeit nicht oder nur sehr selten wechselst, wäre mit "XX Jahre" eventuell immer noch "wirtschaftlich wertvoll". Außerdem: Folgt man halbwegs Moore's Law, dann hast du für dasselbe Problem, dass jetzt 10 Jahre dauert, "bald" nur noch 5-6 Jahre. Bevor die 10 Jahre rum sind, hast du die Komplexität auf <1 Jahr gesenkt.
Oder anderes Beispiel, wieso der Faktor Wirtschaftlichkeit wichtiger ist als der Faktor Zeit: Angenommen, du bist an eine verschlüsselte Passwortliste von Top-Managern gekommen. Wenn du sie knacken könntest, dann wäre das der 6er mit Zusatzzahl. Denkst du, hier spielt Zeit eine Rolle? Die Zeit KAUFT man sich. Das Problem wird auf ein Botnet verteilt und solange Hardware hinterher geworfen, bis es in recht brauchbarer Zeit geknackt ist. Es muss zu teuer werden, noch mehr Hardware auf das Problem zu werfen.