ComputerBase Menü
Aktuelles

XKCD Passwort Stärke

Piktogramm schrieb:
Rechenzentren sind meist zu aufwendig genug gesichert. Bringt aber nix, ich redete ja von lokalen Netzwerken von Behörden, Firmen & Co.
Zum Vergrößern anklicken....
Nun, in ein LAN kommst du nicht SO leicht, denn im Zweifel hängt da doch irgend ein Router mit NAT davor. Du müsstest schon direkt im LAN angreifen (triviales WLAN-Passwort, oder "unbeobachtete" LAN-Dose). In dem Falle bist du dann aber schon wieder quasi im Vertrauenskreis und kannst dir viel leichter neue Rechte erschleichen, bis hoch zu der Fähigkeit, alle Passwörter vor dem HAsh abzugreifen.

Solang das so ist muss man als Nutzer eben Passwörter verwenden, die im Zweifelsfall so sperrig sind, dass sie von Angreifern auch bei nur mangelhafter Sicherung zu unwirtschaftlich sind um sie zu knacken.*
Zum Vergrößern anklicken....
Nein, das Fazit hier sieht deutlich anders aus, und zwar für ALLE Fälle :
1.) Ist der Dienst wichtig? Schau nach, ob er eine Form von Single Sign On anbietet, z.B. Login über Facebook, Google oder Twitter. Der Dienst erhält hier nur relativ triviale Daten, die wirklich sensiblen Dinge (dein Passwort) bleiben beim SSO-Anbieter.
2.) Ist der Dienst total Banane? Liegen keine wirklich wichtigen Dinge drauf? Willst du nur in einem Forum kommentieren, brauchst du eine Wegwerf-Mailadresse oder sowas? Nimm ein Bananen-Passwort. Passwort1234 ist hier tatsächlich sinnvoll. Warum? Wenn es abhanden kommt, hat der Angreifer Zugriff auf einen total trivialen Dienst, aber nicht auf eines deiner evtl. sogar kostbaren Passwörter. Denn mal ehrlich: Wer denkt sich für alle drölfzillionen Dienste wirklich neue SICHERE Passwörter aus? Irgendwann zeichnet sich da ein Schema ab...

Ansonsten, ich wäre dafür, dass solche Stümpereien strafbar wären. Derzeit ist es aber so, dass man als angestellter Admin fliegt, als freier Admin den Auftrag verliert und/oder den Anwalt der betroffenen Firmen am Hals hat.
Zum Vergrößern anklicken....
Tja, das BSI und die Bundesregierung haben ja tatsächlich halbgare Gesetzesentwürfe zu dem Thema in der Schublade, die am Ende aber nichts bringen. Erlittene Sicherheitsverstöße sollen ja angeblich meldepflichtig werden... bloß, wer prüft das?

*Wobei mir das Argument "wirtschaftlich nicht knackbar" überhaupt nicht passt. "Technologisch in XX Jahren nicht knackbar" sollte das Ziel sein!
Zum Vergrößern anklicken....
"Wirtschaftlich" ist schon gar nicht so falsch.
Einen Dienst, den du im Zweifel über mehrere Jahre nutzt und dessen Passwort du evtl. aus Bequemlichkeit nicht oder nur sehr selten wechselst, wäre mit "XX Jahre" eventuell immer noch "wirtschaftlich wertvoll". Außerdem: Folgt man halbwegs Moore's Law, dann hast du für dasselbe Problem, dass jetzt 10 Jahre dauert, "bald" nur noch 5-6 Jahre. Bevor die 10 Jahre rum sind, hast du die Komplexität auf <1 Jahr gesenkt.
Oder anderes Beispiel, wieso der Faktor Wirtschaftlichkeit wichtiger ist als der Faktor Zeit: Angenommen, du bist an eine verschlüsselte Passwortliste von Top-Managern gekommen. Wenn du sie knacken könntest, dann wäre das der 6er mit Zusatzzahl. Denkst du, hier spielt Zeit eine Rolle? Die Zeit KAUFT man sich. Das Problem wird auf ein Botnet verteilt und solange Hardware hinterher geworfen, bis es in recht brauchbarer Zeit geknackt ist. Es muss zu teuer werden, noch mehr Hardware auf das Problem zu werfen.
 
Meine Frage bezieht sich jetzt auf TrueCrypt, DiskCryptor oder VeraCrypt:

Welche Methode bietet sich hier an, um ein sicheres Passwort zu haben?
 
Hier existiert das Risiko nicht, dass irgend ein flachpfeifiger Dienstanbieter das PW im Klartext speichert oder nur als (am Ende noch ungesalzenes) MD5. Genauso hast du keinen Drittanbieter, der evtl. ne Laus im Pelz hat, die deine (Klartext-)Passwort-Übermittlung abfängt.

Wenn du also nicht gerade über einen lokal bei dir installierten Hard- oder Software-Keylogger abgefischt wirst, gilt für die Passwörter: Everything counts in large amounts.
- Nimm nichts, dass für Wörterbuch-Attacken (inkl. üblicher Zeichenersetzungen wie Leetspeak oder 1=>!) anfällig ist. Man darf aber gespannt sein, wie eine Passphrase wie z.B. "One Fierce Beer Coaster" über eine Wörterbuchattacke gemeistert werden soll.
- Nimm nichts, was mit dir persönlich zusammen hängt.
- Bigger IS better! Ein Zeichen länger ist fast immer stärker als ein Zeichen mehr im Zeichensatz.
- Leerzeichen sind toll! Sie erhöhen die Merkbarkeit für dich (denn: Passphrase > Password) und die Komplexität für den Angriff.... außer Wörterbuch.
 
@Daaron

Physischer Zugriff aufs Lan darf nie bedeuten, dass man darauf aufbauend Zugriffe auf irgendwas bekommt und im Zweifelsfall muss verwendete Software auch dann noch sicher sein, wenn Angreifer Netzwerkzugriff haben (egal ob man die Zugangsdaten auch durch schlampige Nutzer bekommt, technisch muss das trotzdem abgesichert werden!). Was den Router angeht, es geht nichts über Emailanhänge :). Ok hat man Schädline auf den Servern ist es immer schwer, aber auch hier kann, nein muss, Software so gestaltet werden, dass eine sinnvolle Rechteverwaltung und sinnvoille Sicherungsmaßnahmen Schaden vermeiden und nicht sofort alle Eingeweide präsentieren.


Was SSO angeht, das kann man genauso als Single Point of Failure ansehen. Zudem die Verknüpfung solcher Dienste auch dazu führt, dass Daten zentral von diesen Anbietern noch besser gesammelt werden können, da deine Daten besser verknüpft werden. Für viele Private, Behörden und Firmen sind solche Lösungen damit komplett raus.
Auch finde ich solche "Wegwerfpasswörter" nicht sinnvoll. Ein zufälliges, schweres Passwort kann man recht problemlos mit Passwortmanagern verwalten, der Mehraufwand ist damit gering. Zudem gibt es kaum etwas, was nicht irgendwie von Wert ist, wenn man Anwendungen dazu finden kann. Schon Accounts in Foren sind gut einsetzbar, wenn man sie als Sockenpuppen missbrauchen kann (da sind Accounts mit einem Zeitraum X an Aktivität und Reputation durchaus praktisch und von Wert) oder wie hier eine Handelsplattform angeboten wird etc. pp.


Du argumentierst in Sachen wirtschaftliche vs. technische Angreifbarkeit für mich eher in meine Richtung, der technischen Hürde und nicht der Wirtschaftlichen :)
Die Wirtschaftlichkeit von Angriffen steigt natürlich genauso wie die technische Verfügbarkeit und dank Botnetzen für zwielichtige Gesellen kommen da nur sehr geringe Kosten zustande. Hingegen würde ich eine technische "Schranke" nur dann als valide bewerten, wenn die exponentielle Steigerung von Rechenleistung bei der Bewertung mit einfließt.
Wobei natürlich kein Dienst Passwörter länger als 1-2Jahre unverändert akzeptieren sollte. Vor allem wenn es um exponierte Stellen wie Management geht.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Boogeyman
Leserartikel Windows Rechner sicher einrichten und wichtige Verhaltensregeln
2 3 4
Antworten
69
Aufrufe
158.397
Boogeyman
Boogeyman
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz