ComputerBase Menü
Aktuelles

Praktische Passwortsicherheit heute

Wie hat einer hier im Forum geschrieben, es gibt keine 100% Sicherheit, nur verschiedene Grade der Unsicherheit :D.

Man muss davon ausgehen, dass es keine Verschlüssungsart bzw. Programm gibt, welches nicht einen Backdoor beinhaltet.
Meist sind schon bei der Entwicklung Personen beteiligt, die dafür sorgen.

Für solche, wenn auch sensible Daten, wird sich aber kein Staat interessieren und damit langt
ein Truecrypt Container mit einer Schlüsseldatei, die sich auf einem Token bzw. Smardcard befindet aus.
Wichtig wäre in diesem Fall aber ein Backup auf einer zweiten Karte, damit bei einem Verlust / Defekt nicht die Daten verloren sind.

Auch würde ich mich nicht auf das Online Backup verlassen bzw. überhaupt nutzen, sondern selbst für die Sicherung sorgen, was natürlich extrem aufwendig sein kann.
 
Sorry, das ist Schwachsinn, Truecrypt ist OpenSource, daher kannst du ja mal im Sourcecode selbst nach deinen angeblichen Backdoors suchen. ;)
 
Green Mamba schrieb:
Sorry, das ist Schwachsinn, Truecrypt ist OpenSource, daher kannst du ja mal im Sourcecode selbst nach deinen angeblichen Backdoors suchen. ;)
Zum Vergrößern anklicken....

Nur weil der Quellcode offen und von jedermann einsehbar ist, bedeutet das nicht, dass so was nicht gemacht wird.
Gerade bei der TrueCrypt Foundation mit Sitz in den USA wäre ich mir nicht so sicher....
Quellcode ließt sich nicht wie ein Buch und ist reichlich komplex so das gekonnte Manipulationen, die ständig der Situation angepasst werden kaum auffallen, siehe Backdoor OpenBSD IPSec-Stack.
Trotz der Behauptung des Softwareentwicklers Gregory Perry konnten diese bis heute nicht nachgewiesen werden, obwohl einige Entwickler auf der Gehaltsliste des FBI standen ;)
 
Die üblichen Verschlüsselungs-Algorithmen sind ja nicht vom Programm abhängig, also kann das Programm da wohl kaum irgendwelche Backdoors verursachen. Halte ich für etwas sehr paranoid, die Vermutung.
 
amdstw schrieb:
Mit geht es z.B. um Online-Backup von sehr sensiblen privaten und geschäftlichen Daten. Dabei möchte ich mich nicht auf die Verschlüsselung der Serviceanbieters verlassen.
Zum Vergrößern anklicken....

Da wäre es am sichersten, wenn die Daten erst gar nicht erreichbar wären. Ein Hacker kann nur hacken, wenn er was zum Hacken hat. Kopiert er sich geschützte Daten, kann er beliebige Geschütze auffahren. Liegen die Daten zu Hause im Schrank wird (hoffentlich :)) auch in ferner Zukunft keine Technologie drauf zugreifen können.

Zu Passwörtern würde ich mir einen Satz ausdenken. Welche praktischen Passwörter sind heute und in Zukunft noch sicher: wPpShUiZnS oder wpPShuIZns oder 555WpPsHuIzNs555 usw.
 
Hallo Wilhelm14
Vor einen Einbruch zu Hause kann man sich leider auch nicht zu 100% schützen dem zu folge sind die Daten im Schrank auch nicht sicher,wie auch beim PC denn 100% Schutz gibt es nicht und wird es nie geben,aber deshalb sollte man auf keine Fall Paranoid werden.:freaky:
mfg
 
@Matthias80: Der Fakt das man mit Grafikkarten die Zeit für einen Bruteforceangriff massiv verkürzen kann ist ja nun kein Geheimniss mehr. Noch schneller gehts mit Amazons Cloud Dienst.

Doch auch dagegen kann man mit gesalzenen Hashes und mehrfachem Hashen eines Passworts (mehreren Runden) schützen.

In der aktuellen c't ist da ein sehr schöner Artikel zu drin. Ausgabe 13/2011 Seite 148.
 
Um keinen neuen Beitrag aufzumachen schließe ich mich hier mal an:

Motiviert durch dieses Comic habe ich mal über die richtige Wahl der Passwörter nachgedacht.

Ist es nicht eigentlich viel sinnvoller, ein möglichst langes, aber besser zu merkendes Passwort zu benutzen --> ohne Sonderzeichen, als ein kürzeres, was dafür Sonderzeichen enthällt?

Generell muss wissen, wie typische Passwortknack Programme vorgehen, um entsprechend sein Passwort zu wählen (siehe Comic...)
Aber grundsätzlich fängt Der Hacker ja mit kurzen Passwörtern an, probiert alle oder wahrscheinliche Kombinationen aus und fügt jedes Mal ein Zeichen hinzu. Dabei steigt der Aufwand mit jedem Zeichen enorm an. Ergo ist meiner Logik nach ein 40 Zeichen Passwort, welches eine zufällige aber gut zu merkende Anordnung von Wörtern ist besser, als ein 12 Zeichen Passwort mit Groß-/Kleinschreibung, Zahlen und Sonderzeichen.

Also das Passwort "DeineMuddaSchwitztBeimKacken" ist besser als "Pai34._)x"

Was sagt ihr dazu?
 
Korrekt. Ein Mensch hält schwierig zu merkende Passwörter für schlecht zu erraten und daher sicher. Eine Knacksoftware kennt aber nur Kombinationen und keinen Unterschied im Schwierigkeitsgrad. Die Länge ist entscheidend. Steht vorne im Thema auch so drin. http://www.1pw.de/brute-force.html
Leider gibt es manchmal Vorgaben bei der Passwortwahl, z.B. 6-8 Zeichen, Groß-/Kleinschreibung gemischt, mindestens ein Sonderzeichen usw. - obwohl ein simples und langes Passwort besser wäre.

Auch sehr gut, aber selten genutzt ist eine Begrenzung der Wiederholungen oder ein vorgeschalteter Zeitpuffer. Vierstellige EC-Karten Pins kann man nur dreimal probieren, genau wie SIM-Karten Pins. Oder die Passworteingabe bei manchen Routern. Bis zur nächsten Eingabemöglichkeit verstreichen immer mehr Sekunden. Dann gibt es keine Brutforce Möglichkeit mit 1000 oder mehr Versuchen pro Sekunde, sondern nur 5 pro Minute.
 
Ok, das hört sich ja schonmal gut an.

Man liest ja überall immer wieder (auch hier im Beitrag) von der immer höheren Geschwindigkeit, in der Passwörter geknackt werden. Mit aktuellen Grafikkarten kann man ja mehrere Milliarden Passwörter pro Sekunde ausprobieren. Dagegen helfen dann auch "sichere" und längere Passwörter nicht. Von daher muss dann vom System eine (künstliche) Verlangsamung der Passworteingabe, wie du sie beschrieben hast, implementiert sein, damit Passwörter wieder sicherer werden. Dies ist aber natürlich nur bedingt möglich. Wie zum Beispiel willst du z.B. eine Festplatte mit dieser Methode absichern? Dabei gibt es ja kein vorgeschaltetes Programm oder ähnliches, was die Eingabe Passwörter verlangsamt.
Wenn ich nun meine Festplatte mit Truecrypt verschlüssel, dann bekommt jeder Großrechner das Passwort doch innerhalb angemessener Zeit heraus - wenn der Rechner geklaut oder beschlagnahmt wird.
Wie kann ich z.B. einen solchen Fall verhindern?

Ok, alles Quatsch, diese Panikmache mit den mehreren Milliarden Passwortversuchen pro Sekunde ist so praktisch nicht umsetzbar. Zumindest bei Truecrypt dauert eine Passwort-"anfrage", also jeder Versuch schonmal eine erhebliche Zeit, sodass man gar nicht auf diese hohe Zahl an Versuchen pro Sekunde kommt.
Letztenendes kann man abschließend sagen, dass ein möglichst langes Passwort scheinbar zufälligen Zeichen relativ sicher ist - aber auch nur in Kombination mit einem guten Verschlüsselungsalgorithmus plus Verschlüsselungstechnik. (Das beste Passwort nützt nichts, wenn Standard-Hashtabellen verwendet werden)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

ace-drink
Passwortsicherheit in Zeiten von CUDA? Helfen Keyfiles?
Antworten
1
Aufrufe
1.017
CPat
CPat
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz