XKCD Passwort Stärke

[Zyboarg]

Hey Leute,
ich habe neulich auf Reddit einen Post im Twitch Subreddit gefunden, in welchem es um die Passwort Sicherheit von bestimmten Passwörtern ging.
Es wurden 2 Quellen verlinkt die beide sehr interessant wirkten.
Comic
Erklärung zum Comic
Ist es also besser ein "einfaches" Passwort aus normalen Wörtern zu benutzen oder einen kryptischen Code so wie z.B. [[]|11|3/-\?£ (ComBase)
Ein Bsp. für ein "hacksichereres" Passwort wäre also z.B. "ComputerForenPasswortGenerator" ?
Zum einen sind solche Passwörter ja auch um einiges Nutzerfreundlicher und man braucht sich nicht immer Post-It Notes für jede Website zu machen ^^

LG Zyboarg

 

[BlubbsDE]

ComputerForenPasswortGenerator ist zu 100% kein sicheres Passwort.

Und Deine Links sind auch nur wenig lehrreich.

http://de.wikipedia.org/wiki/Passwort

Etwas zum lesen. Beim vertiefen hilft Google.


Besser und benutzerfreundlicher als PostIts sind Passwortverwalter. Wie zB KeePas. Seit dem ich dies nutze, kenne ich meine eigenen Passwörter auch nicht mehr. Sie kann man sich einfach nicht merken.

 

[Rehrei]

ein sicheres Passwort machen länge und auch "Zufälligkeit" der Zeichen aus. Also nicht nur Wörter und auch nicht nur Zahlen etc.

Wie mein Vorredner bereits sagte: am besten man verwendet KeePass oder andere Passwortmanager mit einem wirklich sicheren und auch langen Masterpasswort und danach lässt man sich alle Passwörter generieren. So muss man sich nur ein Passwort merken und trotzdem ist alles "sicher" und geordnet.


LG

Rehrei

 

[DunklerRabe]

Bei Passwörtern gibt es ein paar Regeln. Einige davon sind leider überholt, weil sich die Zeiten ändern, die Regeln aber teilweise sehr alt sind.

Was bleibt:

Passwörter werden heutzutage häufig gestohlen. Dann ist es völlig irrelevant wie lang oder komplex das Passwort ist. Die Geschichten von wegen Passwörter sollten lang und komplex sein sind damit überholt. Damit würde man sich vor z.B. bruteforcing schützen, weil es viel zu lange dauern würde diese Passwörter alle durchzuprobieren. Die Loginmechanismen schützen häufig schon automatisch davor, indem die Anzahl begrenzt wird.

Wie in jedem Bereich der IT Security muss man sich u.A. fragen, wovor genau ich mich schützen will bzw. was das Angriffsszenario ist.

"ComputerForenPasswortGenerator" ist ein völlig akzeptables Passwort und sogar besser als "[[]|11|3/-\?£" in manchen Szenarien. Und in allen anderen gleichwertig.

Die wichtigste Regel überhaupt ist verschiedene Passwörter zu nutzen und nicht überall das gleiche, vorallem dort, wo der zugehörige Login Name auch gleich ist. Das alleine bringt schon mehr Sicherheit als die Zusammensetzung des Passworts.

 

[HappyFeet]

Ganz einfach die Passwortlänge ist im Exponenten bedeutet du benötigst ein langes Passwort. Die Basis ist jedoch dein Zeichenvorrat.
Genau dort wird gerade +ber dein gewähltest Beispiel gemekert. Das "ComputerForenPasswortGenerator" hat nur das Alphabet aus groß und kleinschreibung.
also 52^28=4.13130192e44
(die 52 kommt aus dem Alphabet 26 klein + 26 groß buchstaben die 28 sind die Zeichen deines Passworts)

Würdest du jetzt dein Passwort mit Zahlen und sonderzeichen ausschmücken ala 1! würde deine Basis steigern.
also
ComputerForenPasswortGenerat1!
96^28=3.1885595e+55

Dein gewähltes Passwort ist an sich sicher.
Bei einem Cluser mit 50 HIghendkarten benötigt man noch immer 1. 180 771 222 614 92e +29 Jahre
Jedoch gibt es mängel, du verwendest normale Wörter die man mit Wörterbuchattacken erraten kann + Bruteforce wäre dein Passwort geknackt.

Also müsstest du nur noch etwas einbringen was man nicht aus einem Wörterbuch rausfischen kann.


Das wichtigste ist immerhin die Produktivität. Niemand will sich ein Kryptopasswort merken. Wie wärst mit: "IchmagComputerBase1^IchmagComputerBase1^"
Wir haben hier ein 40 Zeichen Passwort mit einem Zeichenvorrat von 96. Und wer mag nicht Computerbase

 

[Daaron]

Passwörter werden heutzutage häufig gestohlen. Dann ist es völlig irrelevant wie lang oder komplex das Passwort ist.

Es werden aber nicht die KLARTEXT-Passwörter gestohlen. Das passiert nur, wenn entweder der beklaute Dienstleister ein Vollidiot ist und nix von Hashing versteht, oder wenn der Angreifer sich das Passwort direkt beim User besorgt, über Trojaner oder Phishing.
In den meisten Fällen werden aber Datenbanken/Datenbank-Auszüge von Anbietern gestohlen, in denen die Passwörter eben NICHT als Klartext stehen, sondern üblicherweise als Einweg-Hashes.
Hier greift dann doch wieder die Länge bzw. Komplexität des Passworts. Je länger/komplexer, desto schwieriger ist es, den Hash zu knacken (bzw. zu reproduzieren)

Damit würde man sich vor z.B. bruteforcing schützen, weil es viel zu lange dauern würde diese Passwörter alle durchzuprobieren. Die Loginmechanismen schützen häufig schon automatisch davor, indem die Anzahl begrenzt wird.

Darauf sollte man aber nicht vertrauen. Ich hab schon zu viele Dienste gesehen, bei denen so ein SChutz eben nicht gegeben war.

 

[Chibi88]

Also habe ich ein "sichereres" Passwort, wenn ich einfach nen Satz schreibe und da noch Zahlen oder Zeichen mit einbaue?

trololomeinpasswortistgeheim55412

So?

Kann ich mir schwer vorstellen.

 

[Daaron]

Doch, denn die Zahlen erhöhen den potentiellen Zeichenpool.

 

[Chibi88]

Komisch

Hatte bisher immer einen Satz genommen und von diesem die Anfangsbuchstaben genommen und mit Zahlen versehen. Wenn ich aber jetzt einfach 5-6 Wörter aneinanderreihe und im Endeffekt 30 oder 40 Zeichen habe, mit nen Paar Zahlen drin, ist das sicherer?

Wtf? o_O

 

[DunklerRabe]

Es werden aber nicht die KLARTEXT-Passwörter gestohlen.

Und ob das passiert, das ist leider die Realität.
Und bei den Hashes ist es ja so, dass die Länge und Komplexität nichts daran ändert wie schwer, oder ob überhaupt, man es wieder in Klartext umsetzen kann.

Darauf sollte man aber nicht vertrauen. Ich hab schon zu viele Dienste gesehen, bei denen so ein SChutz eben nicht gegeben war.

Ja korrekt, aber es ist ja auch nur ein "würde". Lange und komplexe Passworte WÜRDEN nur vor bruteforcing schützen. Das kann man halt völlig vergessen, wenn Passwörter sowieso eher gestohlen werden. Und für den Hash ist es ziemlich egal wie das Passwort genau lautet.

Die einzige Ausnahme ist hier natürlich, wenn der Algorithmus bekannt und reproduzierbar ist und es sich um einen bekannten Hash handelt.

Hatte bisher immer einen Satz genommen und von diesem die Anfangsbuchstaben genommen und mit Zahlen versehen. Wenn ich aber jetzt einfach 5-6 Wörter aneinanderreihe und im Endeffekt 30 oder 40 Zeichen habe, mit nen Paar Zahlen drin, ist das sicherer?

Ja, natürlich. Zumindest in manchen Szenarien. Und in allen anderen ist es egal.

Wenn dein Passwort im Klartext gestohlen wird, dann ist es egal.
Wenn dein Passwort als Hash gestohlen wird, dann ist es höchstwahrscheinlich egal.
Wenn dein Passwort durch bruteforcing ausprobiert werden kann, dann ist es sicherer.

Und im Prinzip spielen die Zahlen darin noch nicht mal eine sonderlich große Rolle. Allein die Länge ist ausschlaggebend.

 

[Der-Orden-Xar]

Jain.
Das Passwort wäre sicherer, wenn es ums reine Brute-Forcen geht.
Wenn jetzt aber ein Passwort das am Anfang genannte ist oder auch "C0mput3rF0renP4sswortG3nerator" sollteda ein Wörterbuchangriff dir dein schönes PW um die Ohren schlagen.

das "schöne" ist übrings, das vermeintliche Sicherheitssteigerungen seitens des Seitenbetreibers die Sicherheit senken können. Beispiel (das mir so als real existierend bekannt ist):

Eine Seite möchte ein (min) 8 Zeichen langes Passwort, systembedingt funktionieren nur Groß- und Kleinbuchstaben sowie Ziffern.
Also minimale Brute-Force Sicherheit:
62^8 = 218340105584896 ~ 2,18e14 Möglichkeiten entspricht ca ~ 47,6 Bit sprich "nur" knapp über 218 Billionen Möglichkeiten
Nun hat besagte Seite aber die Vorgabe, min einen Großbuchstaben, min einen Kleinbuchstaben und min eine Ziffer.
Die Minimalsicherheit liegt jetzt nur noch bei
26*26*10*62^5 = 6193057944320 ~6,19*e12 Möglichkeiten entspricht ca 42,5 Bit
Die so genannten Sicherheitsmaßnahmen, dass auch der letzte DAU aus ein paar Zeichen mehr Wählen muss sorgen dafür, dass man bei dem Minimum von 8 Zeichen mal eben mehr als 5 Bit verliert, genauer ca 5,1398 Bit oder einen Faktor von ca 35,25 in der benötigen maximalen Rechenzeit (wenn der letzte versuch des Brute-Force erst das Passwort liefert).

Warum sowas dann verwendet wird? Damit nicht jeder Depp 123456 als Pw nimmt, das soll ja immernoch extrem beliebt sein

 

[Piktogramm]

"ComputerForenPasswortGenerator" ist kein sicheres Passwort und auch durch hinzufügen einzelner Sonderzeichen/Zahlen/Abwandlungen wird das nicht besser.

Das Passwort besteht aus 4 Elementen (Computer, Foren, Passwort, Generator) deutscher Sprache. Dabei sind die einzelnen Worte wohl ganz gut im Stammwortschatz von internetaffinen Personen zu finden. Die Anzahl der Möglichkeit befindet sich damit bestenfalls irgendwo bei 5.000^4 = 6,26e14.
Da Attacken mit typischen Wortschatzen mittlerweile üblich sind und meist auch gleich eine Varianz von 1-6Zeichen (abweichend Groß/Kleinschreibung, Sonderzeichen im Wort etc.) abdecken, bringt das Passwort nix. Zwar sind solche Attacken meist nicht in einen der ersten beiden Durchläufe eines Angriffs üblich, aber unüblich genug sind sie auch nicht. Vor allem lässt sich der Wortschatz oftmals sehr gut feststellen! Hier im Forum muss man nur die Posts des letzten Monats durchforsten und kann schon einen sehr guten Querschnitt des Wortschatzes bilden und damit wohl auch Fachtermini abfangen, die für Nutzer dieses Forums üblich sind und entsprechend wahrscheinlich in Passwörtern vorkommen.


Auch der Tip von XKCD ist mittlerweile nur noch bedingt brauchbar. Genauso wie andere Tips. Alles was sich formal in einfache Regeln gießen lässt, kann man genauso gut in Algorithmen gießen um die Passwörter zu knacken. Oder noch besser, man lässt Computer die Tips zig tausend fach anwenden, wertet die so generierten Passwörter aus und findet da Muster. Schlicht und ergreifend weil menschliche Sprache auf Mustern aufbaut und Muster sind schlecht für die Entropie

Beim Poster über mir: Buchstaben durch leetspeak zu ersetzen ist in den besseren standard PW-Knackern schon lang enthalten. Da werden fixe Regeln angewandt und Computer lieben fixe Regeln!

Unterm Strich: Solang es von Menschen lesbar und leicht merkbar ist, solang ist die Entropie wahrscheinlich klein genug um mit einer realistischen Menge Rechenleistung das Passwort knacken zu können.

 

[Daaron]

Hatte bisher immer einen Satz genommen und von diesem die Anfangsbuchstaben genommen und mit Zahlen versehen. Wenn ich aber jetzt einfach 5-6 Wörter aneinanderreihe und im Endeffekt 30 oder 40 Zeichen habe, mit nen Paar Zahlen drin, ist das sicherer?

Ja, im Endeffekt schon.
Die Schwierigkeit, ein Passwort wirklich zu knacken (nicht: zu stehlen) liegt in dessen Komplexität. Wenn man die komplette Ausnutzung des Zeichensatzes zu Grunde legt, hat man für ein Passwort der Länge X mit einem Zeichensatz von Y Zeichen eine Auswahl von Y^X Passwörtern. Im Mittel muss beim Brute-Force die Hälfte davon durchprobiert werden.
Wenn du also, bei Beibehaltung des Zeichensatzes, nur ein Zeichen mehr nimmst, steigt die Komplexität im Idealfall auf X^(Y+1). Nimmst du hingegen ein zusätzliches Zeichen auf, kommst du auf (X+1)^Y. Beides ist sehr effizient.

Und ob das passiert, das ist leider die Realität.

Wo denn? Also jetzt abseits von gezielten Attacken per Phising oder eben Trojaner-Einsatz? Wie viele Dienstanbieter sind noch so bescheuert, wahlweise Klartext-Passwörter zu verwenden oder unsalted md5, was genauso "gut" ist...

Und bei den Hashes ist es ja so, dass die Länge und Komplexität nichts daran ändert wie schwer, oder ob überhaupt, man es wieder in Klartext umsetzen kann.

Oh doch. Du kennst einen (oder viele) Hashes, im Zweifel kennst du noch den Salt und den Hashing-Mechanismus. Du willst aber den Klartext. Also schickst du so lange per Brute-Force Klartext durch den Algorithmus, bis der gesuchte Hash raus kommt. Die Komplexität des Klartext schlägt sich hier direkt auf den Aufwand des Angriffs wieder.
Gerade, wenn Webanwendungen noch keine wirklich guten Hashing-Funktionen verwenden (Magento ist z.B. ziemlich mau, Wordpress sowieso), dann ist eine Brute-Force - Attacke auf den Hash durchaus veritabel, und plötzlich kommt die Komplexität wirklich eine Schlüsselrolle zu.

Die einzige Ausnahme ist hier natürlich, wenn der Algorithmus bekannt und reproduzierbar ist und es sich um einen bekannten Hash handelt.

Nimm doch z.B. mal dieses gehashte Passwort: "$2a$07$usesomesillystringfore2uDLvp1Ii2e./U9C8sBjqp8I90dH6hi"
Hast du da noch IRGEND welche Fragen, welcher Algorithmus verwendet wurde, und welcher Salt? Dabei ist obiger Hash quasi gehobener Netz-Standard

 

[ascer]

Ich kenne durchaus auch noch viele Beispiele von Kleinstunternehmen, Dorfämtern oder kleineren Schulen, wo Individualsoftware im Webbereich oder herkömmlichen Umfelden geschrieben und verwendet wird, welche ausschließlich Klartextpasswörter verwendet.

Oft wird derartige Software von Laien geschrieben und auch wieder verwendet, ohne auch nur die geringste Vorstellung von Sicherheit im IT-Bereich zu haben und darin auch gar keine Notwendigkeit zu sehen.

Gerade von Lehrern und Beamten habe ich sehr oft Sätze gehört wie z.B.: "wozu überhaupt verschiedene Benutzeraccounts", "wir nutzen schon seit Jahren das Kennwort 'Waldschule', das kann sich jeder gut merken", "wir benötigen eine umfassende Passwortliste für die Verwaltung, mailen sie uns doch bitte eine Liste als pdf für unser Archivprogramm", "der Computer im Sekretariat läuft nicht mehr korrekt, dass Antivirenprogramm meldet einen Trojaner, hier sind die Zugangsdaten zu dem Computer, bitte beheben sie das Problem".

Ebenso beliebt waren Sachen wie: wozu Enterprise WPA2? Wir sind hier nur 20 Mitarbeiter im Amt, "wlan-amt" mit "WLAN" als Kennwort hat immer gut funktioniert.
Oder auch Klasse: wozu getrennte Netze? Wozu einen Linux Server? Wozu neue Zugänge? Unser Notenprogramm läuft eh nur unter Windows 2000 und wir wollen an dem Rechner schon auch im Internet arbeiten und Daten im Netzwerk tauschen bzw. darauf zugreifen.

Ich könnte den ganzen Tag so weitermachen ^^

 

[InteGralFormat]

Ist es also besser ein "einfaches" Passwort aus normalen Wörtern zu benutzen oder einen kryptischen Code so wie z.B. [[]|11|3/-\?£ (ComBase)
Ein Bsp. für ein "hacksichereres" Passwort wäre also z.B. "ComputerForenPasswortGenerator" ?

Diese Frage lässt sich so NICHT beantworten.

Dazu eine Vorabbemerkung: Passwörter werden nicht gebrochen, sondern umgangen. Daher ist die praktische Passwortsicherheit meist eine andere, als die theoretische, was meist vergessen oder komplett ausgeblendet wird. Die theoretische Sicherheit sagt also erstmal herzlich wenig.

Aus dieser Hinsicht muss man immer den Zusammenhang betrachten zwischen: Angreifer, Software/Hardware bzw. Implementierung, Nutzer VOR dem Rechner.

Mit Hinblick auf die ganze NSA-Geschichte der letzten Monate muss man erstmal festhalten, dass es fast keine Software/Hardware gibt, die man nicht angreifen kann. Es gibt wohl einige Programme/Mechanismen, die (wenn richtig benutzt) funktionieren, wie z.B. OTR-Messaging und PGP (wenn ich mich nicht irre).

Die sinnvollste Unterscheidung ist wohl die, nach Angreifer. Wer greift dich an? Die NSA? Die haben 0-days, die haben die Netzwerkkontrolle, die haben notfalls enorme bruteforce Kapazitäten, die haben ggf. Generalschlüssel bzw. Hintertüren in Software. Wenn du deine Passwortsicherheit gegen die NSA vergleichen willst, dann musst du zwingend die Sicherheit der Software/Hardware und Übertragungskette betrachten.

Betrachtest du einen Malware-Bot, der versucht, dein eMailkonto zu hacken, dann stellt sich ebenfalls die Frage nach der Sicherheit der Implementierung von Schutzmechanismen. Der letzte Promihack bei Apple hat es ja gezeigt, wie schnell das schief gehen kann, obwohl die Passwörter vielleicht sogar "sicher" waren.
Wenn der eMailanbieter nur 10 Falscheingaben zulässt, ehe er das Konto sperrt, spielt es eine untergeordnete Rolle, ob du jetzt eine kürzere, zufallsgenerierte Zeichenkette oder eine längere Wortakkumulation verwendest. Wenn diese Schutzfunktion nicht implementiert ist, greifen immer noch andere Limitierungen, wie z.B. Rechenkapazitäten oder Bandbreiten. Von daher sollte man ab einer gewissen Passwortlänge ohnehin sicher gegen bruteforce sein.

Es macht tendenziell ab dann einen Unterschied, wenn jemand z.B. Zugriff auf die Datenbank mit den verschlüsselten Passwörtern erlangt hat. Ich persöhnlich kann mir das aber nicht vorstellen, dass ein Hacker damit wirklich was anfangen kann, da man ja vorher kaum wissen kann, wo es was zu holen gibt und wo ein "einfaches" Passwort verwendet wurde. Der Aufwand, ein halbwegs ordentliches Passwort mit bruteforce oder Wörterbuchattacken anzugreifen, müsste bei einer ganzen DB wirklich lohnenswert sein. Jetzt musst du dich fragen, wo du ein lohnenswertes Ziel bist und wie wahrscheinlich es ist, dass sich jemand genau dich herausgreift. Das kann ich zum Glück nicht wirklich abschätzen.

Ein weiteres Angriffsszenario ist z.B. dein privater Rechner, wenn du dich gegen Eltern/Kinder/Putzkolonne absichern willst. Da reicht es eigentlich schon aus, dass das Passwort keinen Zusammenhang zu dir haben sollte (aus der Hinsich emfinde ich "ComputerForenPasswortGenerator" ggf. zu erraten) und nirgendwo notiert ist.
Leider wird das Ganze an einem Punkt wieder komplett hinfällig, wenn dir jemand einen USB-Keylogger an die Tastatur hängt und du das nicht mitbekommst. (gab gerade eine Geschichte dazu, über einen TAZ (?) Redakteur, der da spioniert haben soll)

Angriffe zielen bei den heutigen Passwortlängen und Verfahren eigentlich immer darauf, die Passwörter zu umgehen. Social Engineering (dazu gab's einen interessanten Vortrag auf dem letzten CCC, wenn ich das richtig in Erinnerung habe), Spoofing, Phishing .. Da verliert die theoretische Passwortsicherheit deutlich an Bedeutung, solange die Passwörter ausreichend zufällig/lang gewählt sind, dass ein wahlloser bruteforce in keiner sinnvollen Zeit zu einem Ergebnis kommen würde.

Meine Meinung: Du musst dir überlegen, gegen wen/was du dich absichern willst und wie hoch das Schadenspotenzial ist. Es sollte nichts gegen Wortakkumulationen sprechen, insofern die Wörter nicht zu kurz sind und nicht mit deiner Person (Vorlieben, Wissen, etc..) in Verbindung zu bringen (und damit zu erraten) sind oder einer gewissen statistischen Verteilung entsprechen.

Die Empfehlung liegt aber eigentlich darin, sich mit der Software zu beschäftigen und darauf zu achten, dass da alles korrekt läuft. Gegen einen Keylogger oder Heartbleed hilft das beste Passowort nichts.

Ganz einfach die Passwortlänge ist im Exponenten bedeutet du benötigst ein langes Passwort. Die Basis ist jedoch dein Zeichenvorrat.
Genau dort wird gerade +ber dein gewähltest Beispiel gemekert. Das "ComputerForenPasswortGenerator" hat nur das Alphabet aus groß und kleinschreibung.
also 52^28=4.13130192e44
(die 52 kommt aus dem Alphabet 26 klein + 26 groß buchstaben die 28 sind die Zeichen deines Passworts)

Würdest du jetzt dein Passwort mit Zahlen und sonderzeichen ausschmücken ala 1! würde deine Basis steigern.
also
ComputerForenPasswortGenerat1!
96^28=3.1885595e+55

Meiner Meinung nach ein Beispiel von ungünstiger Anwendung der Theorie.

Bei diesen Zahlen triffst du zwei Annahmen: Einerseits gehst du davon aus, dass der Angreifer die korrekte Passwortlänge kennt, zweitens, dass der Angreifer weiß, dass keine Zahlen enthalten sind.

Die erste Annahme verringert die Anzahl der möglichen Passwörter eigentlich noch. Die Eigentlich Zahl ist also für einen Angreifer deutlich höher, wenn er bei gleichem Zeichenvorat auch kürzere Passwörter durchprobiert. Demnach wäre die Summe noch höher, selbstverständlich nicht signifikant. Will nur sagen, wenn ich als Angreifer per bruteforce rangehe und ich weiß, dass bei diesem Verfahren der Rechenaufwand exponentiell wächst, dann breche ich doch sowieso ab einem gewissen Punkt ab, wo die Rechenzeit nicht mehr sinnvoll ist. Von daher würde es keinen Unterschied machen, ob da nun "ComputerForenPasswortGenerator" dasteht, oder "z9z9z9z9z9z9z9z9z9z9z9z9z9z9z9".

Die zweite Annahme hängt vom speziellen Wissen des Angreifers ab. Wenn der Angreifer sowieso Zahlen und Sonderzeichen mit einbezieht, dürfte es keinen großen Unterschied machen, ob man nur Buchstaben oder auch erweiterte Zeichen benutzt, da der Algorithmus diese sowieso durchprobiert. Aber damit will ich mich nicht zu weit aus dem Fenster lehnen, es erscheint mir lediglich logisch.

Nebenbei: Würde man aus "ComputerForenPasswortGenerator" "ComputerUNDForenPasswortGenerator" machen, dann verändert sich die Anzahl der Varianten auf die selbe Größenordnung, wie das Erweitern des Zeichenvorrates von 52 auf 96.
Eine Rolle spielt das genau dann, wenn ein Angreifer spezielles Wissen hat, sei es um den Zeichenvorrat, die Beschaffenheit oder sonstige Informationen.

ps: Es ist schon vorgekommen, dass gewisse Hashverfahren von der (Falsch-) Implementierung her wohl zu lange Passwörter einfach abgeschnitten haben, ohne dass der Eingebende das wusste. Da macht es dann auch keinen Unterschied mehr, ob man 28 Stellen oder 2800 Stellen hat

pps: xkcd ftw

 

[Daaron]

Ich kenne durchaus auch noch viele Beispiele von Kleinstunternehmen, Dorfämtern oder kleineren Schulen, wo Individualsoftware im Webbereich oder herkömmlichen Umfelden geschrieben und verwendet wird, welche ausschließlich Klartextpasswörter verwendet.

Sicher existiert so etwas, kein Zweifel. Die Frage ist, ob solche Systeme dann auch angegriffen werden und von wem. Würdest du auf der Webseite einer kleiner Firma oder der Gemeinde Hintertupfingen tatsächlich anfangen, nach Schwachstellen zu suchen?

WIE kommst du erst einmal an die serverseitige Passwortliste (sprich: Datenbank)?
Eine Möglichkeit: Du hast (durch Hack oder weils dein Job ist) mindestens administrativen Zugang, evtl. aber sogar physischen Zugang zu den Maschinen des Hosters... Hier ist Hopfen und Malz verloren. Hier würde nur helfen, wenn man bereits clientseitig per JS hashed, denn serverseitige Hashes werden einfach umgangen.
Andernfalls wirst du eher über Sicherheitslücken in der Webanwendung gehen, z.B. SQL Injection. Hier stellt sich aber eben die Frage: Wer macht sich den Aufwand, um bei der Waldschule Hinterposemuckel (basierend auf 100% Custom-Code) tatsächlich nach SQLI-Lücken zu suchen? In derselben Zeit könntest du mit gängigen Exploit-Kits lieber drölfzillionen veraltete CMS-Installationen weltweit angreifen und da deinen Schadcode platzieren. Was nutzt es dir, wenn das CMS zwar anständig über bcrypt hashed, aber der Angreifer Schreibzugriff auf die Login-Funktion erhält und da einfach die Credentials direkt aus dem POST fischt und sich als Klartext rüber schickt?

 

[Piktogramm]

@Daaron

Bei Behörden, Ärzten, Firmen im allgemeinen fließt Geld und schon das ist interessant genug, wenn man die Chance hat diese Geldflüsse umzuleiten. Auch haben die Daten im speziellen gern mal ihren Wert.


An die serverseitige Passwortliste zu kommen ist bei vieler dieser ranzigen Software überhaupt kein Problem. In das lokale Netzwerk kommt man meist leicht rein (Wlan, einfacher Anschluss an einen freiliegenden Netzwerkzugang). Ab diesem Punkt ist es all zu oft langweilige Routine. Irgendwo hängt ein schlecht gesichertes Netzlaufwerk herum auf dem alles an interessanten Daten herumoxidiert. In wenigen Fällen muss man wirklich aktiv den Traffic mitschneiden oder irgendwie "Man in the Middle"-Angriffe realisieren.

Alles in allem ist wie du soschön sagst Hopfen und Malz komplett verloren und der einzige halbwegs brauchbare Sicherheitsmaßnahme ist eine gut gesicherte Passwortdatenbank.

 

[Nai]

Es werden aber nicht die KLARTEXT-Passwörter gestohlen. Das passiert nur, wenn entweder der beklaute Dienstleister ein Vollidiot ist und nix von Hashing versteht, oder wenn der Angreifer sich das Passwort direkt beim User besorgt, über Trojaner oder Phishing.

Kurzer Rant am Rande: An meiner Uni mit ca 10 000 Studenten speichert das Rechenzentrum die Passwörter im Klartext ab. Deshalb sollte man sich darauf absolut nicht verlassen

 

[Daaron]

Dann arbeiten in eurem Rechenzentrum eben nur Vollspacken, denen ihre Diplome und Berufsabschlüsse aberkannt gehören. So einfach ist das. Wenn ich Kenntnis von solchen Vorfällen hätte, dann würde ich das aber an die ganz große Glocke hängen. Hashing ist kein Hexenwerk.

 

[Piktogramm]

Rechenzentren sind meist zu aufwendig genug gesichert. Bringt aber nix, ich redete ja von lokalen Netzwerken von Behörden, Firmen & Co. Wenn man da derart simpel hinein kommt, kommt man in Konsequent auch an die lokalen Serverchen und auch die Webserver samt dem interessanten Inhalt der Datenbanken. Oder wie allgemein üblich SQL injection (erschreckend wie häufig das klappt).

Solang das so ist muss man als Nutzer eben Passwörter verwenden, die im Zweifelsfall so sperrig sind, dass sie von Angreifern auch bei nur mangelhafter Sicherung zu unwirtschaftlich sind um sie zu knacken.*

Ansonsten, ich wäre dafür, dass solche Stümpereien strafbar wären. Derzeit ist es aber so, dass man als angestellter Admin fliegt, als freier Admin den Auftrag verliert und/oder den Anwalt der betroffenen Firmen am Hals hat.


*Wobei mir das Argument "wirtschaftlich nicht knackbar" überhaupt nicht passt. "Technologisch in XX Jahren nicht knackbar" sollte das Ziel sein!