Pages:
Author

Topic: Security 1x1 - Teil 1: Sichere Passwörter (Read 466 times)

sr. member
Activity: 896
Merit: 323
August 06, 2018, 01:29:54 PM
#21
Netter Beitrag, aber als ich gelesen habe, dass man seine Passwörter mit Tools checken kann/soll??!... FAIL!

Leute, es ist doch klar, dass heute jeder Hacker oder linker Vogel iwie an sensible Daten gelangen möchte. Also bitte NIEMALS NIEMALS NIEMALS iwo seine Passwörter herschenken!!!!

Wie doof muss man sein, in irgend einen Tool (kannst Du kontrollieren was das Tool macht??) oder sogar noch Online sein Passwort, wo man gleich seine IP mitsendet (und damit die Türe zu seinem Rechner offenbart!!!) FREIWILLIG hergibt!!!

Nach dem aktuellsten Hack bei reddit kann man nur empfehlen auf der Hut zu sein, zeitgemäße Passwörter zu verwenden und wenn möglich IMMER 2FA!!! NICHT SMS sondern TOKEN basiert Wink



hero member
Activity: 784
Merit: 544
Ihr könnt über folgende Seite testen lassen, ob euer Passwort bereits geknackt wurde und in einer Passwortliste im Darknet verfügbar ist:
https://haveibeenpwned.com/Passwords

Niemals testet eure Passwörter online! NEVER EVER!!!
Gewöhnt euch das gleich mal wieder ab!!!


Selbst wenn die obere Seite eine Methode präsentiert, welche die Privatsphäre schützen soll, so ist es dennoch sicherer, das eigene Passwort dort nicht einzugeben! Stattdessen ladet euch die Passwortliste lokal auf den Rechner und durchsucht diese per Hand!
legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
Der obligatorische XKCD Comic wurde ja schon gepostet. Ein Blick wert ist z.B. noch das entsprechende Video von SemperVideo. Auflösung

Das Ergebnis hatte ich nicht erwartet. Vom Gefühl her würde ich aber nicht das erste Passwort wählen

EDIT: Obwohl das NIST sich ja vor ein paar Monaten auch entschuldigt hat, in den 2000ern die Passwortrichtline mit den Sonderzeichen rausgegeben zu haben.
Und daher haben wir den ganzen Salat mit den blöden Passwortbedignungen…

Jetzt haben sie zurückgerudert und sagen länger ist besser Wink
hero member
Activity: 784
Merit: 544
Security ist ein sehr wichtiges Thema und leider mit einem oder ein paar wenigen Threads nicht abgearbeitet. Auch sind gute Passwörter noch nicht einmal die halbe Miete, worauf der Titel dieses Threads auch hinweisst ("Teil 1").

Das Security-Spektrum reicht von simplen Verhaltensregeln (z.B. "NIEMALS POSTE DIE MENGE AN COINS DIE DU HÄLST, HIER ODER ANDERSWO!!!!1") bis hin zur Nutzung spezieller Soft- und Hardware. Desweiteren wäre eine Liste von Angriffsvektoren ganz hilfreich. Da gibt es echt abgefahrenes Zeug. Manche betreffen natürlich nur die Aluhutträger unter uns, andere könnten dann aber doch praktikabel bzw. profitabel sein. Insbesondere, wenn das Angriffsziel grössere Mengen an Coins hält.

Es können nicht alle Threads auf der Hauptseite des deutschen Unterforums gepinnt, und nicht alle entsprechenden Themengebiete in einem Thread zusammengefasst werden, man würde kaum etwas wiederfinden.

Mein Vorschlag ist, dass wir phantastisch dazu bekommen ein weiteres Unterforum ("Sicherheit" o.ä.) zu erzeugen, also analog zu "Biete", "Suche", "Anfänger und Hilfe", ..., "Altcoins (Deutsch)". Die ausführlichen Threads werden dann dort gepinnt. Weitere Fragen und Themen werden dort verwaltet wie in den anderen Unterforen auch. Ich denke nämlich, dass das "Anfänger und Hilfe"-Unterforum diesem Themenkomplex nicht gerecht wird.
legendary
Activity: 1100
Merit: 1058
Was machste wenn dein Schlüsselring geklaut wird? Oder verloren geht oder zerstört wird?
hero member
Activity: 784
Merit: 502
Ich würde jedem hier dringend raten Passwörter ausschließlich über Passwort Generatoren zu generieren und in Passwort-Verwaltungen abzulegen. Alles andere ist grob fahrlässig imho.
member
Activity: 86
Merit: 19
copper member
Activity: 1498
Merit: 1528
No I dont escrow anymore.
-snip-
Je nach Zeichensatz ist I & L odr 0 & O z.B. sauschwer zu unterscheiden.
Beim Lesen dank Kontext kein Problem, aber im PW gibt's keinen...
-snip-

KeePass - und vermutlich auch andere Passwort-Manager - erlaubt es bestimmte ähnlich aussehende Zeichen explizit auszuschließen. Das reguziert die Sicherheit unwesentlich und erhöht die Tippbarkeit enorm. Es gibt auch Filter für Passwörter die man mit einer Hand tippen kann etc. Je nachdem wofür man das Passwort verwendet kann das durchaus sinnvoll sein. Weiterhin muss man ja auch nicht gleich immer 32 Zeichen mit allen Sonderzeichen nutzen, sondern ist bei einem zufälligen Passwort auch mit 12 oder 16 Zeichen gut geschützt.

Sehr wichtiger Artikel, da dieses Thema leider immer noch viel zu viele Menschen auf die leichte Schulter nehmen.

Ich persönlich kenne kein einziges meiner Passwörter selber. Generiere es immer über Keepass.

Boot Passwort, OS Login, KeePass Passwort und ein paar legacy Passwörter z.b. für offline Rechner, aber sonst würde ich dem zustimmen. Der Vorteil an wenigen Passwörter ist IMHO, dass man sich dann auch längere Phrasen merken kann. Diceware von der EFF bietet sich für sowas an. -> https://www.eff.org/de/dice
hero member
Activity: 784
Merit: 502
Sehr wichtiger Artikel, da dieses Thema leider immer noch viel zu viele Menschen auf die leichte Schulter nehmen.

Ich persönlich kenne kein einziges meiner Passwörter selber. Generiere es immer über Keepass.
legendary
Activity: 1882
Merit: 1108
es gibt für jedes Problem eine Lösung, nur ist es nicht immer die selbe.

Schnell wechselnde Passwörter helfen gegen Passwordcracking. Wenn man nicht sicher sein kann, das die Passwort datei flöten gegangen ist, helfen die relativ gut. Weil das Knacken länger dauert als bis zum nächsten PW-Wechsel.

Funktioniert nicht beim phishing oder keylooger. Weil dann der Angreifer das Passwort ändert statt der reguläre Benutzer.

Wird aber gerne genutzt, um Fallen aufzustellen. Jeder Passwortwechsel wird an eine Email protokolliert. Der Angreifer wird als Angreifer erkannt, wenn der reguläre User nichts vom Wechsel weis. Schon weis man, das man angegriffen wird.

Alle Methoden haben mehr oder weniger ihre Berechtigung. Nur halt nicht jede für jeden Angriffsvektor. Man wird also nicht umhin kommen, sich genauer damit zu beschäftigen und dann die richtige Strategie zu benutzen. Böd dabei ist, das nur ca 1% der Accounts dann letztendlich wirklich zu Schaden kommen. Der Rest wird nicht angegriffen oder der Angriff unterbunden, bevor mehr zu Schaden kommen. Daher denken viele, das IHR "sicheres" System sie schützt. Bei 1% zu 99% dürfte es aber eher Dr Zufall gewesen sein.
legendary
Activity: 1100
Merit: 1058
Wie wär's mit einem Stick mit Display und ein paar Tasten, der eine Tastatur ist.
Sollte an Computern und Android gehen.
Abgesichert per Gerätepasswort (unhackbar, da non-internet Hardware), und das Ding tippt dann URL, Benutzer und Passwort ein.
Ich als User kenn das dann nichtmal, und ein Backup per verschlüsselter Datei auf Speicherkarte sollte vor Verlustschützen.
Und die Karte kann auch eine Konfiguration ermöglichen (Dienstname, URL, Anforderungen an PW).
Zusammen mit 2FA "unhackbar". Wink

Ich kenn auch schlechte Beispiele.
Ein großer TK-Konzern erzwingt für die Firmenverwaltung alle 3 Monate ein neues PW, allerdings mit so restriktiven Anforderungen, das die Benutzer ihre PWs zirkulieren, weil man sich ansonsten selber ausschließt.
Auch hier so ridikulöse Anforderungen, die effektiv "password" ergeben.
Eine Meldung gab nichts zurück, freundlich gesagt war's ein "Was weißt du schon, du pseudo-Hacker"...
member
Activity: 86
Merit: 19
Habe versucht die techn. Details etwas herauszuhalten, wenn gewünscht kann ich aber gern auch näher auf technische Hintergründe eingehen!

Ich schlage vor, die technischen Hintergründe in einer extra Passage mitzuliefern. So kann man ggf. deine Erklärungen nachvollziehen bzw. die Hintergründe erfahren.


-   Möglichst lange Passwörter verwenden, Tools bzw. einfache Denkhilfen helfen dabei
-   Optimal: Mindestens 12 Zeichen, Sonderzeichen, Großbuchstaben und Zahlen
-   Niemals ein Passwort recyclen
-   Wenn möglich Passwortsafes verwenden
-   Tools helfen beim Check der Passwörter und Accounts

Die Länge der Passwörter könnte man aber auch vom Risiko eines Hacks abhängig machen. Wobei ich Risiko in diesem Fall als das Produkt von Schadenshöhe und Eintrittswahrscheinlichkeit definiere.
Wenn man ein Passwortsafe verwendet, kann man standardmäßig z.B. 20 Zeichen lange Passwörter verwenden. Wenn man dann Copy Paste oder Auto Type nutzt, dann ist die Länge praktisch egal.
Anders natürlich bei manueller Eingabe. Da kann man ggf. runter gehen.

Der obligatorische XKCD Comic wurde ja schon gepostet. Ein Blick wert ist z.B. noch das entsprechende Video von SemperVideo. Auflösung

Bei Passwortsafes sollte man sich auch überlegen, ob man Clouddienste nutzt oder sich um die Sicherung selber kümmert. Ersteres hat z.B. die Gefahr, dass der Dienst gehackt wird, da die Beute der Hacker natürlich höher ist.

Dann gibt es noch Webseiten, welche bestimme Einschränkungen haben:

- Das Passwort wird in der Länge oder und im Zeichensatz beschränkt
- Das Eingabefeld ist einfügegeschützt (Ctrl+V funktioniert nicht)

Solche Praktiken fördern nicht die Sicherheit! Falls ihr Zeit habt, dann meldet sowas.

Dann gibt es Webseiten, welche euch nach der Registrierung das Passwort zusenden. Auch das ist bedenklich und sollte nicht passieren, da es die Angriffsfläche unnötig erhöht. Solche Webseiten sollten mit Vorsicht behandelt werden.

Aber es gibt auch relativ einfache Möglichkeiten um sich selber leicht zu merkende sichere Passwörter zu erstellen. Dazu nimmt man einen einfach zu merkenden Satz wie „Meine Doge Coins werden mich in 10 Jahren reich machen!“ und merkt sich davon nur die Anfangsbuchstaben: MDCwmi10Jrm! … schon hat man ein sehr schwer zu knackendes, aber einfach zu merkendes Passwort.

Oder, falls möglich, nimmt man den ganzen Satz ... das ist noch sicherer ...

Nehmen wir an unser Passwort ist wieder „MDCwmi10Jrm“ … ich will mir nun einen Account bei bitcoin.de erstellen. Was sicher ewig gleich bleiben wird ist hier die URL, eignet sich also ideal, um mein Passwort damit die verbessern. Ich könnte also einen Teil der URL verwenden um mir das Passwort geringfügig abzuändern, bspw. mit dem ersten und den letzten Buchstaben der URL: bitcoin.de -> so wird aus meinem Passwort MDCwmi10Jrm.be … für GMX.com wärs MDCwmi10Jrm.gm usw. usf. Die Regel kann man nach Belieben abändern, man muss sie sich nur merken können ;-)

Auf die Vorteile / Nachteile gehe ich erstmal nicht ein, es gibt jedoch eine Reihe von Tools, welche diese Prinzip erweitern und dabei helfen:

- Hash My Pass
- SuperGenPass
- LessPass
- MasterPassword


Ich kenne auch Leute, die speichern ihre Passwörter in Notepad++ ... je nach Sichtweise auch sicher.


Hacker sind normalen Usern um welten Überlegen, wenns drum geht, Filter und Regelwerke zu basteln um auch etwas ungewöhnliche Passworte zu hacken. Man geht selbst bei extrem gut verschlüsselten salted Passwortdateien davon aus, das mit Wörterbuchattacks 90% in weniger als 4 Wochen entschlüsselt wird. Die restlichen 10% sind dann Unique Passwörter die man nicht im Wörterbuch findet oder erzeugen kann. Die dauernd dann Jahrhunderte.

Das ist auch die Erklärung für den XKCD Comic. Daher sollte man sich nicht Passwörter mit irgendwelchen komplizierten Regeln ausdenken, sondern vielmehr die Methode ändern, z.B. Passwörter komplett zufallsgeneriert erstellen und dann aufschreiben ...

Also muss man sich entweder ein CorrectHorseBatteryStaple für jeden Dienst getrennt merken, oder zwangsläufig einen PW-Manager benutzen, der lange zufällige PWs generiert.
Was mach ich denn, wenn ich den nicht dabeihaben kann?
Am Handy ablesen und im Internetcafe/beim Kumpel 32x falsch abtippen, weil od7853D58r$§&T einfach fehlerträchtig ist? Je nach Zeichensatz ist I & L odr 0 & O z.B. sauschwer zu unterscheiden.

Zunächst einmal lässt sich z.B. in KeePass die verwendeteten Zeichen einstellen, bzw. man kann mit einem Häkchen explizit sich ähnlich aussehende Zeichen ausschließen.
Desweiteren bezweifle ich, dass due hunderte Webseiten unterwegs nutzt, sondern nur ein paar, bei denen du leicht zu merkende Passwörter verwenden kannst und bei den anderen dann die zufälligen.

Langfristig hoffe ich auf eine massenhafte Verbreitung von U2F.

Äh, das wird wohl noch dauern, lass mich mal gucken, ja, ich kann mich immer noch nicht im Firefox in mein Google Konto anmelden ... Huh

Ja, aber das Passwort auf unsicheren Geräten einzugeben wäre dann OK für mich.
Man könnte dann auch immer einfach zu schreibende und auch nicht ganz so lange Passwörter nehmen.

Nur zur Klarstellung: Die Verwendung von 2FA welcher Art auch immer erhöht nur die Schwierigkeit für den Angreifer, es macht einen Angriff nicht unmöglich.

PS. guter Anfang, weiter so!
legendary
Activity: 1882
Merit: 1108
Postfix wird ja gerne als Synonym für Unsicherheit benutzt.

Wieso?

Postfix im Geldbeutel, Smartphone in der Hosentasche. Wem ist schonmal die ganze Hose geklaut worden?

Und mit der Knarre am Kopf um Eingabe des Pins gebeten am Geldautomaten wird hier wohl keiner ablehnen. Ganz schnell sitzt der erste Schuss dann im Fuss statt im Kopf und das tut weh, glaubs mir, da gibts du alles raus. Den Pin im Geldbeutel haben ist also keine Sicherheitslücke.

Nur wenn man Passwörter unbeaufsichtigt auf Zettel rumliegen lässt wird es zum Problem.

Technisch jedenfalls gibt es keine sichere Lösung die immer alle Probleme abdeckt. Jede Dienstleistung hat ihr eigenes Sicherheitsrisiko und damit verbunden ein System, das die Risiken minimiert. Bank-Accounts mit MobileTAN nur am PC aufrufen, dort das Passwort im Browser zu speichern wird Kriminellen allenfalls ermöglichen zu sehen wie reich oder arm du bist, aber zum Ausnehmen reichts nicht. Das selbe am Smartphone und dein Geld ist weg. 2FA, egal auf welchem weg der zweite Faktor dazu kommt, löst viele Probleme.

Kriminelle tun sich schwer 2 Dinge gleichzeitig zu "klauen". Vorallem wenn sie im Giesskannenprinzip abgreifen. Spear-attacks hingegen, die genau auf eine Person zielen, benötigen völlig andere Abwehrmassnahmen. Da ist 2FA genauso unsicher wie nur Passwort.

Deswegen widerspreche ich meisten vehement wenn Leute irgendwelche Generalvorschläge machen, die alles lösen sollen. Verlässt man sich dann drauf, weil das ja viele so gesagt haben, übersieht man die Lücken.
hero member
Activity: 780
Merit: 533
Ja, aber das Passwort auf unsicheren Geräten einzugeben wäre dann OK für mich.
Man könnte dann auch immer einfach zu schreibende und auch nicht ganz so lange Passwörter nehmen.
legendary
Activity: 2296
Merit: 2721
Enjoy 500% bonus + 70 FS
Langfristig hoffe ich auf eine massenhafte Verbreitung von U2F.
So wie ich U2F verstanden habe werden viele Dienste da ja trotzdem als "Initialfaktor" Passwörter voraussetzen, oder verstehe ich das falsch?
legendary
Activity: 2296
Merit: 2721
Enjoy 500% bonus + 70 FS
Also muss man sich entweder ein CorrectHorseBatteryStaple für jeden Dienst getrennt merken, oder zwangsläufig einen PW-Manager benutzen, der lange zufällige PWs generiert.
Was mach ich denn, wenn ich den nicht dabeihaben kann?
Am Handy ablesen und im Internetcafe/beim Kumpel 32x falsch abtippen, weil od7853D58r$§&T einfach fehlerträchtig ist? Je nach Zeichensatz ist I & L odr 0 & O z.B. sauschwer zu unterscheiden.
Beim Lesen dank Kontext kein Problem, aber im PW gibt's keinen...

Oder doch wieder das gute alte Postit mit den PW's...

TrueKey gibts bspw auch für Smartphones. Auch sind die Passwörter in der Cloud abgelegt (jo, nicht 100% optimal), man kommt also auch unterwegs an die PW so lange man das Masterpasswort weiß. Du müsstest dir so also CorrectHorseBatteryStable nur ein einziges Mal merken ;-)
hero member
Activity: 780
Merit: 533
Passwortmanager gibt es auch für Smartphones.

Im Internetcafe sollte man sein Passwort eh nicht eingeben. Wie wäre also die Lösung: Mit dem Smartphone auf was einfaches ändern. Das dann im Internetcafe verwenden und danach mit Smartphone wieder auf schwierig?

Beim Kumpel eingeben: Es soll Bluetooth-Tastatursimulatoren geben, die man vom Smartphone aus steuern kann. Beim Kumpel kann man sowas vielleicht einstecken.
Das wollte ich immer mal ausprobieren, kam aber noch nicht dazu.

Langfristig hoffe ich auf eine massenhafte Verbreitung von U2F.
legendary
Activity: 1100
Merit: 1058
Also muss man sich entweder ein CorrectHorseBatteryStaple für jeden Dienst getrennt merken, oder zwangsläufig einen PW-Manager benutzen, der lange zufällige PWs generiert.
Was mach ich denn, wenn ich den nicht dabeihaben kann?
Am Handy ablesen und im Internetcafe/beim Kumpel 32x falsch abtippen, weil od7853D58r$§&T einfach fehlerträchtig ist? Je nach Zeichensatz ist I & L odr 0 & O z.B. sauschwer zu unterscheiden.
Beim Lesen dank Kontext kein Problem, aber im PW gibt's keinen...

Oder doch wieder das gute alte Postit mit den PW's...
legendary
Activity: 1882
Merit: 1108
Mal die andere Seite anschauen

Wie hacken Hacker Passwörter?

Zuerst: sie sammeln vorhandene Passwörter aus Hacks von Passwortdatenbanken. Dabei fallen ihnen alle möglichen Passwörter in die Hände, auch superschlaue supersichere Passwörter. Benutzt man die genau einmal, passiert praktisch nichts.

Nun fangen sie an zu variieren. Sind Worte drin die man im Wörterbuch findet? Ab in den Wörterbuchattack. Stehen die Worte innerhalb des Passwortes mit anderen Worten oder wahlfreien zusätzlichen Zeichen? Markieren, das man sie kombiniert. Bereits an dieser Stelle fallen dann zweimal aufgetauchte Kombinationsfragmente auf, die nur um einige Zeichen abweichen. Also beispielsweise QwjKl/75 kommt 2x vor auf unterschiedlichen Hacks, aber jedesmal zusätzlich 4 weitere Zeichen.

Daraus macht man dann ein BruteForceAttack mit 1-4 extra Zeichen. Das doppelte Verwenden und Pech haben das es beide mal gehackt wird reduziert dein Superpasswort auf 4 Zeichen BruteForce. Böse Lücke.

Hacker sind normalen Usern um welten Überlegen, wenns drum geht, Filter und Regelwerke zu basteln um auch etwas ungewöhnliche Passworte zu hacken. Man geht selbst bei extrem gut verschlüsselten salted Passwortdateien davon aus, das mit Wörterbuchattacks 90% in weniger als 4 Wochen entschlüsselt wird. Die restlichen 10% sind dann Unique Passwörter die man nicht im Wörterbuch findet oder erzeugen kann. Die dauernd dann Jahrhunderte.

Kein Hacker wird heute noch das Passwort direkt am Dienst BruteForcen. Die Dienste sperren solche Versuche schnell weg. Aber eine runtergeladene Passwortdatei, gehashed und salted, kann mit Millionen Versuchen/s getestet werden.

Soll jetzt nicht heisen, das deine Methode unsicher ist, aber sie einfach dauernd benutzten für alle Foren, Shops, accounts, die man erstellt bis hin zur Newsletter für irgendwas oder Produktregistrierung für Gewährleistungsfragen macht das Passwort schnell wieder unsicher.
legendary
Activity: 2912
Merit: 1309
Nette Idee einer solchen Serie.




https://www.xkcd.com/936/
Pages:
Jump to: