Hackerangriff bei AMD: Schlechte Passwörter als Einfallstor

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.966
amd_logo.jpg

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Lieber länger, als unnötig kompliziert.

Jein, die Anzahl der Worte die einem spontan für so ein Passwort einfallen sind auf ein paar Hundert begrenzt. Sagen wir 1000. Es gibt wörterbücher für sowas! Das ergibt 1000^4 bei vier Worten. 1e12 Kombinationen.
Ein zehnstelliges Passwort mit Sonderzeichen liegt bei 33^10 =~ 1.5e15.

Gut für Account Passwörtern die man bräuchte um Daten von Servern abzugreifen ist das alles irrelevant, denn Bruteforce blockt der Server ab. Aber für Containerverschlüsselung sollte man dran denken und besser doch ein paar Zahlen und Ersetzungen in die Worte einbauen...
 
Jeder der "Password" oder ähnliches als Passwort benutzt, dem unterstelle ich einfach dass seine Daten ihm nicht wichtig sind. Von daher, geschieht es solchen Personen recht.
 
Jein, die Anzahl der Worte die einem spontan für so ein Passwort einfallen sind auf ein paar Hundert begrenzt. Sagen wir 1000. Es gibt wörterbücher für sowas! Das ergibt 1000^4 bei vier Worten. 1e12 Kombinationen.
Ein zehnstelliges Passwort mit Sonderzeichen liegt bei 33^10 =~ 1.5e15.

Gut für Account Passwörtern die man bräuchte um Daten von Servern abzugreifen ist das alles irrelevant, denn Bruteforce blockt der Server ab. Aber für Containerverschlüsselung sollte man dran denken und besser doch ein paar Zahlen und Ersetzungen in die Worte einbauen...
Lieber länger, als unnötig kompliziert stimmt nach wie vor, auch bei deinem Beispiel. Zumal deine Wörterbuchattacke bei correctbatteryhorsestable nicht so ohne weiteres funktioniert. Du kennst weder Anzahl noch Länge der verwendeten Wörter, auch nicht die Sprache. Deine 1000^4 sind daher falsch.

Natürlich hat xkcd es auf die Spitze getrieben, wie immer halt, die Grundaussage ist aber korrekt.

EDIT:
So auf die Schnelle. Nur 3 Wörter, gleiche Länge, andere Sprache: reisbratwurstfliegenpilze

:fresse:
 
Zuletzt bearbeitet:
Lieber länger, als unnötig kompliziert.

ja um sie dann im Browser zu speichern wodurch die dann bei Benutztung unverschlüsselt im RAM liegen... :asthanos: :hail:
Leider ist das allheilmittel wohl Zweithand-Authentifizierung, in Form von Hardware, wie dem Fido USB-Schlüssel oder auf einem anderen Gerät nebst PC, dann das Smartphone mit Google Authenticator App oder Authy
Was daran halt nur Mist ist, was ist wenn das olle Smartphone mal den Geist aufgibt, dann mal eben auf ein neues umlagern geht auch nicht sooo einfach.
Selbst mal nur bei Google geblieben mit der Authenticator App, alles was man darin konfiguriert hat, selbst wenn man sich mit dem Fido USB Schlüssel bestätigt auf einem neuen Smartphone vernünftig neu eingeloggt hat, sind die "Verbindungen" zur Zweithandabfrage alle weg.
Kann man alles neu einrichten, ist also irgendwie blöde mit der Zweithandauthentifizierung, wenn die alte nicht mehr funktioniert das überhaupt umzustellen auf eine Neue...

Gruss Dennis
 
Irgendwie erschließt sich mir der Zusammenhang gerade nicht. :confused:
Selbst wenn man sie im Browser speichert und z.B. mit Masterpasswort sichert, was hat das der Passwortkomplexität zu tun? Zum "Diebstahl" bräuchte man Schadsoftware auf der Kiste und dann ist so oder so alles gelaufen. Leichter zu merkende Passwörter sind da ja zudem noch deutlich im Vorteil, denn wenn man die auswendig kann, muss man nichts speichern.
Wobei ich gerade etwas irritiert bin, dass dich das stört, aber du Authy erwähnst, welches deine Token in die Cloud schiebt und closed source ist. :fresse:

Sollte mein Smartphone mal den Geist aufgeben, schiebe ich meine token von Hand aufs neue Telefon.
 
Irgendwie erschließt sich mir der Zusammenhang gerade nicht. :confused:
Selbst wenn man sie im Browser speichert und z.B. mit Masterpasswort sichert, was hat das der Passwortkomplexität zu tun? Zum "Diebstahl" bräuchte man Schadsoftware auf der Kiste und dann ist so oder so alles gelaufen. Leichter zu merkende Passwörter sind da ja zudem noch deutlich im Vorteil, denn wenn man die auswendig kann, muss man nichts speichern.
Wobei ich gerade etwas irritiert bin, dass dich das stört, aber du Authy erwähnst, welches deine Token in die Cloud schiebt und closed source ist. :fresse:

Sollte mein Smartphone mal den Geist aufgeben, schiebe ich meine token von Hand aufs neue Telefon.

Nuja gut man könnte natürlich so ein Masterpasswort einrichten, stellt sich die Frage ob das nicht genauso unverschlüsselt im RAM herumliegt, das wäre das eine.
Das andere ist, das viel grössere Problem ist und bleibt nunmal Phishing, wenn es einen erwischt und bei der Anzahl was davon so aktuell die letzten Jahre so im Umlauf ist, offenbar wirklich deutlich mehr als noch tatsächliche Viren, dann hilft das auch nichts, da hilft dir dein Masterpasswort halt auch genau 0,
Weil man dadurch, durch gespeicherte passwörte nur schneller an deine Account-Daten kommt :d

Hab mich wohl bislang damit noch nicht ausreichend auseinandergesetzt, bisher ist das aber ja offenbar der Einzige weg, der da noch Hilft, mit solch einer Zweithandabfrage kann man jedenfalls mit deinem Accountnamen/Email und Passwort so erstmal alleine garnichts anfangen.

Deswegen, also offenbar wäre es bei mir wo es bei Steam mal der Fall war, "weil ich mal gepennt habe" um es so zu sagen, jedenfalls meinen Steamaccount ... den hätte man so nicht mal eben kapern können.
Aber auch blöd das Steam nicht einfach eine Frage per Mail nochmal gestellt hat, ich wirklich meine Emailadresse ändern will, denn in mein Gmail wäre der Phisher definitiv eben nicht reingekommen, der hätte also diese Mail auch garnicht abfangen können.

Sprich eine Mailadresse, mit so einem USB-Schlüssel kann und sollte vollkommen ausreichend sein, nur die, da wo man eben solche Accounts hat, die müssten mal "ihre Standards" so dementsprechend anpassen.

Das ist mit diesem Fido Schlüssel einfach echt mega, da kann man sagen und meinen was man will, das wäre so am sichersten, dann wären Passwörter an sich auch ziemlich schietegal, aber eben auch nur dann

Gruss Dennis
 
Jein, die Anzahl der Worte die einem spontan für so ein Passwort einfallen sind auf ein paar Hundert begrenzt. Sagen wir 1000. Es gibt wörterbücher für sowas! Das ergibt 1000^4 bei vier Worten. 1e12 Kombinationen.
Ein zehnstelliges Passwort mit Sonderzeichen liegt bei 33^10 =~ 1.5e15.
Das ist erstmal korrekt, allerdings ist letztendlich egal ob dein PW nun Sonderzeichen nutzt oder nicht, solange der Angreifer glaubt bzw. annimmt das Sonderzeichen drin sind. Und wenn das der Fall ist, dann gilt eben länger = besser. Völlig egal ob nur normale Zeichen drin sind oder nicht.

Und genau deshalb ist ein langes PW aus mehreren Wörtern trotzdem sicherer als ein (sehr) kurzes aus Sonderzeichen. Die Wahrscheinlichkeit, dass bei unbekannter Länge des PW die korrekte Kombination aus mehreren Wörtern unbekannter Sprache geraten wird ist vergleichsweise gering.
 
Das ist mit diesem Fido Schlüssel einfach echt mega, da kann man sagen und meinen was man will, das wäre so am sichersten, dann wären Passwörter an sich auch ziemlich schietegal, aber eben auch nur dann
Wären und sind sie nie/nicht. 2FA ist ein zusätzlicher Schutz, niemals ein alleiniger. So zu denken ist gefährlich. Nur all zu oft wurde schon über PW zurücksetzen und Fehler in der Implementierung 2FA ausgehebelt.
Man sollte es natürlich nutzen, aber sich niemals allein darauf verlassen.
 
  • Danke
Reaktionen: Tzk
^ This. Der Klassiker ist wohl 2FA über Email, wo dann der Account übernommen und die Email in Account geändert wird. Danach schaut man trotz 2FA dumm aus der Wäsche. Insbesondere wenn das PW bei beiden identisch ist.

Deshalb Passwortmanager und 2FA nutzen. Vorzugsweise über eine andere Email als im Account hinterlegt oder z.B. über SMS Tan oder eine extra App.
 
@Tzk:

Geht nur leider bei vielen Diensten gar nicht, z.B. Steam. Entweder auf die hinterlegte E-Mails oder deren App. Zusätzlich zur Mail noch OTP anbieten? Neee ....
 
  • Danke
Reaktionen: Tzk
Ja, leider. Aber immerhin gehts zusätzlich einer App. Ich hab auf Steam übrigens kein 2FA aktiv, aber eine spezielle Email mit gesondertem Passwort. Die verwende ich sonst nirgends. Damit sollte es quasi halb so schlimm sein kein 2FA zu nutzen.
 
Und, um Himmels willen: NICHT unreflektiert auf das hören was das BSI dazu sagt - die haben bis vor kurzem empfohlen das Passwort regelmässig ändern die Sicherheit erhöhen würde. Die hinken der Realität wie jede gute deutsche Behörde so ca 10-15 Jahre hinterher. Insofern: Peinlich das hwluxx das in diesem Fall tut.
Wer sich mit Diceware (siehe xkcd), 2FA (denkt ans backup...), Passwortmanager (um Himmels willen lokal, kein cloudgeraffel) und ähnlichem beschäftigt hat sicherlich auch solche Basics wie "niemals 2 fürs selbe" oder "nimm die sicherste auth die du kriegen kannst (zb schlüssel statt username/passwort bei ssh)" verinnerlicht und ist damit MEILENWEIT von dem beschriebenen Verhalten entfernt - das was dann hier gerade passiert ist Heulen auf erfrischend hohem Niveau.
Wer sich ernsthaft mit dem Thema auseinandersetzen will kann gerne hier mal anfangen:
 
Und, um Himmels willen: NICHT unreflektiert auf das hören was das BSI dazu sagt - die haben bis vor kurzem empfohlen das Passwort regelmässig ändern die Sicherheit erhöhen würde.
Wenn man doch gelegentlich das Selbe Passwort in verschiedenen Diensten verwendet, erhöht ein Passwortwechsel durchaus die Sicherheit, denn geknackte Datenbanken werden geteilt und jemand könnte später die Kombination bei einem anderen Dienst probieren.
Jedenfalls ist halbjährliches Passwort wechseln in vielen Konzernen Standard. Wohl mit dem Hintergrund dass es jemand doch irgendwo auf Papier aufgeschrieben hat und später in falsche Hände gerät.

Lieber länger, als unnötig kompliziert stimmt nach wie vor, auch bei deinem Beispiel. Zumal deine Wörterbuchattacke bei correctbatteryhorsestable nicht so ohne weiteres funktioniert. Du kennst weder Anzahl noch Länge der verwendeten Wörter, auch nicht die Sprache. Deine 1000^4 sind daher falsch.
Also die Länge der Wörter spielt ja keine Rolle wenn es insgesamt nur 1000 sind, und ich behaupte mal wenn ich mir eine Wortfolge spontan ausdenken muss, dann werden es Worte sein die in solchen Wörterbüchern vorkommen :/
Weil Accounts sehr oft an Mail Adressen gebunden sind, weiss man auch oft die Sprachherkunft des Betreffenden.
Die Anzahl der Worte ist unbekannt und erhöht die Optionen, richtig.
 
Wenn man doch gelegentlich das Selbe Passwort in verschiedenen Diensten verwendet
Dann hält man sich nicht an die Grundregeln und alles was danach kommt ist Security by Compliance - kann man machen, ist dann halt scheiße. Und die Konzerne machen diese Regelungen genau deshalb: Weil es der Compliance entspricht. Nicht weil es sicherer ist. Das hat dann irgendein CSO entschieden, weil er es im BSI gelesen hat. Oder weil es seine Kollegen von anderen Konzernen empfehlen. Und auch da gilt dann: Kann man machen, ist halt scheiße.
Anstatt das Problem zu verhindern, versucht man den Schaden zu mitigieren. Ist halt voll unintelligent.
 
Wären und sind sie nie/nicht. 2FA ist ein zusätzlicher Schutz, niemals ein alleiniger. So zu denken ist gefährlich. Nur all zu oft wurde schon über PW zurücksetzen und Fehler in der Implementierung 2FA ausgehebelt.
Man sollte es natürlich nutzen, aber sich niemals allein darauf verlassen.
Genau das war ja auf Steam passiert, weil man eben 2FA mässig nicht nochmal eine Mail rausgehauen hat seitens Steam, von wegen Mailadresse ändern.
Das ist ja das was ich meine, hätte man das getan, dann hätte man eben meinen Steamaccount nicht kapern können. (der Phisher hätte diese Mail niemals bekommen, weil in die Mailaddy käme er ja nunmal nicht rein)
Steam- ohne 2FA halt schon, das war ja das blöde

Gruss Dennis
Beitrag automatisch zusammengeführt:

Ja, leider. Aber immerhin gehts zusätzlich einer App. Ich hab auf Steam übrigens kein 2FA aktiv, aber eine spezielle Email mit gesondertem Passwort. Die verwende ich sonst nirgends. Damit sollte es quasi halb so schlimm sein kein 2FA zu nutzen.
Unter 2FA verstehe eine Nachfrage über Google auf dem Smartphone wo du auf Ja tippen musst zum Login, oder der USB-Schlüssel dazu von Fido den Google/-Account unterstützt.
Oder eben die 2 Apps wie Google Authenticator oder eben Authy, eine E-Mailadresse an sich ist erstmal kein 2FA, ein Googleaccount mit Mail, in dem man ohne solchen Schlüssel oder ja auf einer App tippen oder einen Code dafür so abfragen, das ist dann aber 2FA geschützt.

Siehe mein Steamaccountfall, hätte man einfach mal dem Stand der Dinge anerkannt, das dazu um die Mailaddy zu ändern einfach nochmal ne Mail nötig ist auf dem Google-Account hätte man meinen Steamaccount eben nicht kapern können, einfache Kiste.

Gut man müsste solche 2FA geschützten Mailaccounts halt auch irgendwie verifizieren können dazu, das solche Accounts dann gesondert behandelt werden, aber die Sicherheit wäre gegeben gewesen.


Gruss Dennis
 
Die Argumentationskraft dieser Anekdote ist natürlich gewaltig, doch doch.
 
gibt es noch lokale empfehlenswerte?

Den letzten Test den ich (in der Warentest?) gelesen habe, war praktisch übersäht mit kostenpflichtigen Angeboten (monatsweise). Das wollte ich mir eigentlich sparen.
 
gibt es noch lokale empfehlenswerte?
Klar. Die Standardempfehlung ist Keepass oder ein Fork davon. Das erstellt eine mittels Masterpasswort verschlüsselte Datenbank. Wo du die lagerst ist dann deine Sache, bei mir liegt sie in der Cloud und synct so zwischen meinen Geräten. Auf iOS nutze ich die App Keepassium und im Browser (Firefox) das Plugin "Kee - Password Manager". Das kann Autovervollständigung, wenn man in Keepass die entsprechende URL mit hinterlegt.
 
Die Stiftung Warentest versteht von der Bewertung von Software bezüglich IT-Sicherheit ungefähr soviel wie ein Eichelhäher.
Empfehlenswert ist vor allem KeepassXC - deutlich schnellere Entwicklung als KeePass, open source, Plattformunabhängig.
 
  • Danke
Reaktionen: Tzk
Die Stiftung Warentest versteht von der Bewertung von Software bezüglich IT-Sicherheit ungefähr soviel wie ein Eichelhäher.
Hey, hey, wie kann man dich denn wieder einfangen?
Ich habe nach einer bewährten Software gefragt und nur als Ergänzung angegeben, dass ich möglicherweise dort zuletzt ... und eigentlich kostenpflichtige Cloudsoftware meiden mag.

Wenn du schimpfen magst, gerne mit adäquater Kritik und Verbesserungsvorschlägen an die entsprechende Adresse, die da zuhört und ggf Einfluss drauf hat.
Alles andere ist hier inhaltlich wie funktional fehl am Platz, weil ohne Wirkung.

Dass Vieles schlecht läuft und man über manche Sachen nur mit dem Kopf schüttelt, so etwas habe ich schon im Job.
Das brauche ich das nicht noch im Forum meiner Freizeitbeschäftigung. Dankeschön :-)
 
  • Danke
Reaktionen: Tzk
Hey, hey, wie kann man dich denn wieder einfangen?
Ich habe nach einer bewährten Software gefragt und nur als Ergänzung angegeben, dass ich möglicherweise dort zuletzt ... und eigentlich kostenpflichtige Cloudsoftware meiden mag.

Wenn du schimpfen magst, gerne mit adäquater Kritik und Verbesserungsvorschlägen an die entsprechende Adresse, die da zuhört und ggf Einfluss drauf hat.
Alles andere ist hier inhaltlich wie funktional fehl am Platz, weil ohne Wirkung.

Dass Vieles schlecht läuft und man über manche Sachen nur mit dem Kopf schüttelt, so etwas habe ich schon im Job.
Das brauche ich das nicht noch im Forum meiner Freizeitbeschäftigung. Dankeschön :-)
Du bist herzlich eingeladen mich auf deine Ignorelist zu packen. Tu das oder lass es, ist mir schnuppe. Aber nur weil dir meine Meinung und wie ich sie äußere nicht gefällt werde ich nichts daran ändern wie und das ich sie kund tue. Denn das läuft nunmal so in einem Forum. Du kannst nicht andere Menschen ändern, nur dich selber.
Da wir dein Schneeflockenthema jetzt durch haben: Ich habe das so geschrieben weil man auf Tests der Stiftung Warentest zu fachlichen Themen nichts geben sollte. Die können es schlichtweg nicht. Garnicht. Nada. Null. Daher auch die deutliche Aussage dazu. Und nö, da hab ich garkein Bedarf nach die zu ändern, ich weiß das die kacke bei sowas sind. Und das zu sagen ist HIER genau der richtige Platz, denn hier liest es vielleicht jemand der sich damit inhaltlich wirklich befassen will und weiß dann ungefähr woran er ist. Dein Job ist mir herzlich egal, aber vielleicht solltest du dir einen suchen der dich nicht frustriert, denn die Frustration scheint mir bei dir durchaus vorhanden.
Desweiteren habe ich dir eine sehr gute Antwort gegeben, irgendwie vermisse ich das "Danke" für den Tip mit KeePassXC. Höflichkeit und Benehmen fordern aber selber keins bringen - kann man machen.
 
Warum nicht den integrierten PasswortManager?
Kennst du eine gute Möglichkeit um den Apple Schlüsselbund auf Win10 und im Firefox zu nutzen? Falls ja, dann steige ich gerne um...

Höflichkeit und Benehmen fordern aber selber keins bringen - kann man machen.
Bei deinem letzten Beitrag dann aber bitte auch an die eigene Nase fassen ;) Denn nett, höflich und sachlich ist die Tonart sicherlich nicht.
 
Du bist herzlich eingeladen mich auf deine Ignorelist zu packen. Tu das oder lass es, ist mir schnuppe. Aber nur weil dir meine Meinung und wie ich sie äußere nicht gefällt werde ich nichts daran ändern wie und das ich sie kund tue. Denn das läuft nunmal so in einem Forum. Du kannst nicht andere Menschen ändern, nur dich selber.
Meister, von mir aus kannst du deine Meinung immer äußern. Ich werde dich deswegen nicht auf ignore packen. Ich kann und werde es dir nicht verbieten, ich will dich auch nicht ändern oder so. Aber es ist sinnlos, wenn du etwas kritisierst in einer Ecke, wo es nichts bewirken kann. Das ist wie Stammtischparolen brüllen, aber nicht wählen gehen. Es hört keiner, es wird keiner deswegen sein Handeln überdenken und es wird sich deswegen nichts ändern. Du kannst Dich im HWL hier mit deiner Meinung zur Stiftung Warentest austoben, aber es bringt niemanden weiter, wenn du es nicht dort anbringst, in konstruktiver Form natürlich.
Aber das ändert auch nichts daran, das es am Thema glatt 100% vorbei war. Und wieviel Themenfremde Posts, egal ob freie Meinungsäußerung, oder nicht, von den Admins tolleriert werden, darfst du gerne mit denen ausdiskutieren. ich fürchte nur, dass dies recht einseitig endet, denn Forenmoderation ist Forenmoderation und keine demokratische Abstimmung.

Mehr habe ich auch nicht gesagt, evtl habe ich im Nebensatz auch schon zuviel gesagt, weil es dich scheinbar getriggert hat.
Vergiss es also, wo ich den letzten Test von Passwortmanagern vermutlich gelesen haben will, weil es ist absolut uninteressant, wo das war, weil meine Frage auf eine andere Sache abzielte.

Übrigens wurde diese auch bereits konstruktiv beantwortet, was mir weiter hilft. Keepass und Kee als FF Plugin habe ich mir mal notiert und schaue ich mir genauer an ... Danke
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh