21.04.2015
Top Kommentare
Nicci
10169 Posts
52645
/ 52645 Credits
Freund hinzufügen
@Kleinalrik Wenn's wichtig ist, wird sowieso ein Botnetz benutzt, das aus zig tausenden Rechnern besteht. Damit kann mann die IP-Sperre schon mal schnell umgehen. Besser geeignet ist die 2-Faktor-Authentifizierung.
22.04.2015 00:40
Kommentare
Druss
19991 Posts
63390
/ 63390 Credits
Freund hinzufügen
war das komplette bei inw? bin mir grad nicht mehr sicher... ist auf jeden fall sehenswert :)
https://www.youtube.com/watch?v=XEVlyP4_11M
22.04.2015 01:33
Druss
19991 Posts
63390
/ 63390 Credits
Freund hinzufügen
während meiner ausbildung musste man jeden monat ein neues passwort wählen... und frühestens nach einem jahr wieder das gleiche.
ich sag lieber nich wie oft ich das vergessen hab... montag morgen und kein plan :D
22.04.2015 01:31
Nicci
10169 Posts
52645
/ 52645 Credits
Freund hinzufügen
@Druss Bei uns an der Uni muss man es Semesterweise ändern. Ich hab immer einfach alle Buchstaben und Zahlen um eins im Alphabet weiter gerückt. Nach drei Jahren durfte man dann wieder von vorne anfangen.
Das schlimme war, dass das System etwas dagegen hatte, wenn man nur ein paar Zeichen im Passwort austauschte.
22.04.2015 13:09
Kleinalrik
9354 Posts
21780
/ 21780 Credits
Freund hinzufügen
1243 ist immernoch ein sicheres Passwort, wenn die Zugangsabfrage nur eine Eingabe alle zehn Sekunden zulässt und nach drei Falscheingaben den Zugang sperrt.
21.04.2015 23:36
Nicci
10169 Posts
52645
/ 52645 Credits
Freund hinzufügen
@Kleinalrik Das Problem ist doch, dass viele Nutzer aus Faulheit überall den selben Login und das selbe Passwort nutzen. Wenn ein Attacker nun in Besitz der Datenbank kommt und die Passwörter darin ordentlich gehasht sind, dann kann er damit nichts anfangen. Liegen die Passwörter im Klartext vor oder sind nur schlecht gehasht, dann kann der Attacker die selben Logindaten möglicherweise auch für andere Webseiten nutzen. Und das darf nicht sein.
29.04.2015 12:28
Kleinalrik
9354 Posts
21780
/ 21780 Credits
Freund hinzufügen
Eh... dann ist doch eh alles vorbei?@Kleinalrik
25.04.2015 09:26
Nicci
10169 Posts
52645
/ 52645 Credits
Freund hinzufügen
@Kleinalrik Es ging aber darum, wenn ein Hacker die Datenbank samt Passwordhashes in die Finger bekommt. Das ist in der Vergangenheit leider schon zu häufig passiert.
23.04.2015 21:51
Kleinalrik
9354 Posts
21780
/ 21780 Credits
Freund hinzufügen
Zugang. Und dann geht richtigerweise erst mal nichts mehr. Dann gibt es verschiedene Regularien, den Zugang wieder zu entsperren. Eine übliche ist die Rücksetzung mittels Email an hinterlegter Adresse. Eine andere ist ein Masterpasswort (auch Sicherheitsfrage genannt) welches aber ebenfalls ein Limit an Fehleingaben hat, und dann ist vorläufig wirklich Schluss. Dann ist bei verschiedenen Anbietern die Entsperrung auf dem Postwege noch denkbar.
Ehrlich, gibt es noch Zugänge, bei denen man Bruteforce einsetzen kann? Schon so kleine Spielchen wie zeitverzögerte Passworteingabe (nur alle zehn Sekunden) hebelt solche banalen Hackversuche sicher aus (Warteschleife von zehn Sekunden ermöglicht pro Stunde nur 360 Versuche, pro Tag 8.640 - und heutige Zugangsabfragen sind da weitaus zickiger und verlängern die Warteschleife mit jeder Falscheingabe)@Kleinalrik
23.04.2015 21:01
Nicci
10169 Posts
52645
/ 52645 Credits
Freund hinzufügen
@Kleinalrik Wenn's wichtig ist, wird sowieso ein Botnetz benutzt, das aus zig tausenden Rechnern besteht. Damit kann mann die IP-Sperre schon mal schnell umgehen. Besser geeignet ist die 2-Faktor-Authentifizierung.
22.04.2015 00:40
andy01q
3198 Posts
7603
/ 7603 Credits
Freund hinzufügen
@Kleinalrik Pro was? IP? Zugang? Beides? In letzterem Fall könntest du dich nicht einloggen wenn jemand andres sein Passwort falsch eingibt. Die anderen beiden Fälle sind zu einem gewissen Teil umgehbar. (Ersteres indem man ständig die IP wechselt (Reconnect oder Proxy) (-> Dauert ein wenig länger) und Zweiteres indem man nach jedem Versuch in der Dictionary einfach auf den nächsten User weiterspringt. (-> Funktioniert nicht bei Angriffen auf ein bestimmtes Ziel.)
22.04.2015 00:32
Seelax
15798 Posts
93586
/ 93586 Credits
Freund hinzufügen
Das Problem an passwörtern is ja aber auch, dass man sich nicht für jeden einzelnen onlinedienst, der eine Registrierung benötigt, jedes mal ein neues Passwort ausdenkt.
Wenn jetzt nur ein einziger dieser onlinedienste nicht seriös ist und das passwort unverschlüsselt in einer Datenbank hinterlegt, schon ist im Prinzip jegliches noch so gute Passwort für all die anderen Dienste auch nutzlos.... es sei denn man hat es für jeden Dienst (ab-)geändert ... aber wer macht das schon...
21.04.2015 22:23
Nicci
10169 Posts
52645
/ 52645 Credits
Freund hinzufügen
@Seelax Man nutzt immer einen Salt und am besten noch Pepper. MD5 ohne dass ist quasi in Millisekunden geknackt. Und statt MD5 nimmt auch lieber SHA256 oder mehr und das mit mehreren Runden. Oder gleich fertige Methoden wie bcrypt.
Ich nutze übrigens zwar nicht für jeden Dienst ein anderes Passwort, aber für jeden eine andere Mailadresse. Dadurch weiß ich unter anderem auch schnell, über welchen Weg ich plötzlich Spam bekomme und kann die Adresse ändern.
22.04.2015 00:39
gnampf
12305 Posts
34797
/ 34797 Credits
Freund hinzufügen
@Seelax In einem c't-Artikel wurde mal gezeigt wie man für jeden Dienst ein eigenes, trotzdem sicheres und merkbares Passwort hinbekommt.
21.04.2015 23:41
Caoscrischen
3265 Posts
9968
/ 9968 Credits
Freund hinzufügen
@Seelax SharpOnScreen: Es gibt genug Online-Dienste bei denen man sich sein aktuelles Passwort per Mail zuschicken lassen kann wenn man es vergessen hat. Das ist bei mir immer ein wichtiges Kriterium dafür ob ich mit diesem Dienst irgendwas mache bzw. irgendwelche Daten von mir angebe :D
21.04.2015 23:26