Umfrage: Deutschland ist im Passwort-Stress

Anzeige

So einfach ist das nicht.

Denn bei der Login-Seite handelt es sich ja nur um ein Formular, das die Formulardaten an ein Script übergibt. Die Login-Seite lässt sich zwar kopieren, aber das wäre für einen Angreifer relativ nutzlos.

An das Script dahinter kommt er nicht ran. Und selbst wenn dann wäre darin nicht das Passwort zu finden. Denn das Script vergleich nur das eingegebene Passwort (bzw. dessen Hash-Wert) mit dem in einer z.B. mySQL gespeicherten Passwort (bzw. dessen Hash-Wert).

Wenn dann wäre es zielführender einen Angriff auf die mySQL Datenbank mit den Zugangsdaten durchzuführen. Wenn diese von aussen erreichbar und nicht allzustark gesichert ist könnte das durchaus gelingen. In dem Fall spielt es dann aber auch keine Rolle wie gut oder schlecht das Passwort ist.

 

Und das ist das nächste spannende Thema, nutzen auch alle unterschiedliche Passworte für unterschiedliche Zwecke?

 

Schau auf die Zeiten. 97 Sekunden nur mit Kleinbuchstaben, 28 Stunden mit Groß- Kleinschreibung und Zahlen. Ich würde da einfach auf gut Glück erstmal einen Versuch nur mit Kleinbuchstaben starten, und das ganze dann in späteren Versuchen erweitern. Bei 28 Stunden kommt es auch die 97 Sekunden vorher auch nicht an. Ich glaube das machen einige dieser Brute-Force Programme sogar automatisch so.

 

Ja, das ist genauso ein Irrglaube wie, daß man mit der Kombination "1 2 3 4 5 6" weniger Chancen auf 6 Richtige im Lotto hat.

Ich würde beim Passwortknacken erstmal eine Namensliste und dann ein Wörterbuch abarbeiten, und da wäre dann natürlich "tomate" sicherer als "Tomate". Letztendlich hängt es eben alleine davon ab, welche Methoden bei Deinem Zugang am meisten verwendet werden - und da entscheidet nicht zuletzt auch der Zufall oder das Glück.

P. S.: Auch bei Dir wäre dann ein Kennwort mit 9 Kleinbuchstaben sicherer als ein gemischtes Kennwort mit 8 Zeichen - weil ein Hacker ja streng "nach Lehrbuch" vorgeht.

P. P. S.: Bir Dir wäre dann die Kombination "99999999" am sichersten, da die als letzte ausprobiert würde.

P. P. P. S.: Ach nein, das sicherste Kennwort wäre bei Dir ein einzelner Kleinbuchstabe, da Dein Verfahren ja zwingend von einem Kennwort mit 8 Zeichen Länge ausgeht.

 

Und noch ein wichtiger Hinweis, mit den richtigen Tools kann man zB. das verschlüsselte Windows Passwort auf der Festplatte finden. Man kann es nicht entschlüsseln, aber man kann Muster erkennen. Wer also glaubt, sein altes 5 stelliges Passwort wäre ausreichend wenn er es einfach doppelt tippt, der irrt sich. Der Angriff wird dann natürlich leicht... Bei den Brute Force Programmen kann man erkannte Muster oder Wiederholungen vorgeben, so werden aus halbwegs sicheren 10 Zeichen, bequem zu knackende 5 wenn man die Wiederholung kennt.

 

Das geschieht auch, aber kein "normales" Wörterbuch sondern eines welches speziell auf Passworte ausgelegt ist, und da steht deine "Tomate" natürlich in beiden Schreibweisen. Ausserdem sind die Worte in dem Wörterbuch nach Häufigkeit der Passwortnutzung sortiert, also sowas wie "Passwort" oder "123456" stehen da ganz am Anfang. Es soll sogar schon Programm geben wo du Hobbies angeben kannst, Lieblingssportvereine usw... Ist schon länger her dass ich mich damit beschäftigt hatte, aber ich schätze heute lädt ein Passwort-Entschlüsselungprogramm zuerst mal das Facebookprofil der Person die sich das Passwort ausgedacht hat, und dann wird das Wörterbuch entsprechend vorbereitet. Namen der Spieler des Lieblingsvereins, wichtige Daten und Termine, Spielergebnisse usw... Hochzeitstag, Geburtstag des Ehepartners, Geburtstermine der Kinder...
Geh einfach mal davon aus, dass der, der Passworte knackt kein Idiot ist.
Wenn du ein gutes Passwort willst, lass dir eines vom Computer generieren: klick

 

Ich vermute mal stark, dass Mathematik und Informatik früher nicht deine Lieblignsfächer waren, oder?

Wenn du Varianten von Kleinbuchstaben prüfst, fängst du natürlich mit "a" "b" usw. an. Dann folgt "aa" "ab" usw... bis "zz"
Das sind sehr simple Routinen, und sehr effektiv...

 

Die habe ich studiert.

Tja, dann hättest Du Dir Deinen Link mit den 97 Sekunden mal besser durchgelesen: Dort wird nämlich 26 (Kleinbuchstaben ohne Auslassung) und nicht 27 (mit Auslassung) oder gar 31 (mit deutschen Sonderbuchstaben) als Basis verwendet.

 

Eben, also warum sollte er dann nach den Regeln vorgehen, die ihm "Sicherheitsexperten" vorgeben?

Damit der Webseitenbetreiber (oder jeder der mithört) dann mein Passwort kennt?

P. S.: Wenn Kennwörter mit nur Kleinbuchstaben leichter geknackt werden, dann eben nicht weil es nur (27+x)^Länge Kombinationen gibt, sondern höchstens weil diese zuerst durchprobiert werden. Das ist ein gewaltiger Unterschied für die Argumentation!