GLF

[Annika]

wir habens verstanden

[Gelöscht_28]

[...] Fehlzitat gelöscht. Moderation

War schon was länger nicht mehr hier, aber das ist doch ganz amüsant zu lesen^^ Wer zur Hölle kann sich eine Eselsbrücke für ein 100stelliges Passwort merken? Und dann noch diese Eselsbrücke in der richtigen Reihenfolge zum PW zusammensetzen o.0 ? Wenn ich das Dinge nicht mindestens 3mal am Tag eingeben würde hätte ich das so schnell vergessen wie ein Opa mit Alzheimer wie man sich ne Hose anzieht.

Fakt ist, man kann es dem Hacker nur schwer machen das PW zu knacken. Und mit meinen 2 Radeon 7970 OC frühstücke ich alle eure PW´s, egal wie fantasievoll, an einem Wochenende. Es gibt da aber einen Punkt den wir alle vergessen haben: Wo wird das ganze Datengewusel eigentlich abgeglichen?

Um das richtige PW zu finden, muss ich es immer zur Seite senden wo es gespeichert ist. Die meisten Websites haben aber einen Bruteforceschutz, nach 5 Versuchen ist also erstmal Pause. Captchas hingegen werden mittlerweile von fast allen Programmen erkannt. Meistens ist es aber so, das der Hacker nicht unser PW errät oder es von uns klaut, sondern das er die Datenbank vom Server klaut. Dort hat er dann alle PW entweder verschlüsselt, oder (wie bei einem Idioten der mich sehr zum lachen gebracht hat) ne Spalte neben dem verschlüsselten Eintrag in Klartext stehen. Und die verschlüsselten Hashes brauche ich nicht selber zu knacken, dafür gibt es websites, die haben schon milliarden einträge mit Hashes in allen verschlüsselungskombinationen. Und alternativ dazu, wenn die ncihts haben, gibt es webseiten die gegen ein kleines entgelt den Hash für mich knacken. Die haben einen riesigen Servercluster gegen den meine Grakas Kindergeburtstag sind, der zerlegt den Hash in Sekunden.

Man braucht es also wirklich nciht zu übertreiben bei der PW-Sicherheit, der Hacker holt sich das PW eh per Keylogger, per Sniffer oder die Datenbank direkt, da lohnt sich ein 100stelliges PW nicht wirklich.

[Baumkrone]

Wer zur Hölle kann sich eine Eselsbrücke für ein 100stelliges Passwort merken?

Man braucht es also wirklich nciht zu übertreiben bei der PW-Sicherheit, der Hacker holt sich das PW eh per Keylogger, per Sniffer oder die Datenbank direkt, da lohnt sich ein 100stelliges PW nicht wirklich.

Man kann sich lange PW merken:
Die Computerzeitschrift c´t hat schon vor einigen Jahren folgende Methode empfohlen:
"Längere Passwörter mit Sonderzeichen bieten zwar hinreichende Sicherheit, sind aber dafür nicht so leicht zu merken. Daher empfiehlt sich eine Methode, die einem selbst erlaubt, das Passwort zu reproduzieren.
Eine effiziente Vorgehensweise sind hier Akronyme: Dazu nimmt man als Vorlage ein beliebiges Zitat (Songtext, Gedicht etc.) und verwendet nur die Anfangsbuchstaben der Wörter inklusive der Satzzeichen. Aus `Je früher man aufsteht, desto mehr kann man frühstücken! ́ wird `Jfma,dmkmf! ́, was selbst mit nur zwei Sonderzeichen schon ein relativ sicheres Passwort ist. Um Angriffe zu erschweren, kann man noch zusätzliche Zeichen hinzufügen, beispielsweise `%Jfma,dmkmf!$ ́. Mit geringem Aufwand kann man die Qualität des Passworts noch erheblich verbessern, ohne dass es zu Lasten der Merkbarkeit geht, wenn man die ersten zwei Buchstaben des Satzes verwendet: `$Jefrmaau,demekamafr!% ́. "

Ich kann mir dazu noch vorstellen ein paar Bchstaben gegen Sonderzeichen zu ersetzen (i>!, a>@, usw.) und schon haben wir ein tolles PW was man sich sogar merken kann.

Der erwähnte Keylogger ist ne andere Gefahr, wer seinen PC sicherheitstechnisch im Auge behält, mindert diese.

Aus der Datenbank sollte ein PW nicht reproduzierbar sein, wenn dort nur die Hashes abgespeichert werden, was ein guter Programmierer macht.

[Baumkrone]

Verschlüsselt CD's und DVD's.

Gar keine so schlechte Idee ...
Dann halten sie dich für wirr im Kopf und du bist raus aus der Sache.

[Gelöscht_28]

PW´s sind als sicherheitsmaßnahme raus. Wenn ich dein PW haben will krieg ich das. Erst erstelle ich ein Profil von dir, deinen äußerungen, um daraus Hinweise auf deinen Wohnort zu bekommen. Gleichzeitig erfahre ich so wie ich mit dir sprechen muss damit du mit mir sympathisierst. Das garantiert mir zwar nicht das du mich zu dir einlädst, aber so habe ich eine Basis um in privater Mailkommunikation mehrüber dich zu erfahren. Und alleine "Hallo" sagt mir schon was, denn in manchen Bundesländern sagt man eher Grüß Gott, Moin Moin usw. Und deine Altergruppe kann man da mit hoher wahrscheinlichkeit auch rausfiltern. Junge Leute sagen eher hi am beginn einer Mail.

Auch die Art wie du schreibst kann mir etwas über dich verraten, alter, bildung, eventuell sogar deinen Beruf, wenn du viele Fachwörter bei bestimmten Dingen verwendest.

Social Enginering ist in meinen Augen die gefährlichste Art des hackens, denn es kann jeden treffen, und man kann sich kaum dagegen wappnen. Und es ist die Grundlage für 99% aller gezielten Hacks. Von "Freunden" läd man eher was runter als von fremden. Und hat der Hacker erstmal die PW´s, ist feierabend.

Ich tendiere da eher zu fingerabdruckscannern oder rfidchips.

[Baumkrone]

PW´s sind als sicherheitsmaßnahme raus. Wenn ich dein PW haben will krieg ich das.
...
Ich tendiere da eher zu fingerabdruckscannern oder rfidchips.

Leute, schliesst eure Autos nicht mehr ab, denn der Dieb kommt eh durchs Fenster.

Und mit der Technik der beiden genannten Verfahren bist du vertraut ?

[Gelöscht_28]

gut, da hab ich mich wohl falsch ausgedrückt. PW´s als alleinige Maßnahme sind raus. Auch große Unternehmen wie fratzenbuch und google setzen mittlerweile auf 2fache authorisierung, das heißt pw + code per sms oder app. Das PW alleine ist halt zu unsicher.