Sicherer Passwörter

[Mathias]

Ich habe schon mehrmals gelesen, das man ein unsicheres Passwort innert kürzester Zeit knacken kann.

Wieso löst man diese Problem nicht Server seitig, z.B. das nur alle 3Sek ein anderes Passwort akzeptiert wird,
Und nach 10 Fehlversuchen, das man eine Stunden warten muss für einen neuen Versuch ?

Somit wären innerhalb 10 Stunden nur ca. 20 Versuche möglich.
Für eine 4-stellige Zahlenkombination bräuchte man 10000 Versuche um alles durch zu probieren.

[Socke]

Wieso löst man diese Problem nicht Server seitig, z.B. das nur alle 3Sek ein anderes Passwort akzeptiert wird,

Auf Client-Seite lässt sich das nicht verhindern, da insbesondere Angreifer nur schwer dazu gezwungen werden können, deinen Client zu verwenden.
Du kannst aber z.B. auch ganz auf Passworte verzichten und stattdessen eine Public-Key-Infrastructure (PGP oder GPG, x.509) nutzen.

Eine Alternative wären z.B. eine Firewall-Lösung, die die Anfragehäufigkeit überwacht und bei zu häufigen Login-Versuchen keine weiteren Verbindungen zulässt.

[gocher]

Dann könntest Du dich selbst nicht mehr anmelden, so häufig wie die "bösen" Bots auf manchen Seiten vorbei kommen.
Die größte Sicherheitslücke ist allerdings die unverschlüsselte Übertragung, das sollte nie vorkommen.
Eigentlich ist es am Besten man überträgt kein Passwort, da gibt es einige Verfahren die besser sind als Passwörter.
Z.B. einmal generierte Codes die als SMS zugesandt werden, Key-Code-Generatoren
Auf meiner Homepage habe ich noch ein anderes Verfahren, in der Anmeldemaske wird ein Benutzername und ein Passwort eingegeben jedoch nur der Benutzername und eine GUID wird übertragen, als Antwort bekommt man vom Server eine GUID zurück, aus beiden GUIDs wird dann mit dem Passwort als Salt-Wert ein Hash-Wert erzeugt und an den Server Übermittelt dieser kann die selbe Prozedur nachvollziehen und bei richtiger Eingabe kommt er zum selben Ergebnis. Beide GUIDs werden natürlich immer neu generiert.

[Socke]

Auf meiner Homepage habe ich noch ein anderes Verfahren, in der Anmeldemaske wird ein Benutzername und ein Passwort eingegeben jedoch nur der Benutzername und eine GUID wird übertragen, als Antwort bekommt man vom Server eine GUID zurück, aus beiden GUIDs wird dann mit dem Passwort als Salt-Wert ein Hash-Wert erzeugt und an den Server Übermittelt dieser kann die selbe Prozedur nachvollziehen und bei richtiger Eingabe kommt er zum selben Ergebnis. Beide GUIDs werden natürlich immer neu generiert.

Hast du dein Passwort auf der Server-Seite gespeichert?

[gocher]

Ja, aber Bowfish verschlüsselt!

[Mathias]

Ich habe schon mehrmals gelesen, das man ein unsicheres Passwort innert kürzester Zeit knacken kann.

in der aktuellen CT wird dieses Thema wieder mal angeworfen, wie schnell sich Passwörter knacken lassen.

Die schreiben, das ein 6-stelliges Passwort mit nur Ziffern sofort geknackt wird.
Angenommen ich hätte solch eine hier im Forum. Somit müsste man hier 1'000'000 Versuche starten, bis man eingeloggt ist.
Macht da der Server überhaupt mit ?
Würgt da der Server nach ein paar Fehlversuche nicht ab ?

Anders sieht es natürlich mit einem Passwort geschützten Dokument aus, da kann man problemlos endlos mit voller CPU-Power durchprobieren.

[Epcop]

Ich habe das schon paar mal gesehen. Nach dreimal falsch eingeben, eine Stunde warten. Besonders ärgerlich für mich, der das Passwort vergessen hat Aber gut für mich, wenn jemand fremdes in mein Account will.

Mit SMS bin ich zwiegespalten. Es wird auch immer öfters zur Pflicht. Aber ist die Nummer/Handy weg, wird es problematisch und man kommt selbst nicht mehr in den Account. Bis man dann den Support kontaktiert hat usw. das dauert.

Am besten ist, denke ich, immer noch die aktuelle Regel: Komplizierte lange Passwörter, und diese auch regelmäßig ändern.
Allerdings habe ich auch festgestellt, dass viele Webseiten/Dienste Passwortlängen begrenzen und sogar nur bestimmte Zeichen erlauben,...

[Warf]

Also einen Fehlversuchszähler mit entweder Sperrung nach N versuchen oder Exponentieller Wartezeit ist schon lange gängige Praxis. Das Problem ist weniger das tatsächliche Anmelden bei einer Seite als das offline knacken. Wenn ein Angreifer deinen Account haben will, geht Phishing sowieso viel einfacher.

Das Problem ist, es gibt immer mal wieder Leaks von Datenbanken, demletzt wurde z.B. der online Passwort Manager LastPass gehacked, und die ganzen Passwort Tresore (wie sie es nennen) exfiltriert. Dieser enthält (neben einem haufen Unverschlüsselter Metadaten) die mit dem Masterpasswort verschlüsselte Zugangsdaten. Ein Angreifer kann also wenn er diese Daten einmal runtergeladen hat einfach einen Lokalen Bruteforce laufen lassen, bis ein Passwort gefunden wurde wodurch die Daten entschlüsselt werden können.

Auch beliebt ist wenn Datenbanken von Websites Gehacked werden, dann stehen da die Passwörter meist Geashed in der Datenbank. Wenn ein Angreifer also die (offline) Knacken kann, hat dieser ein Passwort und eine eMail Addresse die vermutlich vom selben Nutzer auch auf anderen Websites benutzt wurde (die meisten Nutzer haben das selbe Kennwort überall), und kann dann das einfach auf anderen Websites ausprobieren.

Mit SMS bin ich zwiegespalten. Es wird auch immer öfters zur Pflicht. Aber ist die Nummer/Handy weg, wird es problematisch und man kommt selbst nicht mehr in den Account. Bis man dann den Support kontaktiert hat usw. das dauert.

SMS OTP bringt auch einfach gar nix, weil dank der Architektur des SS7 Netzes kann jeder Linux Nutzer mit Zugang zum Internet und ein paar OpenSource komponenten, einfach die SMS von beliebigen nummern abfangen. Im grunde meldet man sich einfach im SS7 Netzwerk an, sagt: Hey ich bin ein Netzbetreiber und bei mir hat sich grade das Telefon mit Nummer XXX angemeldet, sendet mir doch mal bitte alle Daten die an dieses Handy gehen sollen. Das system wurde so gebaut damit es Globale Interoperabilität gibt (egal wo auf der Welt man ist, man kann aus jedem Netz in jedes andere Kommunizieren), ohne das es komplexe Verträge und Abmachungen zwischen allen Mobilfunkbetreibern der Welt geben muss, hat aber den Seiteneffekt das SMS etwa genauso sicher ist wie seine Passwörter mit Megaphon in der Innenstadt rumzubrüllen.
Ein sehr guter Link hierzu (allerdings Englisch) für Interessierte: https://www.firstpoint-mg.com/blog/ss7-attack-guide/

Da doch bitte lieber eMail OTP als 2FA (was auch nicht gut ist, da man für die eMail vermutlich eh das selbe Passwort nimmt, aber immerhin nicht Strukturell kaputt wie SMS OTP)

[Mathias]

SMS OTP bringt auch einfach gar nix, weil dank der Architektur des SS7 Netzes kann jeder Linux Nutzer mit Zugang zum Internet und ein paar OpenSource komponenten, einfach die SMS von beliebigen nummern abfangen.

Und so nebenbei trauen sehr viele Nutzer den Handys sämtliche Daten an. Man kann einfach hoffen, das dieser Kasten nicht geklaut wird. Viele User sperren ihre Handys nicht.
Der PC ist da schon einiges sicherer, da muss schon einer in die Wohnung einbrechen. Ausser man stellt alles im INet zur Verfügung.

[six1]

Ihr wollt es sicher? Netzwerkkabel raus, Wlan aus und Handy abschaffen.

[af0815]

Kondom über den Netzwerkstecker und gut is es. SCNR

Es ist immer eine Sache mit Kraft und Gegenkraft. Man kann mit relativ wenig Aufwand relativ sicher sein, solange man sich an die Grundlagen hält und nicht besonders Interessant ist.

[Warf]

Und so nebenbei trauen sehr viele Nutzer den Handys sämtliche Daten an. Man kann einfach hoffen, das dieser Kasten nicht geklaut wird. Viele User sperren ihre Handys nicht.
Der PC ist da schon einiges sicherer, da muss schon einer in die Wohnung einbrechen. Ausser man stellt alles im INet zur Verfügung.

Also mittlerweile bieten Handies sogar recht gute Sicherheitsfeatures, zumindest die mittel bis höherpreisigen. Z.B. hat das Google Pixel einen gegen Hohes Angriffspotential (also equivalent zu Organisiertem Verbrechen, mit 6 stelligen Budgets) zertifizierten Sicherheitschip drin.
Das Problem ist immer das schwächste Glied. Der beste Sicherheitschip bringt nichts wenn dein PIN dein Geburtsdatum ist, oder noch schlimmer, wenn du deinen Fingerabdruck benutzt, den du Freundlicherweise für den Angreifer schon überall auf deinem Gerät verteilt hast (selbst Fingerabdrucksensoren auf Hochpreisigen Geräten lassen sich mit einem simplen 3D drucker und etwas silikon einfach Austricksen). Gesichtserkennung ist, obwohl man das Spontan nicht so vermuten würde, zumindest für 3D IR gesichtssensoren (wie bei Apple FaceID oder höherpreisigen Android Geräten) deutlich besser als Fingerabdruck, allerdings auch nicht so sicher wie eine gute Zufällige PIN.

[Niesi]

Ich habe das schon paar mal gesehen. Nach dreimal falsch eingeben, eine Stunde warten. Besonders ärgerlich für mich, der das Passwort vergessen hat Aber gut für mich, wenn jemand fremdes in mein Account will.

Mit SMS bin ich zwiegespalten. Es wird auch immer öfters zur Pflicht. Aber ist die Nummer/Handy weg, wird es problematisch und man kommt selbst nicht mehr in den Account. Bis man dann den Support kontaktiert hat usw. das dauert.

Am besten ist, denke ich, immer noch die aktuelle Regel: Komplizierte lange Passwörter, und diese auch regelmäßig ändern.
Allerdings habe ich auch festgestellt, dass viele Webseiten/Dienste Passwortlängen begrenzen und sogar nur bestimmte Zeichen erlauben,...

Passwörter regelmäßig ändern ist nicht notwendig.
Sie nutzen sich nicht ab.
Wenn das selbe Passwort für mehrere Zugänge genutzt wird und bei einem "geknackt" wurde
ist es allerdings dringend erforderlich, das Passwort zu ändern.

[Joh]

Passwörter regelmäßig ändern ist nicht notwendig.
Sie nutzen sich nicht ab.
Wenn das selbe Passwort für mehrere Zugänge genutzt wird und bei einem "geknackt" wurde
ist es allerdings dringend erforderlich, das Passwort zu ändern.

Eigentlich hat man dann ein ganz anderes Problem.
Ich habe hier Kunden, die nutzen "carla52" (Name der Frau + Geb-Datum) als Passwort für alles.
Für ganz wichtige Zugänge wird dann "Carla52" genommen.
Und wenn die Bank Groß/Klein, Ziffern, Sonderzeichen braucht: Carla-52.

BTW: der c't-Test geht von einer lokalen MD5-Datei aus. Das sollte einen riesigen Faktor ggü. einer Webseite ausmachen.

[af0815]

Das Problem mit den Passworten ist, wenn man wirklich überall ein anderes verwendet, man diese wieder in einer 'unsicheren' Liste führen muß, oder sich auf ausländische Provider für Passwortsafes verlassen muss.

Ich habe es jetzt am WE selbst erfahren, da brauchst du mal auf die schnelle eine Camping-Card. Ja, welches Passwort (für welchen Zugang). Das mit dem Zugang geht ja noch über den IMAP-Server und wenn man dort ins Archiv schaut, aber das mit dem Passwort ist schon blöder. Und wenn man sich dann die Passworte mitnimmt, hat man die auch wieder in unsicherer Umgebung. Weil ein Wohnwagen ist kein Tresor.