News 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

Spike Py · 10. Juni 2021

Prometheus27 schrieb:
Das würde halt nur stimmen wenn man wirklich einfach Brute Force alle aaaaa,aaaab,.... durchprobiert. Das ist aber so ineffizient, dass das niemand für mehr als 8 Zeichen macht. Es werden aber mittlerweile eher Wörterbuchangriffe mit Regeln und Kombinationen verwendet. Da wird ein "Trick" mit dem man sein Passwort sicher machen will, auf einmal gar nicht mehr so sicher.
Wenn deine PWs einfach nur aus 2-3 Wörtern bestehen, dann geht aus auch zu knacken

Guter und richtiger punkt, daher tendiere ich auch zu zufällig generierten strings mit den genannten symbolen, statt wortketten. Da hilft dann eben genau kein wörterbuchangriff sondern man muss brute forcen, wenn es keine andere schwachstelle gibt.

Tagesmenu · 10. Juni 2021

Spike Py schrieb:
Da hilft dann eben genau kein wörterbuchangriff sondern man muss brute forcen, wenn es keine andere schwachstelle gibt.

Noch eine Frage zu brute force: angenommen ich habe ein langes Passwort und ich ändere das minimal ab, durch eine 9 am Ende oder ein X zwischendrin. Wie stark steigt der Aufwand beim errechnen, wenn das bisherige bekannt ist?

Spike Py · 10. Juni 2021

Tagesmenu schrieb:
Ja das ist richtig und klingt nicht so clever, allerdings sind das sehr wenige Accounts, da ich versuche etwas hygienisch zu bleiben und natürlich bringe ich immer etwas Variation rein.

am ende gibt es dann wieder muster in deinen wichtigen passwörtern. das verringert zwar die wahrscheinlichkeit, dass das jemand rausfindet, ist aber ein unnötiger angriffsvektor. lieber auf zufall setzen und diese abspeichern.

man hat mittlerweile eh so viele wichtige dienste, dass man sich das eh nicht mehr alles merken kann.

Ergänzung (10. Juni 2021)

Tagesmenu schrieb:
Noch eine Frage zu brute force: angenommen ich habe ein langes Passwort und ich ändere das minimal ab, durch eine 9 am Ende oder ein X zwischendrin. Wie stark steigt der Aufwand beim errechnen, wenn das bisherige bekannt ist?

das klingt sehr hypothetisch und ist schwer vorherzusagen. je nachdem, wie das programm beim testen vorgeht. Wenn ich davon ausgehe, dass dem programm nicht bewusst ist, dass sich nur ein zeichen geändert hat, und es stelle für stelle alle varianten durchprobiert, wird der aufwand erneut so hoch sein wie der initiale aufwand.

haltezeit · 10. Juni 2021

In was für einer paranoiden Welt leben die meisten eigentlich, als ob noch irgendeine target attack noch über Listen gestartet wird

Moselbär · 10. Juni 2021

Krass.

Wenigstens ist mein PW nicht dabei - jedenfalls lt. Datenbank Keins der "Neuen".

therealcola · 10. Juni 2021

Mal ne andere doofe Frage: brauch man nicht 100GB RAM um ne 100GB .txt file öffnen zu können?

Oder wird die Datei gesplittet? Oder gibt es dort besondere Tools die nur Teile der TXT file auslesen solange man nach unten scrollt? Also es werden erst 10gb angzeigt und wenn man nach unten scrollt werden dann die anderen 10gb geladen etc.

Ansonsten Combo Listen sind nichts neues die gibt es schon ewig, aber natürlich nicht in diesem Ausmaß.

ukulele · 10. Juni 2021

Bonanca schrieb:
ein Passwort aus 10 Zeichen mit Buchstaben (52), zahlen(10) und Sonderzeichen (sagen wir 38) (also insgesamt 100 Zeichen) hat 100 Trillion Möglichkeiten.
Ein 20 Zeichen Passwort, das nur Kleinbuchstaben besteht (was der Angreifer erstmal wissen muss), hat fast 20 Quadrilliarden Möglichkeiten.

Und was lässt sich leichter merken?
b1GTr0#bl3
Oder
tigerindenbadewannen

Ich verstehe deinen Punkt total, aber überseht ihr da nicht was? Ernst gemeinte Frage, ich verstehe es nämlich so:

Wenn man ein Lexikon benutzt, um die Passwörter zu bruteforcen, dann wird aus dem 20-stelligen "tigerindenbadewannen" nur noch eine Kombination aus 4 einfachen Wörtern. Bei z.B. 50.000 Wörtern im Lexikon (*) sind das 50.000^4 = 6.25*10^18 Möglichkeiten, also weit weniger als 20*10^27 (20 Quadrilliarden). Es ist sogar weniger als die 100 Trillionen (=100 * 10^18).

Für eine klassische Bruteforce-Attacke ist das tiger-badewannen-Passwort natürlich super, aber sobald der Gegenüber ein bisschen mitdenkt, siehts doch schon anders aus. Als Angreifer würde ich mich ja von einfach nach schwer vorarbeiten, also zuerst normale Wörter nehmen, dann Kombinationen davon, dann e=3 und o=0 ersetzen usw.
Oder habe ich einen Denkfehler drin?

(*) Duden 145.000, Durchschnittsdeutscher 12.000-16.000, Quelle: deutschland.de

volpretor · 10. Juni 2021

Mal ne Frage zum Speichern von PW im Browser (hier Firefox): Ist davon eigentlich generell abzuraten? Nutze recht lange zufallgenerierte PWs über Enpass, aber speichere davon einige im Browser aufgrund Bequemlichkeit.

d0xs · 10. Juni 2021

15 Jahre altes Passwort:

Good news — no pwnage found!

T3rm1 · 10. Juni 2021

Die Passwörter sind doch noch gar nicht im Have I Been Pwned project eingepflegt oder? Steht zumindest nirgends.

KnolleJupp · 10. Juni 2021

Übliche Passwörter sind für Maschinen relativ - relativ! - einfach zu knacken.
Dabei spielt auch die menschliche Psyche eine Rolle.
Wie sieht denn so ein Passwort gerne aus? Vorne Buchstaben, hinten Zahlen und/oder Sonderzeichen. Nie umgekehrt. Uvm.

Ein Passwort wie "!AlleHackerSindDoof" oder "!GesternHatEsGeregnet" ist dagegen viel schwerer zu knacken.

Auch sollte man persönliche Bezüge vermeiden. Keine Namen von Personen die man kennt, keine Zahlen und sonstigen Daten, die irgendeinen Bezug zu einer Person haben,
keine Verweise auf Spiele/Filme/Bücher/Musik, keine Ortsnamen uvm.

T3rm1 · 10. Juni 2021

therealcola schrieb:
Mal ne andere doofe Frage: brauch man nicht 100GB RAM um ne 100GB .txt file öffnen zu können?

Oder wird die Datei gesplittet? Oder gibt es dort besondere Tools die nur Teile der TXT file auslesen solange man nach unten scrollt? Also es werden erst 10gb angzeigt und wenn man nach unten scrollt werden dann die anderen 10gb geladen etc.

Ansonsten Combo Listen sind nichts neues die gibt es schon ewig, aber natürlich nicht in diesem Ausmaß.

Da verwechselst du Arbeitsspeicher und Festplattenspeicher. Im Ram steht nur das, was von der Festplatte eingelesen wurde. Das ist je nach Editor unterschiedlich.

[wege]mini · 10. Juni 2021

ukulele schrieb:
tigerindenbadewannen

Schöner Punkt.

Daher benutzt man ja auch Dinge wie: mei2ballsaregrößeralstheotheranderen.

Es soll sich merken lassen und man versucht so sicher, wie möglich bei kleinstmöglichem Aufwand zu sein.

Wirkliche "Sicherheit" gibt es nur am Tage, an dem man stirbt. Der kommt ganz sicher.

mfg

Der-Orden-Xar · 10. Juni 2021

Eine neue zusammengekrachte Liste oder wie liest sich das mit den Hinweis von Troy Hunt?

therealcola schrieb:
Mal ne andere doofe Frage: brauch man nicht 100GB RAM um ne 100GB .txt file öffnen zu können?

Gerade mal mit der 25GB-Datei von HIBP und dem schon genannten glogg versucht.
Abgesehen von der echt miesen Ladezeit gönnt sich das Programm gerade nur ca 750MB RAM.

Das Durchsuchen der Liste macht aber keinen Spaß, da gibt es deutlich effizientere Möglichkeiten, wie ein PlugIn für Keepass, dass sehr schnell die Werte gegen die Liste abgleichen kann.

Cool Master · 10. Juni 2021

Ich finde es sollte langsam aber sicher ein neues System kommen z.B. via SSH Keys.

therealcola schrieb:
Mal ne andere doofe Frage: brauch man nicht 100GB RAM um ne 100GB .txt file öffnen zu können?

Nein.

BrollyLSSJ · 10. Juni 2021

Spike Py schrieb:
Weiß gerade nicht ob man bei keepass passwörter generieren kann und festlegen kann welche zeichen enthalten sein dürfen aber dafür nutze ich unter linux pwgen wie folgt: 'pwgen -1Bcn 32 10'

Jop, geht sehr gut (Wobei das jetzt KeePassXC ist):

Kameha · 10. Juni 2021

Es gibt da ein schönes Video zu sicheren Passwörtern, benutze solche Passsätze mittlerweile selber da wo man den Passwortmanager nicht benutzen kann.

Ozmog · 10. Juni 2021

Hab ich das richtig verstanden, dass es "nur" passwörter sind ohne direktem zusammenhang zu accounts?

therealcola · 10. Juni 2021

Man hat aber nicht nur beim Passwort die Möglichkeit sich besser zu schützen indem man exotische variationen Verwendet sondern auch bei der E-Mail bzw. den Username.

Ich weiß persönlich nicht was ich von Keypass halten soll, ich hab das Programm noch nie getestet, mir wär das zu riskant dort 20 Stellige Hardcore Passwörter zu erstellen , welche man sich nicht merken kann.

Keepass wird wohl Ausfall sicher sein das man sich sein Backup per E-Mail zuschicken kann oder?

Im Falle von Datei Korruption durch Festplattenausfall o.ä. so das man kein Zugriff mehr auf sein Keepass hat.

Letzendlich ist es ja so, das selbst ein 128 stelliges Nasa würdiges Passwort nichts bringt wenn die Gegenstelle, der Server , die Database gehackt oder geleakt wird...

Wer wirklich sicher gehen will kommt wohl nicht dabei herum quasi wöchentlich all seine Passwörter zu refreshen.

OldZocKerGuy · 10. Juni 2021

Meine Accounts sind auch Safe.
Gut verwende zusätzlich noch 2 Faktor Authentifizierung und streue nicht meine KK Daten nativ durch die Gegend.

News 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

Lieutenant

Tagesmenu

Gast

Lieutenant

Lt. Junior Grade

Fleet Admiral

Lt. Commander

Ensign

Cadet 1st Year

Lt. Commander

Good news — no pwnage found!​

Lieutenant

Fleet Admiral

Lieutenant

Banned

Commander

Fleet Admiral

Vice Admiral Pro

Cadet 3rd Year

Rear Admiral Pro

Lt. Commander

Lt. Commander

Passend zum Thema

Good news — no pwnage found!