Achtstelliges Passwort - in einer Sekunde geknackt

[Das Apfelchen]

Hi.

Dachte das könnte euch vielleicht interessieren. Sicher ist bekannt dass man jedes Pass knacken kann aber dass das so fix geht:
http://www.20min.ch/digital/news/story/-Achtstelliges-Passwort-in-einer-Sekunde-geknackt--19595166

Mh, da liest man ja immer neue Sachen dieser Art und fragt sich ob Passwörter allgemein überhaupt noch groß Sinn machen. Aber solange es keine Alternative (im öffentlichen Raum) gibt - was soll man machen.

Kennt ihr ein gutes Tool um Passwörter zu generieren, möglichst gute?

Viele Grüße!

 

[habichtfreak]

so was:

 

[Nilson]

8 Stellen sind ja auch nix. Die Komplexität wächst exponentiell. Selbst wenn man nur Buchstaben und Zahlen zulässt dauert es mit jedem Zeichen 56 mal länger. Bei 16 Zeichen Zeichen wären wir so bei 3,1 Mio Jahren. angenommen der Treffer ist die letzte Kombination und die Zeichenfolge ist zufällig und ehthält kein Wort/Begriff

 

[Moselbär]

Die Meldung ist aber nicht neu - die hab ich heute morgen doch schon gelesen.

Und ein Passwort mit 16 Stellen machen - dafür brauchts doch keinen Generator - oder?

 

[BernardSheyan]

selbst ein achtstelliges Passwort das aus einer wahllosen Aneinanderreihung von Buchstaben, Zahlen und Sonderzeichen besteht hat keiner in einer Sekunde geknackt

 

[Luxuspur]

PW knacken ist auch out, wozu auch wenn man die Implementierung angreifen kann und das bei einem Bruchteil der benötigten Zeit!

 

[sunnyday]

Je nach Rechengeschwindigkeit kann man ein Passwort schnell finden, aber knacken ist etwas schwieriger, manche Systeme z.B. lassen nur jede 5 Minuten z.B. 5 Versuche zu, dann würde das knacken ziemlich lange dauern. "abcd" knackt aber jeder Computer binnen Mikro-Sekunden.

 

[Das Apfelchen]

@habichtfreak

Genau, sowas halt.

@Nilson

Das klingt schon besser - wenn eine Verdoppelung gleich wesentlich mehr möglichkeiten/Zeit bedeutet. Dass das aber so extrem ist daran habe ich nicht gedacht.

@Moselbär

Ach, ich bin immer so unkreativ in sowas. Außerdem hat die Tastatur ja nur Zahlen von 0 bis 9. Da komme ich ja gar nicht bis zu der Zahl 16. Hah, das ist der wahre Grund der Firmen warum die uns nur so wenige Zahlen auf der Tastatur geben, die wollen unsere Passwörter kurz halten. Wenn die das nicht wollen würden warum geben sie uns dann nicht die Zahlen 10, 11, 12 usw. auf der Tastatur!? Verschwörung!


@BernardSheyan

Ich behaupte das auch nicht, habe davon keine Ahnung. Dachte eh immer die NSA hat maximal 386er mit 40 MHz oder so da stehen.

@Luxuspur

So ähnlich denke ich wird es wohl mehr und mehr - macht die Sache ja auch einfacher. Wozu Facebook Accounts etc. hacken wenn Facebook direkt liefert.

@sunnyday

Da bin ich dann ja beruhigt da mein Pass immer nur "123" ist. Glück gehabt. ^_^
Na, das mit den "begrenzten Versuchen" ist wohl eine gute Zwischenlösung. Man hat ja gesehen, bei diesem Cloud-Hack mit den Promis, dass das ganz hilfreich sein könnte (sofern man sowas den einbaut in seine Cloud).

 

[Candy_Cloud]

Wenn ich ein Passwort aus im besten Fall meinem Namen + Geburtstag als sicher bezeichne, ist ein erraten in kurzer Zeit auch kein Problem. Diese Daten bekommt jeder schnell raus dank der vielen Netzwerke die heute jeder nutzen "muss".

Ich denke, dass Socialengineering heute die größere Gefahr darstellt als nur ein Passwort zu knacken. Denn so bekomme ich viel mehr wichtige Infos heraus als nur ein einziges Passwort. Gibt in jüngster Vergangenheit genügend Fälle die das bestätigen.

 

[Moselbär]

@ Das Apfelchen

Jetzt wo Du das so expliziet erwähnst - das mit den Zahlen - werd ich gleich am Montag eine neue Tastatur beantragen - lol.

Und die Meldung kam vom WB Edward Snowden wenn ich mich recht entsinne.

 

[Zebrahead]

Die Meldung ist aber nicht neu - die hab ich heute morgen doch schon gelesen.

http://p.fod4.com/p/media/5c597eb60b/uF9MjJo3QIaijySXC4iL_Confused Christian Bale.gif

Btt: Ich benutze KeePass für das Speichern und Generieren von sicheren Passwörtern.

 

[IceDragon2]

KeePass (Passwort-Safe, Passwort-Generator):
http://keepass.info/

PWGen (Passwort-Generator):
http://pwgen-win.sourceforge.net/

 

[Der-Orden-Xar]

Das klingt schon besser - wenn eine Verdoppelung gleich wesentlich mehr möglichkeiten/Zeit bedeutet. Dass das aber so extrem ist daran habe ich nicht gedacht.

Doch ist so
wenn du ein rein numerisches Passwort hast mit 8 Zeichen, hast du 10^8 Möglichkeiten, bei 9 zeichen eben 10^9 Möglichkeiten oder 10 mal so viel.
da bei vielen Diensten ja Alphanumerische PWs möglich sind, würde jedes Zeichen die Möglichkeiten um den Faktor 62erhöhen (wenn man die Länge kennt, sonst 62 Mal so viele Möglichkeiten hinzufügen, ist aber kaum ein Unterschied)

 

[sunnyday]

Da bin ich dann ja beruhigt da mein Pass immer nur "123" ist. Glück gehabt. ^_^
Na, das mit den "begrenzten Versuchen" ist wohl eine gute Zwischenlösung. Man hat ja gesehen, bei diesem Cloud-Hack mit den Promis, dass das ganz hilfreich sein könnte (sofern man sowas den einbaut in seine Cloud).

Solche Daten sind im Internet sowieso schlecht aufgehoben.

 

[tiash]

Meiner Meinung nach ein typischer Fall von einer guten Quelle, die im Artikel falsch zitiert und verkürzt dargestellt wird. Snowden spricht von "very clmmon 8 character password". Ich denke er bezieht sich da auf Wortlisten, denn per bruteforce sollten auch acht Zeichen, angenommen der volle ASCII Zeichensatz kann genutzt werden, noch nicht knackbar sein. Zumindest ist mir keine Quelle dazu bekannt. Was bei der NSA im Privatkeller passiert kann ich natürlich nicht beurteilen.

Sicher ist es aber keine schlechte Idee, prophylaktisch schonmal auf längere Passwörter umzusteigen. Das hier schon genannte KeePass ist dafür gut geeignet.

 

[HaveFun]

Ganz genauso sehe ich das auch, tiash.
Er meint wohl nicht nicht bruteforce-Hack, sondern von "Dictonary-Hack". Und bestätigt durch die Beispiele danach, dass auch absichtliche Falschschreibungen (oder leet-speech) in den Wortlisten berücksichtigt werden.
Solange also ein Passwort nicht ungefähr so in Wörterbüchern auftaucht, und nicht aus bleibt nur reines Bruteforce; das ist natürlich nicht "unknackbar", aber braucht halt viel, viel Zeit.

Solange es sich halt wirklich im eine willkürliche Variation der 95 druckbare ASCII-Zeichen handelt, ist man mit 95⁸ Möglichkeiten echt ziemlich sicher.

Das Problem ist halt, dass die meisten Leute eben aussprechbare Passwörter verwenden, wie z.B. Vornamen mit Ziffern hinten dran. Und dann auch noch bei mehreren Diensten das selbe Passwort.

 

[sunnyday]

Nur Zahlen oder Buchstaben ohne Zeichen lassen sich dann aber je nach Länge relativ schnell knacken. Gerade wenn man per Zufall das richtige Passwort erwischt. Die Schlüssel von PGP z.B. sind aber z.B. viel länger und flexibler.

Zusatz: https://www.computerbase.de/2015-04...sicherheitsluecke-in-allen-windows-versionen/ Hier kann man mal sehen was passiert wenn man ein verschlüsseltes Passwort in der Hand hat, man kann es per brute force knacken.

 

[tiash]

Nur Zahlen oder Buchstaben ohne Zeichen lassen sich dann aber je nach Länge relativ schnell knacken. Gerade wenn man per Zufall das richtige Passwort erwischt.

Das gilt natürlich immer, auch bei 20 Zeichen. Wer das richtige Passwort wählt muss nicht lang brufeforcen. Die Chance dazu ist allerdings auch bei 8 Stellen schon kleiner, als im Lotto zu gewinnen.
Letztlich, und das kann man gerade an deinem geposteten Link sehen, ist es auch immer eine Frage, was genau ich knacken möchte. Ist es ein durch eine Lücke bekannt gewordener Passworthash kann es sehr schnell gehen (siehe Beispiel SMB) oder auch lang dauern, wenn moderne Passworthashing-Algorithmen verwendet wurden.
Muss man eine Webseite 'live' angreifen, das heißt jeden Passwortversuch erst zum Server schicken und auf die Antwort warten, hilft auch der tollste NSA-Supercomputer nicht. Die Netzwerklatenz macht ein effizientes Durchprobieren in dem Fall schon unmöglich.

 

[sunnyday]

Ganz schlimm wird es wenn die Verschlüsselung von sehr kurzen Stellen (die es oft gibt) nicht auch verschlüsselt ist (und so weiter), viele Systeme blockieren aber auch schon dort nach 3 Fehlversuchen.