News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

[shinXdxd]

Wieso sollte das ein gutes Passwort sein? Diese Regel "Wähle einige Wörter und hänge sie aneinander" ist bekannt. Die Regel die man seinem Passwortknacker mitgibt ist also:
Nimm diese Liste mit den häufigsten 500-2000 Wörtern, baue daraus Passwörter und versuche ob es passt. Variiere die erhaltenen Passwörter mit Leetspeek und 3-5 Stellen Sonderzeichen.

Die Information müsste man haben, als Angreifer. Auf alle Fälle 1000-Fach besser als der Name des Haustieres oder so.
Ich kenne zwar Hashcat vom Namen her und Jacktheripper, hab mich damit aber noch nicht befasst.

Wenn überhaupt sollte man Diceware nutzen und sich da strikt an die Regeln halten und mindestens 6 Wörter nutzen: https://en.wikipedia.org/wiki/Diceware
Die Handhabung entsprechender Listen ist aber in meinen Augen wenig nutzerfreundlich und die enthaltenen Worte mitunter komplexerer Natur. Das Resultat ist dann all zu oft, dass die Nutzer doch nur die simpleren Worte der Listen nutzen und damit ihre Sicherheit untergraben.

Ergänzung (25. Februar 2019)

https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40

Allerdings verstehe ich ja auch nicht, was an "AckerHundKatzeLindaSenfUhrSchmetterling" deiner Meinung nach nicht diceware sein sollte. Es war ja nur ein Beispiel, weil ich keinen deutschen online-diceware Generator auf die schnelle gefunden hab.

Es kommt da natürlich auf das Hashverfahren drauf an und auf die Software die du genutzt hast. Als Angreifer würde ich ja Hashcat / Jack the Ripper nutzen und das auf mehrere Grafikkarten laufen lassen.
Eine Nvidia GTX1080 zum Beispiel. Die schafft ~2900MH/s (Millionen Hashes je Sekunde) bei SHA256. Bei deinem Kumpel hätte ein BruteForce Angriff also ganze 0,000006 Sekunden gedauert (26³/2900.000.000). Unter der Prämisse, dass du das richtige Werkzeug hast.

Das ganze ließe sich beschleunigen indem man zu AMD Vega bis Vii greift. Mehrere Grafikkarten nutzt und/oder dicke FPGAs in Stellung bringt.

Das ganze war ne Hausaufgabe. Es war bekannt das, dass PW ein 3-stelliges Wort ist. Der Exploit musste in Python geschrieben werden. Und soweit getestet, hatte ich auch ordentlichen Performanceverluste durch die VM. Mein System ist grad nicht das Leistungsfähigste

Ich dachte mit der Passphrase ja auch daran:
<iframe width="1188" height="668" src="

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

" frameborder="0" allow="accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>

 

[Piktogramm]

@shinXdxd
Angreifer kennen alle alle Ratchläge zu sicheren Passwörtern und passen ihre Angriffe entsprechend an. Das "reihe Worte aneinander" ist kein neuer Ratschlag. Der Ansatz ist entsprechend, diese Regel seinem Angriff zu integrieren. Genauso wie man beim Erstellen der Angriffsregeln versucht bekannte Unzulänglichkeiten von Menschen auszunutzen. Ohne das strikte Verwenden der Dicewareregeln bedeutet das eben, dass Menschen einen arg beschränkten Wortschaft verwenden.

"AckerHundKatzeLindaSenfUhrSchmetterling" schaut nicht nach diceware aus. Es ist sehr untypisch, dass bei Diceware 7mal hintereinander derart "simple" Worte aufeinanderfolgen. Das schaut eben schon nach Wortaneinanderreihung eines kleinen Wortschaftzes aus

Vergleich Diceware:

palast bauzaun 12 regime fastet matrix xe
6 titus global augen zepter semit ebonit
mehr eigen rasse abc grub lehren nullen
wehend kragen leiste gemalt optik leiste tupel
unsinn hockte yyyy tf liest yl bart

Diceware ohne eingeschränkte Wortliste und damit ohne künstlich eingeschränkte Sicherheit ergibt eben doch Wortreihen die anders ausschauen

Python ist auch einfach schnarch lahm.

 

[shinXdxd]

@Piktogramm
Wenn's zufallsgeneriert ist, kanns schon passieren, dass solch leichte Wörter aneindergereith werden.
Aber du hast schon recht mit dem Beitrag.

@shinXdxd
Python ist auch einfach schnarch lahm.

Da sind wir uns ja auf jeden Fall einig

 

[newteliman]

Was haltet ihr denn vom Apple iOS-Passwortmanager, der Passwörter in Form von diesem hier ausspuckt?
dYjnyt-byfwa6-tihkol

 

[Piktogramm]

@newteliman
Das Passwort ist nach dem Posten verbrannt
Prinzipiell ist ein solches zufällig generiertes Passwort jedoch genau die Empfehlung.
Aussagen wie zufällig dieser Passwort Generator von Apple ist kann ich keine Treffen.

 

[emeraldmine]

@newteliman , Alphanumerisch ohne Sonderzeichen -> nicht klug, aber funktioniert, eine zeitlang zumindest.

 

[Piktogramm]

@emeraldmine
Herzlichen Glückwunsch dem Nächsten der Passwortsicherheit nicht verstanden hat. Passwörter skalieren exponentiell über die Länge und nicht über die Größe des Zeichensatzes. Zufällige Kleinbuchstaben mit 20 Stellen ergeben bereits 94bit Suchraum und sollten damit in den meisten Fällen sicher sein.

Das verlangen von mindestens einem Sonderzeichen sorgt lustigerweise für eine Schwächung des Passwortes im Vergleich zum Erlauben von 20 Stellen nur in Kleinbuchstaben:
Kleinbuchstaben: 26^20 -> 94bit Suchraum
Kleinbuchstaben mind. einem von 10 möglichen Sonderzeichen: 26^19*10 -> 92,6bit

Ziffern, Großbuchstaben und Sonderzeichen nutzen wirklich erst etwas, wenn sie in Auswahl, Position und Menge vollkommen zufällig sind. Alle davon abweichenden Regeln bedeuten eine Regelmäßigkeit die es Angreifern erleichert Passwörter zu knacken.

 

[hantelfix]

kanst ja hier testen
https://www.passwortcheck.ch/passwortcheck/passwortcheck

https://www.experte.de/passwort-check

https://www.scroller.de/Dran_gedacht/Mediencheck/1544_Passwort_Check.htm


neues passwort erstellen
https://www.passwort-generator.com/

 

[Arcturus128]

Zumindest vor einigen Jahren waren solche Satzpasswörter, nach den beliebtesten Passwörtern und Einzelwörtern mit das erste was Brute-Force-Algorithmen durchgearbeitet haben. Ja auch mit Sonderzeichen dazwischen, mit heutiger Rechenleistung wohl innerhalb kürzester Zeit.

Wieso sollte das ein gutes Passwort sein? Diese Regel "Wähle einige Wörter und hänge sie aneinander" ist bekannt. Die Regel die man seinem Passwortknacker mitgibt ist also:
Nimm diese Liste mit den häufigsten 500-2000 Wörtern, baue daraus Passwörter und versuche ob es passt. Variiere die erhaltenen Passwörter mit Leetspeek und 3-5 Stellen Sonderzeichen.

AckerHundKatzeLindaSenfUhrSchmetterling (ins Englische übersetzt bspw. FieldDogCatLindaMustardClockButterfly) ist ein sehr sicheres Passwort, auch wenn alle enthaltenen Wörter simple Wörter aus Wörterbüchern sind.
Gib es mal hier ein https://lowe.github.io/tryzxcvbn/
Die Seite testet mit Bruteforce und Wörterbüchern (allerdings nur Englisch), müsste euch zufolge ja leicht zu knacken sein das Passwort, ist es aber nicht.
Könnt ja mal eure Vorschläge da eingeben.

 

[Piktogramm]

Der Test zeigt nur das übliche "ich finde auf was ich prüfe". Ein entsprechender "geht schon" einer solchen Testfunktion ist eben kein Nachweis für ein sicheres Passwort.

Besten Gegenbeispiel
"correcthorsebatterystaple"
bewertet das Ding mit 4/4. Genau dieses Passwort mit allerhand Variation befindet sich in jeder Passwortsammlung seitdem es bei xkcd.com auftauchte.

$ printf 'correcthorsebatterystaple' | sha1sum
bfd3617727eab0e800e62a776c76381defbc4145    -
$ sqlite3 pwd.db
sqlite> SELECT Hash.sha1, Amount.amount FROM Hash JOIN FK ON Hash.rowid=Fk.hash_row JOIN Amount ON Fk.amount_row=Amount.rowid WHERE sha1=UPPER('bfd3617727eab0e800e62a776c76381defbc4145');
BFD3617727EAB0E800E62A776C76381DEFBC4145|114

Also in meinem Wörterbuch findet sich der Hash und mit einem Auftreten von 114 auch in den oberen 10% der eingesetzten Liste. Liste ist die von HaveIbeenpowned: https://haveibeenpwned.com/Passwords

Die Frage beim AckerHund... wäre dann die, mit wie weit reduzierten Wörterbüchern trifft man dieses Passwort beim Knacken noch.

Ansonsten, ganz scheiße ist der komplette Ackerhund nicht. Das Verfahren was zu diesem Passwort führt ist jedoch anfällig.

 

[Arcturus128]

correcthoresebatterstaple ist das beste Gegenbeispiel wofür? Dass Passwörter aus Wörtern schlecht sind? Mitnichten. Das Passwort taucht lediglich in jeder Sammlung auf, weil es eben das Comic dazu gibt, dass hat nichts mit dem System zu tun mit dem das Passwort kreiert wurde.
Ein komplett zufälliges mit Sonderzeichen welches öffentlich irgendwo dargestellt wird kann genauso in jeder Sammlung auftauchen. Jedes Passwort, welches irgendwo öffentlich einzusehen ist sollte nicht verwendet werden.

Natürlich testet zxcvbn nicht ob das Passwort in irgendeiner Datenbank auftaucht, weil es bereits verwendet wurde. Das ist eine komplett andere Problematik, die man nur umgehen kann, indem man ein gutes Passwort wählt, welches dann dort mit geringerer Wahrscheinlichkeit auftaucht weil es noch nie jemand verwendet hat.

Ich kann mir vorstellen, dass man irgendwann KI (Deep Learning etc.) verwenden kann um Passwörter zu knacken, dann ist man natürlich mit jeder Art von Muster schlechter aufgestellt. Also ja, ein rein zufälliges Passwort ist immer besser, als eines mit Muster jeglicher Art. Wenn man jedoch das Passwort nicht ausschließlich von einem Passwortmanager eingeben lässt, sondern es bspw. auch an einem Smartphone oder Computer manuell eingeben muss, dann ist ein Passwort aus vielen Wörtern deutlich besser und kann aktuell die gleiche Sicherheit bieten wie ein komplett zufälliges.

 

[BalthasarBux]

Leute, fangt doch mal an, eure Beiträge genau zu lesen statt nur zu überfliegen.
@Piktogramm sagt, dass ein Passwortprüfalgorithmus "correcthorsebatterystaple" als sicher bewertet hat, obwohl es in Passwortlisten vorhanden ist.

Generell sind solche Prüfalgorithmen mit Vorsicht zu genießen, weil man nicht weiß, was der Programmierer als sicher erachtete. "correcthorsebatterystaple" ist theoretisch halbwegs sicher, aber praktisch leider verbrannt. Ich nutze auch einige Passwörter, die mir die Webseiten beim Erstellen als "sehr sicher" bewerteten, aber mein Passwortmanager als "schwach" darstellt. Was soll aber eine Webseite, deren Passwörter maximal 12 Zeichen lang sein dürfen und die die Passwortqualität nur an Hand der Passwortlänge bewertet, auch anderes behaupten?

 

[Arcturus128]

Leute, fangt doch mal an, eure Beiträge genau zu lesen statt nur zu überfliegen.
@Piktogramm sagt, dass ein Passwortprüfalgorithmus "correcthorsebatterystaple" als sicher bewertet hat, obwohl es in Passwortlisten vorhanden ist.

Jup, diese Aussage habe ich ebenso herausgelesen (schreibt er ja wortwörtlich) und dementsprechend geantwortet. Vielleicht solltest du deinen eigenen Ratschlag auch selbst beherzigen.

xzcvbn ist der beste Passwort-Prüfalgorithmus den ich kenne. Die meisten sind totaler Mist und die Anforderungen an ein "sicheres" Passwort i. d. R. auch.

 

[BalthasarBux]

Touché @Leli196
War nicht als persönlicher Angriff gemeint, aber ich lese hier seit 10 Seiten mit und die Diskussion ist im Großen und Ganzen schon eher emotional als rational. Daher wird auch oft wortwörtliches Beschriebenes noch falsch verstanden. Aber ich fass mir mal an die eigene Nase, du hast ja recht

btt: Es gibt mittlerweile auch Passwortmanager, die zusätzlich das Passwort gegen Passwortlisten checken und warnen, wenn das eigene Passwort in irgendwelchen öffentlichen Passwortsammlungen auftaucht. Prinzipiell ne gute Sache und kann gegen "correcthorsebatterystaple" helfen, auch wenn jeweils hinterfragen sollte, ob dabei nicht die eigenen Passwörter kompromitiert werden. Das können leider die wenigsten wirklich nachprüfen.

Ich halte es für fragwürdig, Menschen Webseiten zu empfehlen, in denen sie ihre Passwörter prüfen können, weil ich ebenjenen Menschen zur gleichen Zeit einzubläuen versuche, dass sie unter keinen Umständen ihr "Beliebige Webseite"-Passwort auf anderen Seiten eingeben sollen (oder auf Links in Emails klicken dürfen). Wenn ich einerseits genau davor warne, aber es andererseits empfehle, dann konterkariere ich alles Angelernte (unabhängig davon ob tryzxcvbn ein toller Algorithmus ist, das möchte ich nicht bestreiten/thematisieren). Und ich rede hier nicht nur von der Generation 50+, sondern durchaus auch von Mittzwanzigern, die ihr Passwort im Stile "Wohnort und Geburtstag gespiegelt": 1120grubsfloW (3/4 auf tryzxcvbn) für die Krone der Sicherheit halten (Sorry, falls ich mit dem ausgedachten Beispiel jemandes Passwort erraten habe).
Es gibt keine einzelne allerbeste Methode, die jeder Mensch verwenden sollte. Länge und Zufälligkeit sind extrem wichtige Faktoren, aber in einigen Bereichen muss es ein merkbares Passwort sein, wie über mir auch schon erwähnt wurde. Ich empfehle lieber Methoden, ein gutes zufälliges Passwort zu entwickeln wie Diceware. Auch das obige Tool wertet 1120grubsflo oder 1120grubsfloW! mit 4/4. Das kann bei vielen Menschen zur falschen Annahme führen, ihr Passwort wäre unknackbar sicher, weil volle Punktzahl.
(Ich kannte es noch nicht und mag es. Aber ich befürchte, es könnte falsche Signale senden.)

 

[Arcturus128]

Auf den Score habe ich ehrlich gesagt überhaupt nicht geachtet, sondern nur auf die guess time. So einen Score finde ich wirklich nicht gut, aus den von dir genannten Gründen.
Auch stimmte ich natürlich zu, dass man kein Passwort auf irgendeiner (dritten) Webseite eingeben sollte, was man wirklich verwenden möchte oder es sogar bereits tut. Ein Passwort, welches in irgendwelchen Passwortlisten auftaucht oder bereits irgendwo öffentlich erwähnt wurde sollte man als verbrannt betrachten.

 

[Piktogramm]

Ich kann mir vorstellen, dass man irgendwann KI (Deep Learning etc.) verwenden kann um Passwörter zu knacken, dann ist man natürlich mit jeder Art von Muster schlechter aufgestellt. Also ja, ein rein zufälliges Passwort ist immer besser, als eines mit Muster jeglicher Art. Wenn man jedoch das Passwort nicht ausschließlich von einem Passwortmanager eingeben lässt, sondern es bspw. auch an einem Smartphone oder Computer manuell eingeben muss, dann ist ein Passwort aus vielen Wörtern deutlich besser und kann aktuell die gleiche Sicherheit bieten wie ein komplett zufälliges.

Ki ist ein Buzzword mehr nicht. Statistische Auswertungsverfahren sowie Mustererkennung wirft man so oder so auf alle Passwortlisten die irgendwie "öffentlich" werden. Das ist ist der Szene derart abgehangen, dass es niemanden mehr vom Hocker haut. Das ist eben jene Problematik von "Gibt sich Mensch Regeln vor, entsteht Regelmäßigkeit und damit kompromittierte Sicherheit".
Deswegen plädieren ja viele in der IT-Security für PW-Manager. In Zeiten wo der Kram über die Cloud synchronisiert wird und damit problemlos auf allen Geräten läuft gibt es keinen Grund mehr das nicht zu tun. Selbst wenn man den Cloudanbietern mistraut, die Crypto der PW-Manager mehr als ausreichend.

Und nochmals nein, wenn es Mensch eintippen muss, wird Mensch schlechte, gut tippbare Passwörter nutzen. Das ist immer eine schlechte Lösung!

PS: Dein Passwortschätzdienst könnte problemlos die Passwortlisten von TroyHunt einbinden und gegen diese checken. Die Prüfung wäre trotzdem unvollständig, da das Ding nicht alle Strategien kennen / testen kann.

 

[Arcturus128]

Wenn Menschen schlechte Passwörter wählen die leicht einzutippen sind, dann widerspricht das nicht der These, dass man auch lediglich aus Wörtern starke Passwörter bilden kann, welche dann leicht einzutippen sind 😉

 

[Piktogramm]

Bei Sicherheit zählt der Berufspessimus als Qualifikation. Wenn eine Lösung bei Nutzern dazu führt, dass sie schlechte Lösungen wählen können werden sie das in Masse tun und damit ist die Lösung eine Schlechte.

 

[R.I.P.er]

Schon wieder aufgewärmte Halbwahrheiten die Niemanden interessieren, da irrelevant. SU-PER, CB!