News Sicherheitsmaßnahme: Adobe Flash wird aus dem Bundestag verbannt

Mort626 schrieb:
So ein unfug. Natürlich ist eine sinnlose Zeichenkette sicherer als eine Reihe von Wörtern.

(Wobei das natürlich immer auch eine Frage ist, nach welchem muster der Algorithmus beim Brute Force vorgeht.)

Wenn du Brute-Forced ist länger immer besser. Erst bei Wörterbuchattacken wirds interessant. Und auch hier: Das Oxford Dictionary enthält ca. 170k Wörter (Englisch). Selbst wenn man die Hälfte raus nimmt (Fachbegriffe, ewig lang etc. pp.), bleiben bei 4 Stellen mit jeweils 65k Möglichkeiten immer noch seeehr viele Kombinationen.

Und btw., weißt du wessen Werk du da als kompletten Unfug abstempelst? Munroe war mal Robotiker bei der NASA und betreibt seit Jahren einen extrem gut recherchierten und belegten Webcomic. Wenn das Unfug sein soll, solltest du das auch belegen.

EDIT:
Um noch ein bisschen Mathe nachzuschieben:
4 Wörter bei 65k Möglichkeiten: 65000^4 = 1,79*10^19
Mit allen 170k Wörtern: 8,35*10^20

Wenn ich nicht weiß, dass es Wörter sind: 31 Buchstaben mit 26 Möglichkeiten (lowercase only!): 7,31*10^43
Same as above, mit durchschnittlicher Wortlänge im Englischen (5,1 Buchstaben lt. Wolframalpha): 26^(4*5,1) = 7,34*10^28

Jetzt random, voller Zeichensatz:
11 Zeichen bei jeweils 95 Möglichkeiten: 5,69*10^21


Wir sehen: bei einer reinen Wörterbuchattacke sind die 4 Worte schwächer als das "fully random" Passwort. Dafür muss ich als Angreifer aber wissen, dass es nur Worte sind, und nicht doch mal eine Zahl eingeschlichen wurde.
Ab 5 Worten sind diese selbst mit Wörterbuchattacke schwerer zu Knacken (1,16*10^24 bzw. 1,42*10^26 Kombinationen), und dennoch sind 5 Worte viel leichter zu merken als 11 zusammengewürfelte Zeichen.

Und naja, bei reinem Brute-Force sehen die 11 Zeichen trotz 3,6 mal mehr Möglichkeiten pro Zeichen einfach kein Licht. Die Länge ist gegen Bruteforce immer Trumpf, auch ohne Sonderzeichen und co.
 
Zuletzt bearbeitet:
Punkt für dich. Ich hab das nur kurz überschlagen und dabei nicht ganz aufgepasst.

Wenn man das gesamte OED als Grundlage nimmt, hast du natürlich recht. Wenn man sich aber anschaut, was da alleine diesen Monat an neuen Einträgen dazu kam, wird klar, dass das weit weniger als die Hälfte ist, die als "eigenständige" Wörter durchgehen.

Ich hab aber auch mal ein wenig nachgerechnet bzw. recherchiert. Nimmt du als Zeichen-Grundlage die ASCII-Tabelle, kommt man auf die genannten 5,7 * 10^23 Kombinationen.

Da aber niemand das Gesamte OED kennt, wird/muss man da natürlich mit weniger Wörtern rechnen. Wenn man das nämlich auf den Gebrauchswortschatz eines Durchschnittssprechers von ~10.000 Wörtern runterkürzt, sieht es schon recht trist für den Satz aus (selbst mit 40k Wörtern kommt man "nur" auf 40.000^4 = 2,6 * 10^18).

Was ich meine: Es ist wahrscheinlich wirklich kein Unfug, aber ja nach dem, wie man rechnet, nehmen sich beide Möglichkeiten nicht viel.

Wo ich ihm trotzdem nicht folgen kann: Wie kommt er auf die Bitzahlen in dem Comic?
 
Zuletzt bearbeitet:
Das Risiko ist in diesem Fall weniger die Software, sondern vielmehr der Mensch. Statt Flash sollte man evtl. ein paar bestimmte Personen aus dem Bundestag verbannen.
 
Das Problem da ist wahrscheinlich einfach das: Die IT wird vom Bundestag bezahlt und hat sonst nicht viel zu sagen. Wenn die IT z.B. mal die Passwort-Policys richtig anziehen würde, dann würde es Beschwerden hageln und sich ein anderer IT-Dienstleister gesucht..

Für die Neulandbewohner: Business follows IT und nicht anders rum.. Aber bis das in den Köpfen ankommt, hat jeder Bauernhof FTTH..
 
xerex.exe schrieb:
Wie man immer und immer wieder merkt, dass dort nur alte Knacker sitzen die vom Tuten und Blasen keine Ahnung haben und für die das Internet einfach immer noch Neuland ist.

Da brauchst du aber nicht in den Bundestag zu schauen, und es kommt auch weniger darauf an, wie alt die Leute sind. Es ist absolut haarsträubend, wie wenig Ahnung von Computern und Sicherheit selbst Leute haben, die Anfang 30 sind, und in den Medien arbeiten.
Es gibt meiner Erfahrung nach kaum Unterschiede zwischen den Berufsgruppen - ob Journalist oder Sachbearbeiter, die haben alle absolut null Ahnung von IT und denen ist auch nicht klar, wie wichtig es wäre, sich hier ein bisschen zu informieren.
Ergänzung ()

Crowbar schrieb:
Die Passwortrichtlinien sind bei uns vor einigen Jahren erhöht worden: Mind. 8 Zeichen, Groß- UND Kleinschreibung, Ziffern UND Buchstaben sowie ein Sonderzeichen. (...)
Alle 3 Monate muss das PW geändert werden und darf nicht mit den 5 zu letzt verwendeten übereinstimmen.

Also erstmal sind mind. 8 Zeichen mit dem kompletten Zeichensatz eigentlich nicht mehr zeitgemäß... Bei der heutigen Brute-Force Leistung von günstig zu mietenden Maschinen sollte man das schnellstens auf mindestens 12 Zeichen anheben!

Und zweitens ist das ständige Wechseln die blödeste Vorschrift überhaupt - wer sich ständig neue Passwörter merken soll, der nimmt natürlich keine besonders schwierigen, oder er schreibt sie sich mit dem Zettel an den Monitor.

Man geht ja praktisch davon aus, dass die bisherigen Passwörter ca. alle drei Monate kompromittiert sind. Warum? Wenn die Passwörter und das System sicher sind, dann "altern" die doch nicht. Ein gutes Passwort bleibt ein gutes Passwort!
Das Sicherheitsschloss an der Haustür wechsle ich doch auch nicht auf Verdacht alle drei Monate aus, sondern nur dann, wenn jemand den Schlüssel verloren hat!

Die vernünftigste Passwort-Regel wäre: mindestens 25 Zeichen mit dem kompletten Zeichensatz für extreme Sicherheit, aber bei 25 Zeichen würde auch ausschließlich Kleinbuchstaben ausreichen. Ansonsten keine Regeln. Da kann man sich eine lustige Passphrase ausdenken, die man sich gut merken und leicht tippen kann. Und bei mind. 20 Zeichen wäre das sicherer, als jedes kurze Passwort wie "Tr0ub4dor&3" :p
Ergänzung ()

Fliz schrieb:
Das Problem da ist wahrscheinlich einfach das: Die IT wird vom Bundestag bezahlt und hat sonst nicht viel zu sagen. Wenn die IT z.B. mal die Passwort-Policys richtig anziehen würde, dann würde es Beschwerden hageln und sich ein anderer IT-Dienstleister gesucht.

Es kommt auch einfach darauf an, ob das Unternehmen sich darüber bewusst ist, wie wichtig eine starke IT ist.
Ich kenne da ein Unternehmen (ich nenne jetzt keine Namen), die immer noch jede Menge WinXP Rechner im Netz haben, weil die IT einfach massiv unterbesetzt ist, und die paar Leute dort einfach keine Wunder vollbringen können. In der IT Abteilung weiß jeder genau, was da falsch läuft - aber die können in ihrer jetzigen Situation nichts daran ändern. Dazu müsste von oben die Einsicht kommen, dass hier massiv investiert werden muss, weil das so wie bisher einfach gar nicht geht!
Wenn in einem Unternehmen aber ausschließlich die oben erwähnten DAUs arbeiten, von der Sekretärin über alle Chefetagen, dann wird das nichts. Für diese Leute ist der Computer halt dieses Ding, mit dem man Emails schreibt - was ist daran schon so wichtig? Und die IT sind die komischen Typen, die man anruft, wenn der Drucker nicht geht. Bei der Einstellung läuft das dann eben komplett falsch!
Ergänzung ()

Autokiller677 schrieb:
Und auch hier bleibt die Frage, wie viele Versuch ein Angriff in der Realität, basierend auf Wörterbüchern etc., wirklich brauchen würde. Vermutlich etwas weniger als die 550 Jahre, aber, aufgrund von größerer Länge und 4 Worten wohl immer noch deutlich länger als 3 Tage.

In welchem Wörterbuch soll denn das Wort "correct horse battery staple" drin stehen? Eine Wörterbuchattacke hilft nur dann, wenn das komplette Wort sich im Wörterbuch befindet. Man kann das Passwort nicht "Wort für Wort" bruteforcen nach dem Moto "okay, die ersten vier Buchstaben stimmen schon mal, jetzt muss ich nur noch den Rest finden"
Man kann Randall Munroe von xkcd ruhig glauben, der ist studierter Physiker und ehemaliger Robotik-Experte der NASA. Wenn der eine Rechnung aufstellt, dann stimmt die!
 
Zuletzt bearbeitet von einem Moderator:
Als ich mich vor gut 10 Jahren mit dem Thema intensiv beschäftigt habe wurden für Angriffe auf Passworter nicht das Oxford Dictionary genutzt sondern spezielle Wörterbücher. Einfach mal nach Dict, Password und txt googlen.
Insofern bleibe ich dabei, dass ein Passwort mit komplexen Vorgaben schwächer ist als eines ohne Vorgaben. Sowohl theoretisch als auch praktisch. Und wie von vielen auch schon angemerkt, Länge ist Trumpf.

Was mich immer stört - wie auch hier an einigen Stellen - ist dieses schnelle lesen und dann reflexartige absondern von Kommentaren alá "was für n00bs". Um so schlimmer finde ich das, wenn CB auch noch solche Aussagen fördert indem sie von "nicht mehr Zeitgemäß" schreibt. 8 Zeichen mag zu wenig sein, alles darüber hinaus ist kontraproduktiv. Leider bin ich aus dem Thema viel zu lange raus und auch hier hat sich das Rad der Zeit weiter gedreht. Ansonsten würde es mich echt in den Fingern jucken zu so einem Thema mal einen Beitrag zu verfassen.

Das gleiche Spiel hat man übrigens beim OneTimePad gespielt. Theoretisch perfekt und das ganze sogar bewiesen. Allerdings mit ein paar blöden Spezialfällen. Also hat man ein "perfektes" Verfahren verbessert und damit wurde es praktisch angreifbar. Gut gemeint und schlecht gemacht. Wie bei den Passwörtern.
 
highks schrieb:
In welchem Wörterbuch soll denn das Wort "correct horse battery staple" drin stehen? Eine Wörterbuchattacke hilft nur dann, wenn das komplette Wort sich im Wörterbuch befindet. Man kann das Passwort nicht "Wort für Wort" bruteforcen nach dem Moto "okay, die ersten vier Buchstaben stimmen schon mal, jetzt muss ich nur noch den Rest finden"
Man kann Randall Munroe von xkcd ruhig glauben, der ist studierter Physiker und ehemaliger Robotik-Experte der NASA. Wenn der eine Rechnung aufstellt, dann stimmt die!

Du hast mich falsch verstanden. Wenn ich weiß, dass das PW aus Wörtern besteht, kann ich trotzdem mit einem Wörterbuch drauf losgehen und Kombinationen von real existierenden Wörtern durchprobieren. Auch damit wird mein Schlüsselraum deutlich kleiner.

Und hättest du meinen letzten Post hier gelesen, hättest du auch mitbekommen, dass ich sehr genau weiß, wer Munroe ist und was er macht. Ich bin zudem selber Physiker, da bleibt es nicht aus, xkcd Fan zu sein.
 
highks schrieb:
Wenn der eine Rechnung aufstellt, dann stimmt die!
By the way: Diese Naivität ist bewundernswert. Auch ein Experte kann sich 20 Jahre lang irren.

(Was nicht heißen soll, dass er sich irrt. Halte ihn trotzdem für qualifiziert seinem Lebenslauf nach.)
 
Autokiller677 schrieb:
Wenn ich weiß, dass das PW aus Wörtern besteht, kann ich trotzdem mit einem Wörterbuch drauf losgehen und Kombinationen von real existierenden Wörtern durchprobieren. Auch damit wird mein Schlüsselraum deutlich kleiner.

Erstens kannst du das aber nicht sicher wissen und zweitens gibt es sowas von viele Wörter, dass die Anzahl der Kombinationen sehr schnell sehr, sehr hoch wird, spätestens ab einer Kombination von 4 oder 5 Wörtern. Dann hast du zwar, selbst wenn man weiß, dass es "nur" maximal 5 Wörter sind, "nur" 5 als Exponent, aber die Anzahl aller möglichen Wörter (Wer sagt übrigens, dass die nur von einer Sprache sein müssen? Oder englische Wörter überhaupt vorkommen müssen? ) im Exponent. Sollte klar sein, dass das quasi gegen unendlich explodiert...
 
^^ wer nimmt schon zusammengesetzte Wörter? Da ist man mit Cuda und Wortschatzdatenbanken relativ schnell durch außer man schreibt ganz bewusst jedes Wort falsch oder ersetzt Buchstaben mit Zahlen und das hilft auch nicht immer, siehe Hacking Team Leak und die Sache mit dem passw0rd *lol*.
Ich finde 3-Faktor Authentifizierung sollte aber in gewissen Bereich längst Standard sein:
Fingerprint + Irisscan oder Smartcard + Passwort.
 
@DrToxic:

Liest du eigentlich mal mehr als den letzten paar Posts? Was du beschreibst habe ich in #61 ausführlich vorgerechnet und bin eben auch zu dem Schluss gekommen, das man ab 5-6 Wörtern eine Sicherheit hat, die die meisten normalen Passwörter mit Sonderzeichen etc. übersteigt.
 
Ich benutze ganz gerne Strukturformel + trivialnamen Z.B. kokainC17H21NO4 oder irgendwelche Reaktionsgleichungen.
 
Ne mein schon die Strukturformel, wollte es aber nicht vormachen wie ich es schreibe. Benenne dann halt schon die funktionellen Gruppen, gut es sind "Halbstrukturformeln" aber die echten ;)

Mit meinem Beispiel hast du natürlich recht.
 
Zurück
Oben