Warum ist ein Passwort nur aus Zahlen nicht sicher?

[awanagana]

@awanagana
https://www.computerbase.de/downloads/sicherheit/passwortmanager/keepass/

Vielen herzlichen Dank für den Link und ich entschuldige mich für Tatsache, dass ich deinen Beitrag erst jetzt gesehen habe. Ich werde mir die Software gleich einmal in Ruhe ansehen.

 

[PSX-Man]

Mal ne Frage an euch, wie funktioniert denn das mit dem ”Brutforcen”?

Ich meine auf den meißten Webseiten hat man nur eine geringe Anzahl von Versuchen sein Passwort einzugeben, danach wird der Zugang entweder komplett oder aber für eine gewisse Zeit gesperrt. Wie soll das also gehen?

 

[Philipp692]

Es funktioniert nur, wenn dieser Schutzmechanismus umgangen wird und es eben nicht gesperrt wird.

 

[Murray B.]

Mal ne Frage an euch, wie funktioniert denn das mit dem ”Brutforcen”?

Ich meine auf den meißten Webseiten hat man nur eine geringe Anzahl von Versuchen sein Passwort einzugeben, danach wird der Zugang entweder komplett oder aber für eine gewisse Zeit gesperrt. Wie soll das also gehen?

Wenn beispielsweise die Datenbank mit den vermeintlich sicher gehashten Passwörtern wegkommt und ein Angreifer dann per Brute Force eine Liste bekannter Passwörter hasht und mit den erbeuteten Hashwerten vergleicht. Selbst ein Salt hilft da u. U. nicht viel, weil man dann mit vorberechneten Rainbow Tables doch recht schnell die Passwörter ermitteln kann.

Ansonsten kann es natürlich auch sein, dass das Web-Frontend einen Bug hat, der Brute Force dann doch erlaubt. Wäre vermutlich nicht das erste Mal

 

[conf_t]

Ferner kann man sich auch versuchen mittels einem anderen Protokoll anzumelden, z.B. kann man per IMAP, POP3 oder SMTP, FTP oder SSH Anmeldung statt per (hoffentlich geschützer) Webseite versuchen sich anzumelden. Auch hier kann man Limits einrichten und Accesslists einrichten, aber das hat nicht jeder auf dem Schirm... und das Passwort, was dort geht, geht dann auch evtl. am Webinterface,.... da gibt es so viele kreative Ansätze....... Mit der wichtigste ist aber auch das Social Engineering. Oder man hat ein Botnetz, jedes mit einer anderen IP-Adresse, wenn die Fehllogins nur per IP-Adresse geblockt werden, kann man mit ausreichend vielen Quell-IPs auch schon viel anstellen.
Das Thema ist verdammt vielschichtig und entsprechend vielschichtig sind die Ebenen die man absichern muss, und es ist nie die Frage ob etwas unzureichend oder gar nicht abgesichert wurde, oder ein Zero-Day Exploit existiert, sondern schlicht die frage wann es entdeckt wird - und hoffentlich war mal selbst als Betreiber schneller, oder zu uninteressant. Denn praktisch ist es immer, wenn man eine Basis findet, auf der man dann per Bruteforce ungestört tagelang zu Werke gehen kann.

 

[PSX-Man]

Danke für den zusätzlichen Input! 👍

 

[hmaker]

Es gibt ja schon genügend Antworten dazu, warum ein komplexes Passwort mehr Sicherheit bietet.

Ein kleiner Exkurs zum Thema Verschlüsselung:

In der Mathematik bzw. Informatik gibt es keine natürlichen Zufälle. Die Sicherheit basiert auf Verschlüsselungsalgorithmen – z.B. dem Faktorisierungsproblem von Primzahlen. RSA basiert selbst nicht auf Zufallszahlen, allerdings werden die verwendeten Primzahlen zufällig erzeugt.

Natürliche Zufälle sind u.a. die atomare Halbwertszeit oder Lavalampen. Cloudflare experimentiert gerade mit Lavalampen und sichert auch schon einen Teil der eigenen IT-Infrastruktur damit ab. Wirklich!

 

[Prometheus27]

Ein kleinen Einstieg, wie man Passwörter knackt und warum viele Passwörter unsicher sind gibt es hier in einem Video von Computerphile:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung