Warum müssen Passwörter lang und komplex sein?

[charly_]

Hallo Zusammen,

die triviale Antwort auf die Frage "Warum müssen Passwörter lang und komplex sein?" ist ja, dass es durch probieren schwerer zu knacken wäre. Es wird dann von "brute force" gesprochen. Und iwas von Hash-Raten. Das verstehe ich schon. Aber wie zum Geier soll der Angriff in der Realität ablaufen?

Beispiel: Email Password: Charly@cb.de // "Eis123"

Dann müsste der Angreifer ja doch sehr anfragen. Das könnte man ja sehr einfach mit einem Schutz, wie zB: nach erfolglosem Versuch 5sec warten, aushebeln? Selbst das einfache Passwort wäre doch auf diese Weise sicher.

Wie kommt der Angreifer überhaupt an die "Hashes"?

Kann das jemande erklären oder vielleicht den Link zu einer guten Erklärung schicken?

VG Charly

 

[benneq]

Wie kommt der Angreifer überhaupt an die "Hashes"?

Durch eine der unzähligen ungeschützten Datenbanken im Netz. Erst vor ein paar Tagen wurden wieder über 1000 frei zugängliche Datenbanken entdeckt. In diesem Fall wurden (vermutlich) einfach nur sämtliche Daten gelöscht. Aber genau so gut kann man vorher auch die Datenbank auslesen und dann den Kram im Darknet verkaufen. ( https://www.heise.de/news/Meow-Atta...d-MongoDB-Server-Motiv-unbekannt-4851739.html )

Dann müsste der Angreifer ja doch sehr anfragen. Das könnte man ja sehr einfach mit einem Schutz, wie zB: nach erfolglosem Versuch 5sec warten, aushebeln? Selbst das einfache Passwort wäre doch auf diese Weise sicher.

Wenn es nur um Login-Versuche geht, dann stimmt das natürlich: Einfach nach jedem erfolglosen Login eine 5-Sekunden-Sperre einrichten. Oder noch besser: Nach 10 erfolglosen Versuchen den Account sperren, sodass man den erst mal wieder per E-Mail aktivieren muss. Das macht Bruteforce Attacken ziemlich nutzlos.
Aber trotzdem gilt hier: Je kürzer das Passwort, desto schneller kann man es knacken - auch wenn's insgesamt trotzdem ziemlich lang dauern würde.
Aber wenn der Hash bekannt ist, gibt's solche Sperren nicht mehr, weil man den Angriff einfach auf jedem beliebigen Computer (am Besten verteilt auf ein großes Botnetzwerk) ausführen kann.

 

[yxcvb]

Möglichst lang und komplex - das war früher mal. Ja, ein Mensch denkt, oh, das Password KlköKS''+1ß##'' absolut sicher. Für einen Computer ist dieses Password genauso gut wie password123456. Der hat nämlich keinerlei Bezug zu Wörtern.

 

[Sephe]

Passwörter müssen nicht komplex sein - ein langes Passwort reicht (was schwer zu erraten ist), da die benötigte Rechenzeit mit jedem weiteren Zeichen exponentiell steigt.

Beispiel:
Das: ichmagblauewandfarbegarnichtdenngelbistmirviellieber
ist deutlich sicherer als das: sdgsfj3802#!§/(")(=.


Passworthashes kommen entweder durch unsicheres Login-Handling ans licht, oder durch nicht abgesicherte Datenbank, Debugzugänge, Datendiebstahl, sicherheitslücken etc.

Hashes lassen sich sehr schnell berechnen.
Somit lassen sich Hashes vorberechnen und speichern.
Wenn man auf einen Datenbank-Dump stößt. sucht man in seinen vorberechneten Hashes nach diesem Hash und erhält im Idealfall das Passwort im Klartext.

Aus diesem Grund sollten Passwort-Hashes immer "gesaltet" (gesalzen) sein.
Dabei wird ein zufälliger Wert genommen, zu dem Kennwort hinzugenommen und DAS dann gehasht.
Dieser zufällige Wert muss aber mit in der Datenbank gespeichert werden, um das Kennwort zu überprüfen.

 

[cc_aero]

Ich glaube da Problem ist weniger die Brute Force Attacke auf den Dienst selbst sondern eher das Risiko das (unsichere) Hashes durch Einbrüche in Datenbanken abgezogen werden und diese dann in alle ruhe lokal mittels Brute Force versucht werden zu "reprodzieren". Komplexe und lange Passwörter sind da viel einfacher als leichte (die evtl. auch schon in Passwort-Wörterbüchern enthalten sein können) zu errechnen.
Hat man mal das zugehörige Passwort zu einem Hash errechnet und auch bereits die dazugehörige Mail-Adresse aus der Datenbank abgezogen, kann man die Kombination in aller Ruhe bei diversen Diensten probieren -> der Brute-Force Schutz ist dann wirkungslos.

 

[SpamBot]

Der hat nämlich keinerlei Bezug zu Wörtern.

Klar hat das manche Software.... Und schon ziemlich lange! Ist ja kein Hexenwerk hier Wörter zu implementieren.

 

[bananen_admiral]

An die Hashes kommt der Angreifer durch Hashlisten in öffentlichen Datenbanken aus gesammelten Leaks bzw. ein Hack des Zielsystems, was man als Betreiber nie ausschließen kann. Dann wird die Rate an möglichen Passwortkombinationen nur durch die Ressourcen des Angreifers begrenzt und bei den älteren Hashalgorithmen wie MD5 liegt man mit einer gewöhnlichen GPU schon bei einigen Millionen pro Sekunde

 

[Nilson]

Passwörter müssen in soweit komplex sein, als dass sie nicht in einem "Wörterbuch", also einer Liste bekannter Passwörter, auftauchen.

Das könnte man ja sehr einfach mit einem Schutz, wie zB: nach erfolglosem Versuch 5sec warten, aushebeln?

Das Problem ist, wenn der "Hacker" direkt Zugriff auf die Datenbank hat (z.B. über eine Lücke im Server) dann nutz der natürlich seine eigenen Programme und sit so nicht über die 5sec limitert.

 

[cc_aero]

Passwörter müssen nicht komplex sein - ein langes Passwort reicht (was schwer zu erraten ist), da die benötigte Rechenzeit mit jedem weiteren Zeichen exponentiell steigt.

Also ich denke die "Komplexität" bzw. der Verwendete Zeichensatz wirkt sich ebenfalls auf die Berechnungsdauer aus.

Es dauert immerhin nicht so lange A-Z + 0-9 + a-z pro Stelle durchzuprobieren als wie zusätzlich noch alle Möglichen Sonderzeichen. Außerdem schützt die Komplexität gegen "Wörterbuch"-Attacken.

 

[Popey900]

Einfache Passwörter und richtige Wörter können einfacher mit Brute-Force-Methoden geknackt werden.

Also Wörter wie Haus123 ist um einiges einfach zu knacken wie sauH123.
Die Programme gehen erst das Wörterbuch mit Zahlenkombinationen durch. Aber das kann lange dauern.
Viel wichtiger ist es, nicht für alles das selbe Passwort nehmen.

 

[Simanova]

Hallo Charly_

viele Angriffsszenarien laufen automatisiert und ohne menschliches Zutun ab.

Bei Brute-Force Attacken sucht man sich Einfallstore, welche unbegrenzte Passwort-Eingaben erlauben. Administratoren können solche Angriffe abwehren, in dem sie eine Zugriffs-Quota setzen.

Das eigentliche Angriffszenario sind aber Passwortlisten. Angreifer erwarten, dass du für verschiedene Dienste immer das gleiche Passwort benutzt. Je einfacher das Passwort desto wahrscheinlicher ein erfolgreicher Fremdzugriff.

Solche Passwortlisten werden im Darknet gehandelt. Und sind quasi für jedermann zugänglich.

Um beide Szenarien abzuwehren, ist es wichtig komplexe Passwörter und verschiedene Passwörter zu nutzen.
Außerdem is es hilfreich, wenn man darüber informiert wird, dass ein bereits verwendetes Passwort in solch einer Passwortliste auftaucht. Mozilla bietet für Firefox hier einen Dienst an.

Hash Werte verschleiern Passwörter, sodass diese zwar noch benutzt, jedoch nicht ausgelesen werden können.
Viele Datenbanken speichern Hash Werte ab. Wird eine Datenbank geklaut, laden die Hashwerte beim Angreifer. Dieser kann dann die Hash Werte anstelle der Passwörter verwenden. Den meisten Servern ist nämlich egal, ob du dein Passwort oder einen Hash-Wert zu Login verwendest.

Hash Werte können außerdem mittels CPU/GPU Rechenleistung auf Passwörter zurückgerechnet werden. Ab einer Zeichenlänge von 12 Zeichen (inklusive Groß, Klein, Sonderzeichen und Zahlen) ist es nicht mehr lukrativ diese zu berechnen.

Zusammenfassung

Sicherheitslücken und Datenlecks lassen sich nicht vermeiden. Dein Passwort wird irgendwann auf solch einer Passwortliste im Darknet landen. Nutze lange Passwörter, um die HASH Rück-Berechnung unmöglich zu machen. Nutze verschiedene Passwörter um den Schaden zu minimieren. Prüfe, ob genau dieses Passwort schon geklaut wurde, bevor du es verwendest.

 

[KnolleJupp]

Es kommt drauf an.

Es gibt Passwort-Listen, die automatisiert abgearbeitet werden können.

Wenn es darum geht ein Passwort zu "erraten" oder sonstwie herauszufinden, ist ein langes Passwort nicht zwingend besser als ein kurzes.
Gute Passwörter sind solche, die du nicht im Duden findest, die nichts mit deiner Person zu tun haben und die man regelmäßig erneuert.

Ich halte ein Passwort wie z.B. "?T67793x" für gut und sicher.
Es steht nicht im Duden, man kann es sich merken und es hat mit nichts was zu tun. Man kann nicht von außen auf dieses Passwort rückschließen.

Natürlich sollte man für jeden Dienst ein anderes Passwort nutzen und dieses - wie schon gesagt - regelmäßig ändern.
Psychologie spielt auch eine Rolle, Beispiel: Sonderzeichen stehen oft wo? Genau, am Ende... Das wissen auch die bösen Hacker.

Die zielführendste Methode ist gleichzeitig die aufwändigste: Slow & Low.
Einfach raten. Vorname, Nachname, Gebutsdatum, Name der Kinder, Geburtsdatum der Kinder, Name des Hundes, Hochzeitstag usw.
5 Versuche täglich pro Dienst. Irgendwann bricht man in einen Dienst ein, z.B. das eMail-Konto.
Nun kann man auf anderen Seiten z.B. eine Passwort-Wiederherstellung anfordern...
Dann bricht man ins Facebook-Konto ein und guckt mal was derjeinge da so treibt...

Jetzt kommt die Wahrscheinlichkeit ins Spiel. Änderst du das Passwort, spielt es für den Hacker keine Rolle wie viele Passwörter er schon probiert hat,
die Erfolgswahrscheinlichkeit fängt mit jeder Passwortänderung wieder bei Null an.

Die andere Variante ist es Passwörter einfach Passwörter sein zu lassen.
Dann greife ich den Dienst direkt an und versuche ohne Passworteingabe weiter zu kommen.
In diesem Fall ist die Art des Passwortes schlicht egal. Das Passwort könnte auch "1234" lauten, da eine Passworteingabe gar nicht erst probiert wird.

Entweder versuche ich an das Passwort zu kommen. Da sind Hashwerte usw. völlig nutzlos, viel erfolversprechender ist dein Sozialleben.
Oder ich versuche die Passworteingabe zu umgehen. Dann ist das eigentliche Passwort egal.

Sicher sind Systeme, die auf mehrere Sicherheitsstufen setzen.
Ein Beispiel das mir gerade einfällt - was aber fast schon in Vergessenheit geraten ist - dafür ist HBCI.
Dieses System, um Online-Banking abzusichern, wurde IMHO nie geknackt.

Internetseiten, die mit Datenbanken im Hintergrund arbeiten, speichern keine Passwörter, sondern lediglich Hashwerte.
Wenn du die erbeutest, ist das fast genauso als hättest du die Passwörter im Klartext.
Wenn die Datenbank nicht gut genug gesichert ist, ist das doof...

 

[h00bi]

Somit lassen sich Hashes vorberechnen und speichern.

Stichwort Rainbow Tables.
Große Tabellen mit Hashes und deren Klartext-PW.

 

[calippo]

Für einen Computer ist dieses Password genauso gut wie password123456. Der hat nämlich keinerlei Bezug zu Wörtern.

Für einen "dummen Computer schon", solche Attacken laufen aber über Rainbow Tables, da werden die einfachen Passwörter zu erst getestet.

 

[benneq]

Den meisten Servern ist nämlich egal, ob du dein Passwort oder einen Hash-Wert zu Login verwendest.

Wie was wo? Mir fällt kein Dienst ein, wo ich den Hash meines Passworts hin senden kann um mich einzuloggen.
Dazu müsste ja auch der Hash Algorithmus und das Salt am Client bekannt sein. Wer sowas macht, gehört hinter Gitter.

Im Normalfall sendest du deine Login Daten als Klartext (natürlich SSL verschlüsselt) an den Server und dieser berechnet daraus den Hash und vergleicht ihn mit dem Hash aus der Datenbank.

 

[cc_aero]

Den meisten Servern ist nämlich egal, ob du dein Passwort oder einen Hash-Wert zu Login verwendest.

DAS glaube ich mal nicht ...

 

[Simanova]

Wie was wo? Mir fällt kein Dienst ein, wo ich den Hash meines Passworts hin senden kann um mich einzuloggen.
Dazu müsste ja auch der Hash Algorithmus und das Salt am Client bekannt sein. Wer sowas macht, gehört hinter Gitter.

Im Normalfall sendest du deine Login Daten als Klartext (natürlich SSL verschlüsselt) an den Server und dieser berechnet daraus den Hash und vergleicht ihn mit dem Hash aus der Datenbank.

Quasi alle Email Server akzeptieren bei der Authentifizierung beides.
Egal ob GMX, Web.de oder eigene Dienste.

So kann man mit recht einfachen Mitteln seine Passwörter herausbekommen.
Wer mehr darüber wissen will, sollte bei Nirsoft mal vorbei schauen.

Auch bei WPA und anderen Protokollen werden die Hash-Informationen abgelegt und lassen sie ohne Kenntnis des Passwortes nutzen.

Eine Vielzahl von Passwort Wiederherstellungs-Tools basieren auf diesem Prinzip.
Entweder wird der Hash-Wert direkt genommen oder zurückgerechnet, sofern der HASH-Algorithmus recht einfach war. (Siehe z.b https://curi0sity.de/2016/02/warum-sha-1-unsicher-ist/)

 

[KnolleJupp]

Den meisten Servern ist nämlich egal, ob du dein Passwort oder einen Hash-Wert zu Login verwendest.

Das stimmt bestimmt nicht.
Gibst du ein Passwort ein, wird daraus ein Hashwert generiert und mit dem abgespeicherten Hashwert verglichen.

Ab einer Zeichenlänge von 12 Zeichen (inklusive Groß, Klein, Sonderzeichen und Zahlen) ist es nicht mehr lukrativ diese zu berechnen.

Ich hatte in meinem Beitrag beispielhaft das Passwort "?T67793x" genannt.
z.B der SHA1-Hashwert lautet in dem Fall "1a53cd2ec8335622dc7c0f3a61b06cfacba89133". Viel Spaß beim zurückrechnen...

 

[cc_aero]

Quasi alle Email Server akzeptieren bei der Authentifizierung beides.
Egal ob GMX, Web.de oder eigene Dienste.

Glaub ich noch immer nicht bis zum Beweis des Gegenteils

So kann man mit recht einfachen Mitteln seine Passwörter herausbekommen.
Wer mehr darüber wissen will, sollte bei Nirsoft mal vorbei schauen.

Was du meist ist wohl eher die Möglichkeit im Browser oder Mail-Programm, etc abgespeicherte Passwörter wieder auszulesen. Das ist komplett was anderes, den diese Programme hashen das Passwort nicht sondern speichern es mit einer umkehrbaren Verschlüsselung oder sogar im Klartext ab.

 

[Conqi]

Angreifer erwarten, dass du für verschiedene Dienste immer das gleiche Passwort benutzt.

Das würde ich gerne nochmal hervorheben. Das ist mit Abstand der wichtigste Punkt. Auch ein 30-stelliges Superpasswort ist wertlos, wenn es einmal in die falschen Hände gerät. Daher für möglichst viele Dienste ein einzigartiges Passwort auswählen. Ein Passwortmanager hilft hier enorm.