Passwortsicherheit

Hi,

mir sagte kürzlich jemand dass man gar keine kryptischen Passwörter braucht, sondern dass einfache Sätze reichen. Dazu noch ein Sonderzeichen und schon soll es quasi unmöglich sein dies mit einer Bruteforce-Attacke/Dictionary Attacke zu knacken. Denn da sie ohne Leerzeichen sind hat das Brute-Force Programm keinen Bezug mehr zum einzelnen Wort. Ist das Passwort „Köln“ würde es wohl nur Sekunden dauern. Aber „ichfahremorgennachköln“ dauert schon Monate und „immerwennichinkölnbintrinkeicheinkölsch?!“ dauert Jahrhunderte.

Stimmt das?

Gruss
K

So etwa stimmt das
Ja, so etwa stimmt das. Aber nur so halb.
Denn jedes Wort, welches in einem Wörterbuch stehen kann, und jedes Jahr oder Datum hat nur den „Wert“ wie drei, vier zufällige Zeichen.

Denn auch wenn die Wörter hintereinander geschrieben sind, können Sie über Wörterbücher genau leicht zusammengesetzt werden wie Buchstaben und Ziffern.

MeinHausstehtinKöln setzt sich durch 5 Worten zusammen. Und wenn man die in allen möglichen Kombinationen durchspielt, braucht es keine Monate.

Und es gibt den Nachteil, dass minderbegabte Web-Entwickler schnell mal Regeln aufgestellt haben, die dann sagen „Passwort zu lang“ oder „ö ist unzulässiges Zeichen für Passwort“.

Mit geringem Aufwand kannst Du aber den Härtegrad erhöhen: Man veränderte einfach die Worte: MmeinHhaussStehtiImKköln oder MeiHaustehiKöl

Ciao, Allesquatsch

Aber das mit den Leerzeichen
ist völliger Schwachsinn.

Der Computer hat keinerlei Verständnis, was Worte sind. Der arbeitet einfach eine Anweisung ab. Und wenn die lautet: „Teste die Kombination von Worten“, sind es nur Varianten, ob zwischen den Worten gar nichts, Leerzeichen oder Satzzeichen oder Kombinationen davon stehen.

Übrigens sind die Vorstellungen vom Kennwortknacken häufig unrealistisch: Wenn man die Systemen sind selbst gehackt bekommt, sind selbst einfache Kennworte ausreichend. Siehe die 4-stelligen Geheimzahlen von EC-Karten.

Das mit den Dauern ist dann relevant, wenn jemand an die Kennwortdatei rankommt. Dann kann er in aller Ruhe auf dem eigenen Rechner die Möglichkeiten durchtesten und eine zulässige Möglichkeit finden, um sich dann später einzuloggen.
Aktuelle Spiele-Computer können in der Sekunde einige Milliarden Kombinationen durchtesten. Da geht es dann in der Regeln gar nicht um Monate sondern um Tage oder Wochen.

Hat jemand ein System aber komplett kompromittiert, dann kann er alle Kennworte, die eingegeben werden, mitprotokollieren - egal wie komplex.
Deshalb ist es wichtig, dass man unterschiedliche Kennworte verwendet. Zum Beispiel durch Kombination von einem fixen und einem variablen Teil. Der variable Teil ist dann beispielsweise der 4., 3. und 2. Buchstabe der Domäne, aber eins hochgezählt:
ebay => y a b => z b c

Fügt man das jetzt in den Satz als jeweils letzten Buchstaben ein, erkennt man kaum noch den Originalsatz
Mei z Hau b steh c iKöl

Ciao, Allesquatsch

Korrektur
Der Satz in zweiten Abschnitt muss lauten:
Wenn man die Systeme nicht selbst gehackt bekommt, …

Hallo

Es gibt eine Menge verschiedener Empfehlungen und Meinungen zum Thema Sicherheit von Passwörtern.

Ein interessanter Artikel zu diesem Thema ist dieser hier:
http://www.phpgangsta.de/passwortmythen-oder-%E2%80%…

Oder auch das hier:
http://cms.dedenhausen.de/cfd/2011/07/26/passwortsic…

CU
Peter

Hei!

das Passwort „Köln“ würde es wohl nur Sekunden dauern.

Njaeien.
Diese ganzen Zahlenspielereien gehen davon aus, das die Antwort (ob das Passwort richtig oder falsch ist) nahezu in Nullzeit kommt. Das ist aber hochgradig unrealistisch. Versuch mal mit geeigneter Software eine Brute-Force-Attacke auf ein RAR-Archiv, und du wirst feststellen, das die Überprüfung (die bei RAR immer mit einem kompletten Entpack-Vorgang verbunden ist, weil RAR erst dann den CRC-Check machen kann), 99% der Zeit in Anspruch nimmt. Ein simples 3-Buchstabenpasswort auf eine RAR-Datei im KiloByte-Bereich bekommt die Software in Sekunden raus - das gleiche Passwort auf einer Datei im 100 MB-bereich dauert schon viele Stunden (und das gilt beides nur für Buchstaben, weder Ziffern noch Sonderzeichen, beides würde die Zeit vervielfachen).
Ich würde sagen hier sind bereits „gewöhnliche“ Passwörter mit sieben oder acht Buchstaben bei… äh… „Haushalts-Hardware“ mit BruteForce nicht mehr zu brechen.

Bei Online-Passwörtern kommt die Antwort-Zeit (letztlich der Ping) dazu. Bei einem Ping von nur 100 ms kann auch der schnellste Passwort-Knacker nicht mehr als 10 Passwörter in der Sekunde ausprobieren. Hinzukommt, das die meisten Seiten nach 3, 5 oder 10 falschen versuchen den Account entweder ganz sperren, oder wenigstens die IP-Adresse für eine gewisse Zeit bannen.

Darum sind ja auch die eigentlich lächerlichen PINs auf der Karte deiner Bank (da gibt’s ja nur 10.000 Möglichkeiten, eine Sache von wenigen Minuten) relativ sicher: Nach der dritten falschen Eingabe wird die Karte gesperrt.

Dazu noch ein Sonderzeichen und schon soll es quasi unmöglich sein dies mit einer Bruteforce-Attacke/Dictionary Attacke zu knacken.

Du musst hier streng zwischen BruteForce und Dictionary unterscheiden.
Dictionary arbeitet mit Wörterbüchern, dagegen kann man sich durch ein einzelnes Sonderzeichen ziemlichgut absichern. BruteForce probiert systematisch alle Kombinationen durch, da macht es keinen Unterschied. Allerdings ist BruteForce natürlich erheblich aufwändiger.

Sichere Passwörte sind übrigends ganz einfach und man kann sie sich sogar ganz einfach merken.
Google einfach mal nach MD5-Generator und leg dir ein Bookmark auf so einen, beispielsweise http://www.md5hashgenerator.com

Damit wird sogar „Köln“ zu einem sicheren Passwort, denn der MD5-Hash von Köln ist „2a0fc788da2f5a62dd4a1281b93b5bd4“, was jedermann als verdammt sicheres Passwort betrachten wird, und - solange die Crack-Software so etwas nicht mit berücksichtigt - weder mit BruteForce noch mit einer Wörterbuchattacke zu knacken sien wird - obwohl man es sich ganz leicht merken kann ;D

Und da man das per Cut-and-copy übertragen wird, dürfte das sogar gegen Keylogger resistent sein, wenn die nicht das Clipboard mit überwachen.

lg, mabuse

„immerwennichinkölnbintrinkeicheinkölsch?!“

ist sofort geknackt, wenn dir einer über die Schulter schaut und nur einen Bruchteil deiner Anschläge mitkriegt. Warum so ein vorhersehbarer Satz? Nimm einen nicht vorhersehbaren, dann darfst du ruhig auch Leerzeichen einsetzen: „Mein Stuttgarter Pferdchen trinkt in Kölle gerne Mumien“.

HTH

ja mag es sein, dass es sehr schwer mit Brute-force methode geht.

aber es gibt viele anderen methoden zB Keylogger. 

dann brauchen Hacker das Brute-Force methode nicht.

Passwortsicherheit (II)
Angeregt durch Peters wirklich sehr intereassante Links (meinen herzlichen Dank dafür!) und die Links auf diesen Seiten und die Links, die dann kamen und und und… ;D

hab ich mich jetzt auch mal etwas eingelesen, und will den… ähm… „Faulpelzen“ unter euch (nicht bös gemeint) eine kleine Zusammenfassung geben und meine Empfehlung erweitern.

Das Problem liegt nicht in den Versuchen, mit BruteForce ein Passwort beispielsweise für das Login bei PayPal oder ebay zu erschleichen, oder RAR-Archive zu knacken. Das wird aus den schon beschriebenen Gründen nichts werden.
Problematisch wird es, wenn ein Cracker auf irgendeiner Seite die komplette Passwort-Datei bzw. Datenbank erbeutet. Denn mit einer lokalen Kopie dieser Datei oder Datenbank lässt sich natürlich mit ganz anderen Geschwindigkeiten arbeiten. Wenn die Daten nicht relativ aufwändig verschlüsselt (= gepfeffert & gesalzen sind, siehe die Links von Peter), dann ist es durchaus möglich, innerhalb weniger Tage Dutzende, wenn nicht hunderte oder tausende einfacherer Passwörter aus so einer Datei zu extrahieren.

Ausdrücklich, um die Bedrohungslage klarer zu machen: Mit „Cracker“ sind nicht nur die klischeehaften Hollywood-Hacker gemeint, sondern das umfasst auch mißgünstige System- oder Datenbank-Administratoren, denen man gekündigt hat oder die sonstwie verstimmt sind. Oder mit genug Geld geschmiert worden sind.

Problematisch wird’s nun, wenn man aus Faulheit nur eines oder ganz wenige Passwörter hat, weil sich wirklich sichere Passwörter für verschiedene Einsatzzwecke zu merken ja ein ganz eigenes Problem darstellt. Und jetzt sind die Chancen ganz gut, das man mit diesem geknackten Passwort aus irgendeinem Board auch in den email-Account des Users reinkommt, oder gar in den ebay- oder Paypal-Account - und dann wird’s natürlich ernst.

Also hier mein Vorschlag für wirklich sichere und dabei leicht zu merkende Passwörter, wieder basierend auf dem MD5-Hash-Generator http://www.md5hashgenerator.com:

(gefakete) Lage:
Meine Freundin heisst Petra, ist 31 Jahre alt und ich will sichere Passwörter für ebay, paypal, w-w-w und mein Lieblingsspiel Runes of Magic.

Da nehm ich einfach den Namen und häng Alter und Einsatzzweck an und erstelle davon die MD5-Hashes, die ich dann als Passwort benutze:

Petra@31+ebay = b78f7a0c9cc3edca270d86d9bf7bf139
Petra@31+paypal = 006b74473de3183dceb0d6b9171dd670
Petra@31+w-w-w = 7d92022ba27793b1998681b7da4c01c4
Petra@31+RoM = abc3f153f0562a15b43824e7a522af0f

wie ihr seht, sind das Passwörter, die - obwohl einem offensichtlichen System folgend - nichts miteinander zu tun haben. Zusätzliche Sicherheit bekommt man automatisch, wenn man sich jedes Jahr am Tag vor dem Geburtag der Freundin hinsetzt und entsprechend neue Passwörter generiert:

Petra@32+ebay = d4b2e24f012ae438e96945aa334a7d73

Außerdem natürlich in unregelmäßigen Abständen, wenn die Freundin ausgewechselt wird (scnr )…

Und solange ihr nicht gerade Alter und Namen eurer Freundin vergesst, muss man sich auch gar nix merken und kann die Passwörter auch ohne nennenswerte Mühe woanders (Freunde, Arbeit, Internetcafe - hier natürlich niemanden über eure Schulter schauen lassen und Cache löschen nicht vergessen!) „restaurieren“.

Hoffe, ihr fühlt euch morgen alle viel sicherer…
mabuse

Hi,

Also hier mein Vorschlag für wirklich sichere und dabei leicht
zu merkende Passwörter, wieder basierend auf dem
MD5-Hash-Generator http://www.md5hashgenerator.com:

Hab ich das richtig verstanden, daß man dann jedes Mal den Hashgenerator benötigt, um in sein Benutzeraccount zu kommen? Was ist, wenn dieser Dienst eingestellt wird?

Gruß S (IT-Laie)

Fast …
Hallo Mabuse,

Der Rest geht in Ordnung, aber hier passt es nicht so richtig:

Wenn
die Daten nicht relativ aufwändig verschlüsselt (= gepfeffert
& gesalzen sind, siehe die Links von Peter), dann ist es
durchaus möglich, innerhalb weniger Tage Dutzende, wenn nicht
hunderte oder tausende einfacherer Passwörter aus so einer
Datei zu extrahieren.

Das Salz (ohne Pfeffer) kostet nur ein klein wenig mehr Speicherplatz und ist nicht kompliziert. Und die richtige Verschlüsselung von Kennworten ist nicht aufwendig, sondern nur der richtiger Befehl in aktuellen Umgebungen.

Problem ist hier der Einsatz von veralteten Algorithmen, deren mangelnde Eignung seit sehr vielen Jahren bekannt ist (wie das von Dir genannte MD5) und das fehlende Salz.
Passiert leider oft, wo uralte Software eingesetzt wird (z.B. in Foren, Blogs usw.).

Ohne Verschlüsselung :
Die gesamte Kennwortdatei liegt offen.

Verschlüsselung (besser: Hashen) mit ungeeignetem Algorithmus und ohne Salz:
Durch Nutzung von Hilfsmitteln Zeitersparnis um ca. Faktor 1.000 bis 1.000.000.000 und Wirkung gegen gesamte Kennwortdatei (Jeder Versuch testet gleich alle Konten auf einmal.)

Verschlüsselung (besser: Hashen) mit ungeeignetem Algorithmus aber schon mit Salz:
Zeitersparnis um ca. Faktor 1.000, jedes Konto muss einzeln geknackt werden.

Verschlüsselung (besser: Hashen) mit geeignetem Algorithmus (inkl. Salz):
Dauer des Knacken von Qualität des Kennworts abhängig.

In der Regel ist es dem Angreifer egal, welches Konto er knackt. Und da es genügend Menschen mit schlechten Kennworten (Worte, die man in Wikipedia findet) gibt, dauert es nur wenige Stunden , bis alle Konten mit schlechten Kennworten geknackt sind. Dann wird entweder versucht, die Konten bei der gleichen Anwendung anzugreifen oder ob die Kennworte noch woanders passen. Denn die übrigen Daten wie Name, Anschrift oder E-Mail-Adresse hat der Angreifer in der Regel schon. Und da Personen mit schlechten Kennworten meist das gleiche noch bei Webmail, Amazon, ebay, paypal usw. einsetzen, kann da richtig Schaden angerichtet werden.

Mit der von Dir prognostizierten Dauer von wenigen Tagen muss man heute schon rechnen, wenn geeignete Algorithmen und Salz eingesetzt werden. Zumindest bei über 90% der aktuellen Kennworte (zu kurz, Wortbestandteile, keine Sonderzeichen).
Allerdings muss man die Kirche im Dorf lassen: Die Kosten für so viel Rechenleistung sind so hoch, dass so etwas eher bei Industriespionage und Geheimdiensten passiert und nicht bei der Alltagskriminalität.

Mit so komplexen Kennworten wie hier vorgeschlagen, ist man also für viele Jahre auf der sicheren Seite.

Ciao, Allesquatsch

Kein Problem
Das ist ein bekannter Algorithmus, der in fast allen Programmiersprachen verfügbar ist.

Allerdings ist es keine gute Idee, einen Online-Dienst dafür zu nutzen. Besser wäre eine Anwendung/App.

Dann kann man aber vielleicht gleich auch einen Kennwort-Safe einsetzen.

Konzeptionell noch besser wäre, wenn statt Kennwort-Speicherung ein neutraler Authentifikator eingesetzt würde. Das muss aber die entsprechende Anwendung oder Webseite unterstützen.

Dabei gibt man das Kennwort nur lokal in den Authentifikator ein, der dann ein ganz kurzes Einmalkennwort mit der Anwendung oder Webseite vereinbart. Das Kennwort bleibt (vereinfacht ausgedrückt) ein Geheimnis zwischen Authentifikator und Anwender.

Ciao, Allesquatsch

Hab ich das richtig verstanden, daß man dann jedes Mal den Hashgenerator benötigt, um in sein Benutzeraccount zu kommen?

Nein, i.A. speichert der Browser/dein Spiel deine Passwörter ja - oder tippst du hier bei w-w-w jeden Tag dein PW ein?

Und natürlich kann man sich auch lokal einen PasswortSafe (z.B. KeePass) installieren, in dem die alle drin liegen. Wobei es, wenn man nicht übertrieben paranoid ist, auch eine (verschlüsselte) Textdatei tut - die sollte natürlich nicht unbedingt „Passwort.txt“ heissen, und vor den Passwörtern sollte auch nicht unbedingt der Einsatzzweck stehen.
Also eine Textdatei „Quellen für Bilder von Elefanten.txt“, die in ein verschlüsseltes RAR-Archiv kommt, das sollte es auch tun (natürlich nicht auf Rechnern, die für die Allgemeinheit zugänglich sind).

Das Schöne an sonnem MD5-Generator ist halt nur, das man sich seine Passwörter nicht merken oder notieren muss, wenn man sie mal woanders braucht (Firma, Internetcafe im Urlaub oder so), weil man sie online „restaurieren“ kann.

Was ist, wenn dieser Dienst eingestellt wird?

Davon gibt’s Dutzende im Netz, online und als Programm für die lokale Platte. Der Link war nur der erste Treffer bei Google, such weiter, und du findest noch viel mehr.

Maximal-Paranoide können sich solch einen Generator ja auch auf die eigene Webseite/den eigenen Server legen, so aufwendig sind die wirklich nicht. Google einfach mal nach „JavaScript MD5 Generator“, sowas gibt’s fix und fertig zum kopieren.

Schönes Wochenende, mabuse

Hei!

Problem ist hier der Einsatz von veralteten Algorithmen,

Das meinte ich mit „relativ aufwändig“.
Nicht, das es nicht problemlos möglich wäre, sondern das von vielen Webmastern - ob aus Unwissenheit oder Faulheit lassen wir mal dahin gestellt - meist die eher simplen, voreingestellten Algorythmen benutzt werden.

Okay, da hab ich mich ungeschickt ausgedrückt, mein Fehler.

In der Regel ist es dem Angreifer egal, welches Konto er knackt.

Genau - er will nicht mein Passwort, sondern nur möglichste viele irgendwelche Passwörter in akzeptabler Zeit.

Dann wird entweder versucht, die Konten bei der gleichen Anwendung anzugreifen oder ob die Kennworte noch woanders passen.
Und da Personen mit schlechten Kennworten meist das gleiche noch bei Webmail, Amazon, ebay, paypal usw. einsetzen,

Eben, da liegt der Hase im Pfeffer.
Natürlich gibt es viele Methoden, sich sichere Passwörter zu konstruieren - die Anfangsbuchstaben eines relativ einfachen Satzes beispielsweise.
M ein H aus s teht i n d er M eierstrasse 31 i n 42287 W uppertal. = MHsidM31i42287W
ist schon verdammt sicher. Sowas hab ich früher auch benutzt.

Aber wenn man - was ja unbedingt angeraten ist - jeweils eigene Passwörter für eBay, Amazon, PayPal, Spiele, Boards, email, Lovefilm etc. auf diese Art ausknobelt, kommt man schnell durcheinander - spätestens, wenn man irgendwann mal alle Passwörter aus Sicherheitsgründen ändern will - das kann sich ja keine Sau alles merken.

Und darum bin ich auf die Idee mit dem MD5-Hash gekommen. 2¹²⁸ Kombinationen machen einen MD5-Hash als Passwort schon verdammt sicher - als echter Paranoiker stelle ich noch ein einzelnes Sonderzeichen ans Ende, sozusagen mein persönlicher Pepper, um evtl. darauf angepasste Algorythmen abzuschiessen.

Vor allem ist das System dahinter ganz leicht zu merken, obwohl es von Außenstehenden nicht zu durchschauen ist.

Allerdings muss man die Kirche im Dorf lassen: Die Kosten für so viel Rechenleistung sind so hoch, dass so etwas eher bei Industriespionage und Geheimdiensten passiert und nicht bei der Alltagskriminalität.

Da bin ich anderer Meinung. Seit man auf modernen Graphikkarten hunderte - und demnächst wahrscheinlich sogar tausend und mehr - Shader damit beschäftigen kann, geht das rasant in den Keller. ElcomSoft redet von einer Reduktion um 98% (http://www.elcomsoft.de/edpr.html), TomHardware attestiert einer effen GeForce GTX 480 bei ZIP satte 500 Mio Passwörter pro Sekunde… (http://www.tomshardware.de/Passwort-Knacken-GPGPU-Wi…) - okay, ZIP ist jetzt nicht so der Brüller, bei AES geht es schon noch erheblich langsamer zu, aber wenn die Entwicklung so weitergeht…

Und letztlich können sich auch Alltagskrimininelle einen kleinen Cluster zusammenstellen. Hier (http://arstechnica.com/security/2012/12/25-gpu-clust…) ist ein Bericht über einen Cluster aus 5 Servern mit 25 Graphikkarten, der angeblich jedes Windows-Password in unter 6 Stunden bricht.
Das ist zwar nicht gerade „Haushalts“-Hardware, aber für jemandem, der daraus ein Geschäftsmodell machen will, auch nicht außer Reichweite.

Ich denke schon , das eine gewisse Portion Paranoia angesagt ist

Danke & *

Gruß S

Wir sind uns da zu 99% einig
Hallo Mabuse,

Allerdings muss man die Kirche im Dorf lassen: Die Kosten für so viel Rechenleistung sind so hoch, dass so etwas eher bei Industriespionage und Geheimdiensten passiert und nicht bei der Alltagskriminalität.

Da bin ich anderer Meinung. Seit man auf modernen
Graphikkarten hunderte - und demnächst wahrscheinlich sogar
tausend und mehr - Shader damit beschäftigen kann, geht das
rasant in den Keller. ElcomSoft redet von einer Reduktion um
98% (http://www.elcomsoft.de/edpr.html), TomHardware
attestiert einer effen GeForce GTX 480 bei ZIP satte 500 Mio
Passwörter pro Sekunde…

Das habe ich berücksichtigt, weil das schon seit einigen Jahren geht. Parallel dazu kann man sich in der Cloud geballte Rechenleistung mieten. Damit reduziert sich das Zeitproblem in ein Geldproblem. Deshalb sind die Ansätze, man müsse regelmäßig sein Kennwort ändern, auch nur noch begrenzt sinnhaft.

Das mit den 500 Mio ist höchstens schon runtergerechnet, denn der Spielerechner meines Kollegen schaffte schon vor drei Jahren rund 20 Milliarden md5 in der Sekunde. Die neueren Algorithmen sind jetzt bewusst langsam gemacht (1000 mal md5 hintereinander war auch eine Variante). Steht auch in dem von Dir verlinkten Artikel.

Da kommt allerdings genau mein Argument: Für diese Rechenleistung benötigt man Hardware und vor allem Strom. Denn so ein wassergekühlter Spielerechner frisst schon fast ein Kilowatt. Und deshalb ist es - ähnlich auch bei Cloud-Nutzung - eine Kostenfrage.
Es kommt nicht darauf an, wie schnell die Grafikkarte ist, sondern wie viel Hashes ich je Kilowatt berechnet bekomme. Und diese Zahl ist schon eine bessere Rechengröße als jetzt bei jeder neuen Grafikkarte Panikattacken zu bekommen.

Und letztlich können sich auch Alltagskrimininelle einen
kleinen Cluster zusammenstellen. Hier
(http://arstechnica.com/security/2012/12/25-gpu-clust…)
ist ein Bericht über einen Cluster aus 5 Servern mit 25
Graphikkarten, der angeblich jedes Windows-Password in unter 6
Stunden bricht.

Schlechter Vergleich, weil das nicht am tollen Cluster sondern an Windows liegt. Die Zugangssicherung von Windows ist wie das Schloss an der Kellertüre in älteren Wohnhäusern: eher ein symbolischer Schutz. Wer es bis dahin geschafft hat, hat genügend Alternativen, um sich gar nicht erst ums Schlossknacken kümmern zu müssen.

Aber wie gesagt, es geht nicht darum, wie man die Rechenleistung bekommt - dafür gibt’s ganz viele legale Wege - sondern wie teuer das für den Kriminellen ist.

Ich denke schon , das eine gewisse Portion Paranoia angesagt
ist

Angst ist kein guter Ratgeber. Auch bei sowas gibt es wirtschaftliche Zusammenhänge: Sowohl für den Kriminellen - als auch für das potenzielle Opfer. Es macht keinen Sinn, mehr Aufwand (Geld, Zeit, Komforteinbußen) in die Abwehr zu stecken, als der kalkulatorische Schaden (Geld, Zeit, Ärger).

Ciao, Allesquatsch

Böse Falle

Das Schöne an sonnem MD5-Generator ist halt nur, das man sich
seine Passwörter nicht merken oder notieren muss, wenn man sie
mal woanders braucht (Firma, Internetcafe im Urlaub oder so),
weil man sie online „restaurieren“ kann.

…

Maximal-Paranoide können sich solch einen Generator ja auch
auf die eigene Webseite/den eigenen Server legen, so aufwendig
sind die wirklich nicht. Google einfach mal nach „JavaScript
MD5 Generator“, sowas gibt’s fix und fertig zum kopieren.

Hallo Mabuse,

man muss nicht mal paranoid sein, um zu erkennen, dass diese Variante „unterwegs und online“ eine extrem schlechte Idee ist. Wenn Du MD5 online ermittelst, dann heißt das automatisch, dass Du Dein Originalkennwort in Reinschrift durch das Internet schickst. Jeder, der Deinen Netzverkehr belauscht, kann an Hand des unverschlüsselten Netztraffics sowohl Originalkennwort als auch z.B. das zurückgelieferte ebay-Kennwort mitlesen. Und dabei wahrscheinlich gleich auch noch die Rechenvorschrift erkennen.
Das muss kein Superkrimineller sein, es reicht ein Zugriff auf die Protokolldateien oder Caches der beteiligten Netzwerkkomponenten. Muss auch nicht in Echtzeit geschehen, kann ja vielleicht zufällig auf dem Backup-Band gesichert worden sein.

Das Ganze macht nur Sinn, wenn Du Dir einen lokalen MD5-Rechner auf Dein eigenes Endgerät legst.

Und dann ist der Unterschied zu einem Kennwort-Speicher nicht mehr groß. Die haben dafür auch noch ganz tolle Features. Zum Beispiel Einmal-Kennworte zum Zugriff von unterwegs aus unsicheren Umgebungen.

Ciao, Allesquatsch

Hallo Allesquatsch.

man muss nicht mal paranoid sein, um zu erkennen, dass diese Variante „unterwegs und online“ eine extrem schlechte Idee ist. Wenn Du MD5 online ermittelst, dann heißt das automatisch, dass Du Dein Originalkennwort in Reinschrift durch das Internet schickst.

Ächz.
Ich muss wirklich lernen, mich verständlicher auszudrücken…

„unterwegs und online“ bedeutet nicht das das Passwort durch die Leitung gejagt wird. Schau dir die Seiten mal im Quelltext an, die MD5-Berechnung erledigt überall ein JavaSript, läuft also vollständig lokal.

„unterwegs und online“ bedeutet nur, das man eben nix dabei haben muss - und es auch auf auf anderen Endgeräten (Handy etc.) funktioniert.

lg, mabuse

Angst ist kein guter Ratgeber. Auch bei sowas gibt es
wirtschaftliche Zusammenhänge: Sowohl für den Kriminellen -
als auch für das potenzielle Opfer. Es macht keinen Sinn, mehr
Aufwand (Geld, Zeit, Komforteinbußen) in die Abwehr zu
stecken, als der kalkulatorische Schaden (Geld, Zeit, Ärger).

Da stimme ich dir zu.
Wobei imho der größte Teil des Aufwandes darin liegt, sich die ganzen Passwörter zu merken. Oder vielmehr im Ärger, wenn man (mal wieder) eines vergessen hat.
Auch darum meine Idee, das derart zu systematisieren.

Und der „kalkulatorische“ Schaden im Ernstfall (gehackter PayPal-Account) kann ja enorm sein.

lg, mabuse