[o1] notepad.exe am 14.10. 09:04
+1
-4
Früher hatte ich überall das gleiche Passwort, dank KeePass aber seit 4 Jahren überall zufällige, sehr lange, auf jeder Seite ein anderes. Offensichtlich ist alles andere auch heutzutage fahrlässig. Zur Grafik aber: Die zielt auf Offline-Passwörter. Per HTTP 150 Milliarden Anfragen in der Sekunde zu senden und Antworten zu empfangen, dass will ich sehen ;)
[re:1] LastFrontier am 14.10. 09:35
@lutschboy: Im obigen Beispiel sind es gerade mal 321 mögliche Kombinationen. Das ist ein klacks für jedes Brutforceprogramm.
[re:1] LastFrontier am 14.10. 09:55
@Pozilist: Welche Werbegrafik? Ich sehe da eine Infografik mit einem dreistelligen Passwort auf numerische Zeichen begrenzt.
Und da die 0 fehlt sind es sogar weniger wie 321 Möglichkeiten (nämlich von 111 bis 333).
Selbst wenn du alle numerischen Zeichen verwendest (0 bis 9) hast du gerade mal 1000 Möglichkeiten (beginnend bei 000 bis 999).
Auch bei Verwendung aller möglichen Zeichen ist das bei dreistelligen Passwörtern ein Minutenakt.
Ein Fahrradschloss z.B. mit einer 4 Stelligen Zahlenkombination öffne ich dir in ca. 5 Minuten. Ohne Computer oder Bolzenschneider.
Und da die 0 fehlt sind es sogar weniger wie 321 Möglichkeiten (nämlich von 111 bis 333).
Selbst wenn du alle numerischen Zeichen verwendest (0 bis 9) hast du gerade mal 1000 Möglichkeiten (beginnend bei 000 bis 999).
Auch bei Verwendung aller möglichen Zeichen ist das bei dreistelligen Passwörtern ein Minutenakt.
Ein Fahrradschloss z.B. mit einer 4 Stelligen Zahlenkombination öffne ich dir in ca. 5 Minuten. Ohne Computer oder Bolzenschneider.
@LastFrontier: klicke die grafik mal bitte an..., ich glaub, du verwechselst da grade ein wenig!
Bei einem dreistelligem Passwort mit den Zeichen 1, 2, 3 hast du 3^3=27 Möglichkeiten.
(wie auch im Bild zu sehen).
usw....!
von 321Möglichkeiten wird nirgens gesprochen!
Bei einem dreistelligem Passwort mit den Zeichen 1, 2, 3 hast du 3^3=27 Möglichkeiten.
(wie auch im Bild zu sehen).
usw....!
von 321Möglichkeiten wird nirgens gesprochen!
@Trimmi: würdest du bei einem bruce force angriff nur die zeichen 1 bis 3 probieren oder 0 bis 9 ? (also 3^10)
außerdem setzt die berechnung von 3³ voraus das es exakt 3 stellen lang ist und nicht nur 1 oder 2 stellen.
die berechnung müsste eher lauten 3^1 + 3^2 + 3^3 = 3+9+27 = 39
nur so in paar gedanken dazu
außerdem setzt die berechnung von 3³ voraus das es exakt 3 stellen lang ist und nicht nur 1 oder 2 stellen.
die berechnung müsste eher lauten 3^1 + 3^2 + 3^3 = 3+9+27 = 39
nur so in paar gedanken dazu
[re:3] LastFrontier am 14.10. 11:08
@Trimmi: das ist jetzt nur weil du das Passwort hier siehst.
Um es aber zu ermitteln musst du mit einem Brutforceprogramm ja irgendwo anfangen; blind rumstochern bringt dir ja nichts.
Also fängst du bei einem dreistelligen Passwort mit 000 an. Und wenn du dann bei 123 ankommst, hast du exakt 124 Abfragen durchgeführt.
Je länger das Passwort ist und je mehr Zeichen du verwendest um so länger dauert die Entschlüsselung.
Oft ist es aber so, dass Programme die Passwörter knacken erst mal anhand einer Passwortliste versuchen den Account zu öffnen. Es gibt da Listen mit tausenden von immer wiederkehrenden Passwörtern.
Und erst wenn das nicht zum erfolg führt ghets mit einer Aufwändigen Brutforce-Abfrage los.
Das Problem sind aber nicht nur Anwender die leichte Passwörter haben, sondern auch Softwarehersteller die da schon grob fahrlässig handeln.
Excel, Word, Powerpoint, Adobe bieten ja die Möglichkeit Dateien mit einem Password zu versehen. Egal wie aufwändig du dieses Passwörter gestaltest - sind in unter einer Minute entfernt.
Der Grund liegt darin, dass die Passwörter dieser Hersteller (und auch einiger anderer) in bestimmten Bereichen der Datei mit abgelegt werden. Und diesen Bereich macht man leer - und das wars.
Das ist seit Jahrzehnten so.
Wenn also z.B. MS es noch nicht mal schafft Datei-Kennwörter richtig vor Aushebelung zu schützen, dann traue ich deren Cloud-Sicherheit nicht von der Tapete bis zur Wand.
Ich habe das vor 14 Tagen erstwieder in einer Firma gehabt. Deren ganzen Baustellenzettel und Abrechnung (Excel-Dateien) liegen in Googledrive. Schön mit Passwörtern (teils sogar in einzelnen Zellen) versehen.
Als ich denen zeigte wie schnell und einfach die Kennwörter zu entfernen sind wurden die Gesichter elendig lang (800 Dpkumente in ca. 10 Minuten).
Das fatale an der Sache: du musst da nicht mal ein grossartiger Hacker sein, da du die entsprechenden Passwort-Knacker innerhalb Minuten via Suchmaschine findest.
Um es aber zu ermitteln musst du mit einem Brutforceprogramm ja irgendwo anfangen; blind rumstochern bringt dir ja nichts.
Also fängst du bei einem dreistelligen Passwort mit 000 an. Und wenn du dann bei 123 ankommst, hast du exakt 124 Abfragen durchgeführt.
Je länger das Passwort ist und je mehr Zeichen du verwendest um so länger dauert die Entschlüsselung.
Oft ist es aber so, dass Programme die Passwörter knacken erst mal anhand einer Passwortliste versuchen den Account zu öffnen. Es gibt da Listen mit tausenden von immer wiederkehrenden Passwörtern.
Und erst wenn das nicht zum erfolg führt ghets mit einer Aufwändigen Brutforce-Abfrage los.
Das Problem sind aber nicht nur Anwender die leichte Passwörter haben, sondern auch Softwarehersteller die da schon grob fahrlässig handeln.
Excel, Word, Powerpoint, Adobe bieten ja die Möglichkeit Dateien mit einem Password zu versehen. Egal wie aufwändig du dieses Passwörter gestaltest - sind in unter einer Minute entfernt.
Der Grund liegt darin, dass die Passwörter dieser Hersteller (und auch einiger anderer) in bestimmten Bereichen der Datei mit abgelegt werden. Und diesen Bereich macht man leer - und das wars.
Das ist seit Jahrzehnten so.
Wenn also z.B. MS es noch nicht mal schafft Datei-Kennwörter richtig vor Aushebelung zu schützen, dann traue ich deren Cloud-Sicherheit nicht von der Tapete bis zur Wand.
Ich habe das vor 14 Tagen erstwieder in einer Firma gehabt. Deren ganzen Baustellenzettel und Abrechnung (Excel-Dateien) liegen in Googledrive. Schön mit Passwörtern (teils sogar in einzelnen Zellen) versehen.
Als ich denen zeigte wie schnell und einfach die Kennwörter zu entfernen sind wurden die Gesichter elendig lang (800 Dpkumente in ca. 10 Minuten).
Das fatale an der Sache: du musst da nicht mal ein grossartiger Hacker sein, da du die entsprechenden Passwort-Knacker innerhalb Minuten via Suchmaschine findest.
@lutschboy: das mit keePass mach ich auch so nur dummerweise hat gerade dropbox ein leichtes kennwort weil dort die KeePass datenbank liegt ohne die ich nicht an die Passwörter der anderen dienste komme...und die datenbank brauch ich eben immer aktuell auf allen geräten
@DNFrozen: Das macht aber nichts, solange Du für die KeePass-Datenbank selbst ein hinreichend sicheres Passwort gewählt hast. Dann könnte zwar ein Einbrecher in Dropbox Deine KeePass-Datenbank stehlen, sie jedoch nicht entschlüsseln.
[re:3] wertzuiop123 am 14.10. 15:11
@FenFire: Gibt noch eine zweite Sicherheitsmechanik die dabei helfen kann.
Du kannst KeePass zusätzlich zum Passwort mit einer generierten Keyfile sichern.
Öffnen lässt sich die Datenbank nur mit Keyfile UND Passwort.
Und die Keyfile verlässt dein System einfach nie wieder (USB-Übertragung auf ein Smartphone/Laptop mal ausgenommen)
Damit kommt jemand selbst mit Brute Force nicht mehr an deine Datenbank, wenn er die Keyfile nicht besitzt. (Die Keyfile dürfte per Brute Force nicht in Milliarden Jahren zu "erraten" sein)
Du kannst KeePass zusätzlich zum Passwort mit einer generierten Keyfile sichern.
Öffnen lässt sich die Datenbank nur mit Keyfile UND Passwort.
Und die Keyfile verlässt dein System einfach nie wieder (USB-Übertragung auf ein Smartphone/Laptop mal ausgenommen)
Damit kommt jemand selbst mit Brute Force nicht mehr an deine Datenbank, wenn er die Keyfile nicht besitzt. (Die Keyfile dürfte per Brute Force nicht in Milliarden Jahren zu "erraten" sein)
@lutschboy: Und wenn dein Master-Passwort gestohlen/erraten ist, haben sie Zugang zu allen deinen Accounts.
@MaxM: Das Masterpasswort ist nirgends verzeichnet und hat jede Menge Zeichen. Es müsste also ein Keylogger und ein Trojaner am Start sein - und wenn dass der Fall ist, dann ist alles zu spät und die Angreifer auch in der Lage meine Passwörter ohne Datenbank zu loggen. Insofern ist dein Kommentar zwar richtig, aber vom Inhalt her bedeutungslos. Abgesehen davon ist die Wahrscheinlichkeit dass jemand ein Passwort durch Sicherheitslücken auf ner Webseite erhascht exorbitant größer als dass jemand in den Besitz meiner Datenbank kommt und diese knackt.
[o4] TheUntouchable am 14.10. 09:11
Dropbox wasnt hacked
Posted by Anton Mityagin on October 13, 2014
Recent news articles claiming that Dropbox was hacked arent true. Your stuff is safe. The usernames and passwords referenced in these articles were stolen from unrelated services, not Dropbox. Attackers then used these stolen credentials to try to log in to sites across the internet, including Dropbox. We have measures in place to detect suspicious login activity and we automatically reset passwords when it happens.
Attacks like these are one of the reasons why we strongly encourage users not to reuse passwords across services. For an added layer of security, we always recommend enabling 2 step verification on your account.
Quelle:
https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/
Posted by Anton Mityagin on October 13, 2014
Recent news articles claiming that Dropbox was hacked arent true. Your stuff is safe. The usernames and passwords referenced in these articles were stolen from unrelated services, not Dropbox. Attackers then used these stolen credentials to try to log in to sites across the internet, including Dropbox. We have measures in place to detect suspicious login activity and we automatically reset passwords when it happens.
Attacks like these are one of the reasons why we strongly encourage users not to reuse passwords across services. For an added layer of security, we always recommend enabling 2 step verification on your account.
Quelle:
https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/
Eigentlich der Grund, warum ich nichts in die Cloud verfrachte.Persönlich habe ich nichts gegen Cloud-Systeme,aber es zeigt doch immer wieder,das die Sicherheit nicht wirklich gegeben ist.Deshalb kommt alles auf meine externe Festplatte.Retro ist halt immer noch am sichersten.
@Fanta2204: Naja, ansich ist die Sicherheit deswegen nicht gegeben, weil der User offensichtlich immernoch nichts begriffen hat, oder einfach zu faul ist. Wenn ein User überall die gleiche Kombination EMail Passwort nutzt, darf man eigentlich schon gar nicht mehr von einem Hack sprechen. So sieht es nämlich derzeit bei Dropbox aus und das macht auch Sinn.
@FatEric:Da stimm ich dir ganz und gar zu.Allerdings gibt es noch ein weit schlimmeres Problem.Viele speichern ihre Passwörter in ihren Browern ab,natürlich aus reiner Bequemlichkeit.Schlimmer noch, das sie dann auch noch kostenlose Virenprogramme nutzen (ohne Browser-Schutz) und dabei denken, sich damit in voller Sicherheit zu wiegen.Auf die Frage,warum sie nicht ein Sicherheitsprogramm wie Kaspersky IS,Avira IS,Bitdefenter kaufen und für ein bischen mehr Sicherheit sorgen, kommen die seltsamsten Ausreden zu Tage.Die wirkliche Antwort ist aber die,das sie einfach zu geizig dafür sind.Letztendlich müssen sie sich nicht wundern,wenn ihre Rechner infiziert werden und bezüglich den Kriminellen Tür und Hof öffnen und ihre Passwörter vom Rechner durch Trojaner gestohlen werden.
@Fanta2204: ähm das mit den Passwörtern die im Browser gespeichert sind versteh ich aber was ist so schlimm an gratis Antivierensoftware?
in Welcher Situation würde das deutlich mehr sicherheit bieten bzw. gegen welchen fall willst du dich damit schützen?
und wie genau soll eine "Browser-Schutz funktion" Funktionieren?
Wenn aufgrund eines Programierfehlers der Bowerser eine Sicherheitslücke hat dan muss der Browser den Fehler durch einen Patch korrigieren. Dies antivierensoftware hat da nicht viel einfluss
in Welcher Situation würde das deutlich mehr sicherheit bieten bzw. gegen welchen fall willst du dich damit schützen?
und wie genau soll eine "Browser-Schutz funktion" Funktionieren?
Wenn aufgrund eines Programierfehlers der Bowerser eine Sicherheitslücke hat dan muss der Browser den Fehler durch einen Patch korrigieren. Dies antivierensoftware hat da nicht viel einfluss
Die Infografik ist praktisch. Jetzt werde ich meine Passwörter auch auf !hL€MeKeUErA5 setzen, da es das sicherste Passwort ist :)
[re:2] Dr. Alcome am 14.10. 12:25
Man sollte in Bezug auf die Cloud langsam über neue Sicherheitsmaßnahmen nachdenken und nicht nur auf "Kennwörter" zurückgreifen. Je mehr Dienste man im Internet nutzt, desto höher die Gefahr, dass einer dieser Dienste schlampt und realsistisch gesehen werden halt oft gleiche Passwort Kombinationen in mehreren Diensten genutzt. Und selbst sichere Kennwörter heißen ja nicht, dass es keine Sicherheitslücken gibt.
@GiZm0r: Sicherlich nicht,aber drauf laden können sie trotzdem irgend etwas.Das Gefühl,das dort Dinge von Unbekannten drauf geladen werden könnten,die strafrechtlich sind,sollte schon einem zu bedenken geben.
@Fanta2204: Naja, wüsste nicht, ob man dafür belangt werden könnte. Es könnte dir auch jemand illegale Bilder in dein gekipptes Fenster werfen oder in den Briefkasten legen.
@Fanta2204: 1. Welchen Nutzen hätte ein Datendieb, dem es um eigene Bereicherung geht, davon? Unwahrscheinlich, dass ein "normaler" Verbrecher, für den Du nur ein x-beliebiges Opfer bist, das macht. 2. Jemand, der Dir persönlich schaden will (z.B. der Nachbar, mit dem Du Dich ständig streitest) dürfte wenig Möglichkeit haben an die geklauten Daten zu kommen, und wenn er Dich persönlich kennt kann er Dir auch noch auf ganz andere Weise schaden, dann hast Du eh ein Problem 3. Eine staatliche Organisation hat zum einen möglicherweise noch auf anderem Wege Zugriff, zum anderen hat sie ebenfalls zig Möglichkeiten Dir zu schaden, wenn es tatsächlich darum geht. 4. Selbst wenn es passieren sollte, so würde ja versucht werden zu ermitteln, was wirklich geschehen ist - und da dürfte es so einige Ermittlungsansätze zum Nachweis Deiner Unschuld geben. Auch wenn es jede Menge Ärger einbrächte, bis Deine Unschuld erwiesen ist.
Daher: theoretisches Szenario. In der Praxis vermutlich unwahrscheinlicher, als dass Du heute vom Blitz getroffen wirst.
Daher: theoretisches Szenario. In der Praxis vermutlich unwahrscheinlicher, als dass Du heute vom Blitz getroffen wirst.
[o9] LastFrontier am 14.10. 09:46
Deswegen wäre es für eine Cloud absolut notwendig dass spätestens nach dem Dritten Fehlversuch der Account gesperrt wird. Ansonsten ist das nämlich witzlos.
[10] Tomato_DeluXe am 14.10. 09:49
Mein Passwort lautet überall "incorrect" Wenn ich mich vertippe oder es vergessen habe kommt auf englischen Seiten "Your Passwort is incorrect, dann weis ich es wieder . Supppper praktisch ;-)
[11] kubatsch007 am 14.10. 10:03
[re:1] LastFrontier am 14.10. 10:13
[re:1] kubatsch007 am 14.10. 10:22
Und das BSI empfiehlt sogar, das man die Daten in der Cloud lagert.
Die Ausssage war von denen gewesen, das die Daten nur in der Cloud vor Verschlüsselungstrojanern sicher ist.
Also als ich die Aussage gehört hatte, musste ich mir nur noch an den Kopf fassen.
Die Ausssage war von denen gewesen, das die Daten nur in der Cloud vor Verschlüsselungstrojanern sicher ist.
Also als ich die Aussage gehört hatte, musste ich mir nur noch an den Kopf fassen.
Wisst ihr wie Hacker denken? Ständen sie neben einer Wolke (Cloud) könnten sie locker durch sie hindurchlaufen.. so ist genau das passiert was dropbox ignoriert^^
So Passwort mal schnell geändert. Was komisch ist Ich bin Plötzlich Dropbox Pro und habe 1,11 TB. Nochmal geschaut die Pro läuft am 10.10.15 ab.
Deswegen auch mein Kommentar zu "Online Speicher" https://winfuture.de/comments/thread/#2476101,2476101
Meine persönlichen Daten einem Online Speicher Unternehmen anvertrauen, never. Höchstens irgendeinen Datenmüll, zB. alte Programme damit ich diese nicht ständig auf meinen Backup Platen mit kopieren muss.
Selbstverständlich ohne irgendeinen Hinweis, in Bezug auf Nutzerdaten und Seriennummern.
Meine persönlichen Daten einem Online Speicher Unternehmen anvertrauen, never. Höchstens irgendeinen Datenmüll, zB. alte Programme damit ich diese nicht ständig auf meinen Backup Platen mit kopieren muss.
Selbstverständlich ohne irgendeinen Hinweis, in Bezug auf Nutzerdaten und Seriennummern.
Dropbox dementiert den ursprung auf deren Seite. Die Daten müssen wohl von woanders stammen, da viele Nutzer überall das selbe Passwort haben....
[re:2] wertzuiop123 am 14.10. 15:09
@dani4u: Habe mal nach ein paar Email-Adressen+Passwörter dieses Leaks in Pastebin gesucht. Da kommen einige gehackte Anbieter zum Vorschein. Einfach alles sammeln und denselben Login/PW bei anderen Diensten testen. Voila, fertig ist der Dropbox,X,Y,Whatever Leak.
-> this "da viele Nutzer überall das selbe Passwort haben"
-> this "da viele Nutzer überall das selbe Passwort haben"