Folge 13

Ich klicke wahrscheinlich immer auf die falsche Kategorie bei Pornhub, wenn ich meine Kobra würge… aber gibt es viele bekannte Figuren, die Wichsvideos veröffentlichen und das auch noch promoten? Das war ja offenbar kein Zufallsfund.

Ich bin zumindest nicht so vermessen, dass ich da grundsätzlich dran zweifel.

Gibt sogar jedes Jahr eine riesige Messe in Berlin, wo das sehr viele Leute machen.

Pssst, zum Teufel! :roll_eyes:

Hallo alle, @Fernsehkritiker
Nachdem ich den Beitrag gesehen habe, wuerde ich doch auch gerne was dazu beitrage. Kurz zu meinem Hintergrund, ich habe Informatik Studiert mit Fokus bereich auf Data security und information sharing und habe einiges an Erfahrung mit dem Thema. Direkt im vorraus gesagt, der Darkweb Beitrag ist grosser mist. Der Beitrag generell scheint mir Mist zu sein.

Wie auch immer… es ist tatsaechlich einfach Fingerabdruecke zu faelschen. Man braucht nicht mal einen Fingerabdruck von einem Glass nehmen, man kann ein Kamera mit mehr als 4.5MP nehmen und dann ein bild von der hand oder fingern aus der Entfernung machen. Das reicht schon im Prinzip um Fingerabdruecke zu erstellen, z.B. mit einem 3D drucker. Die meisten Smartphones koennen tatsaechlich mit Bildern ueberwunden werden. Selbst Gesichtscanner mit Kamera koennen mit einem einfachen Bild ueberlistet werden.

Das andere Problem ist, Fingerabdruecke und auch andere Biometrische Daten werden von den grossen Firmen gespeichert. Vielleicht nicht in Deutschland, kann ich nicht sagen da ich in Nordamerika wohne, aber bei uns ist das schon so. Da gibt es auch schon mal rechtliche Probleme. Z.B. kann es sein das man ein Passwort nicht raus geben muss, aber ein Fingerabdruck oder Iris scan wird NICHT als passwort angesehen und kann so gezwungen werden das raus zu geben.

Fingerabdruecke zaehlen generell als nicht mehr sicher und ein passwort kann um faktor x sicherer sein. Gibt Leute die machen Saeufe auf ihre Finger, damit man keine Fingerabdruecke mehr hat. Kommt auf die Komplexitaet und laenge vom Passwort an. Natuerlich auch, ob die Person sich das Passwort merken kann. Ich z.B. empfehle jedem ein Passwort aus einem mix von 30 Buchstaben, zahlen und ein paar Zeichen zwischen drin. Ich geh jetzt nicht in die Mathematik dahinter, sonst hoere ich nicht auf zu schreiben.

Generell sollte man seinem Smartphone nicht trauen welche Daten weiter gereicht werden und/oder wer noch Zugriff auf die Datan hat.

Bin gerne offen falls du Fragen hast. Schreib mir einfach ein Nachricht.

1 „Gefällt mir“

Da würde ich gerne mal eine speziellere Frage einwerfen, ist es nicht eigentlich egal, ob ein Passwort auch Zahlen und Sonderzeichen enthält? Wichtig ist ja die Länge und daraus ergibt sich ja die Komplexität. Je länger, desto mehr Möglichkeiten gibt es und desto länger dauert es, es mittels Bruteforce Angriff zu knacken. So, nur weiß ja der Angreifer vom Bruteforce nicht, ob ich denn Buchstaben, Zahlen und Sonderzeichen in meinem PW verwende. Er muss es aber annehmen und wenn ich dann ein 30 Zeichen langes PW habe, was aber gänzlich nur aus Buchstaben besteht, dürfte es ja keinen Unterschied machen, oder?

Nur mal so aus Interesse, ich verwende selber ein langes PW mit Buchstaben (groß und klein) sowie Zahlen und Sonderzeichen, aber so vom gedanklichen dürfte es doch egal sein, oder übersehe ich einen Aspekt?

1 „Gefällt mir“
3 „Gefällt mir“

Zeichen machen keinen grossen Unterschied. Ich sage immer, jeder Unterschied um die Komplexitaet um nur ein wenig zu erhoehen hilft.
Sagen wir mal, ein passwort ist 10 Zeichen lang. Und du benutzt jetzt nur Grossbuchstaben, kleinbuchstaben und Zahlen. Also hast du a-z, A-Z und 0-9. Das sind 26 + 26 + 10. Also hast du 62 Zeichen.

Mit 10 Zeichen, hast du also 62+ 62+ 62+ 62+ 62+ 62+ 62+62+ 62+ 62. Warum? Weil jeder Buchstabe oder Zeichen eins von den 62 sein kann. Also 62^10. Also die maximal Anzahl an passwoertern ist 8.3929937e+17. Hast du jetzt extra Zeichen dazu, kannst du halt 63 oder 64 nehmen, je nachdem wie viele Zeichen zur Verfuegung stehen. Ist jetzt nicht viel extra komplexitaet, aber wie schon vorher gesagt, jedes bischen hilft. Am besten ist ein langes passwort. Ein beispiel ist, deine 4 - 5 lieblings Personen und ein paar Zahlen dazu. Gross und kleinbuchstaben natuerlich.

Alle passwoerter unter 12 Zeichen sind geknackt und es gibt passwort listen in groesse von knapp 100gb grossen text dateien oder groessere enthalten, die alle passwoerter von 12-15 Zeichen oder mehr enthalten.

2 „Gefällt mir“

Wäre ja nett, wenn Holger sich dazu noch mal äußern würde oder bleibt das jetzt so stehen und er bleibt dabei, dass das alles so wie von ihm dargestellt korrekt ist?

Ja gut, das ist mir ja auch bekannt und bestreite ich ja nicht. Es geht mir ja um den Punkt, das der Angreifer es ja nicht weiß, ob ich überhaupt Zahlen und Sonderzeichen in meinem PW verwende. Theoretisch könnte man ja ein PW aus nur Kleinbuchstaben verwenden und der Angreifer müsste ja trotzdem auch die Varianten mit Zahlen und Sonderzeichen durchprobieren, er weiß es ja nicht, dass das PW nur aus Kleinbuchstaben besteht.

Halte ich fuer Unsinn. Wenn ich mir schon ein recht normales/schwaches Alphabet von den 62 alphanumerischen Zeichen (A-Za-z0-9) nehme, habe ich 62/61 * (62^11 - 1) = 52889619055703275754 verschiedene Passwoerter, die unter 12 Zeichen lang sind. Selbst wenn ich es schaffe, die so abzuspeichern, dass ich nur ein Bit pro Passwort brauche, was absolut utopisch ist und niemals moeglich sein wird, sind wir da schon bei ueber 6 Exabyte. So viel Speicherkapazitaet hat vielleicht die NASA, aber niemand speichert solche gigantischen Passwortlisten ab. Bei solchen Passwortlaengen nutzt man dictionary attacks oder man crackt die Passworter on the fly, aber man nutzt kein simples Bruteforce und speichert alle Kombinationen als Liste ab. Und bei 12-15 Zeichen wirds natuerlich exponentiell absurder.

2 „Gefällt mir“

Sind Passwortlisten nicht eher für den komplett anderen Fall, dass der Betreiber und nicht der User gehackt wird? Mit denen bekommt man doch ein Passwort zu einem Hashwert. Das hilft bei einem Bruteforce-Angriff von außen ja nicht, weil du weder das PW, noch den Hash kennst.
Würdest du den Hash kennen (weil du die DB des Betreibers hast), dann brauchst du nur noch eine “Handvoll” Passwörter ausprobieren und zwar die, die eben diesen Hash erzeugen. Bei schlechter Implementation reicht es wahrscheinlich sogar, einen einzelnen dieser Vertreter zu benutzen. So einen Vertreter zu finden, kann man dann mit Brute Force, oder Passwortliste machen.
Aber bei Angriffen über das Frontend geht es ja nicht anders, als mit Brute Force. Und diese Brute Force ist selbstverständlich auch nicht 100% brute. Die fangen bestimmt nicht mit “0” an, dann “1”, dann …, usw. sondern probieren erst mal häufig genutzte Zeichenfolgen aus, wie “123456”, “password”, “H4ck0r”, usw… Und ich persönlich würde dann auch erstmal Passwörter ohne Sonderzeichen vorziehen, weil die noch am verbreitesten sind und erst wenn ich damit keinen Erfolg habe, würde ich auch Sonderzeichen prüfen. Von daher denke ich, dass ein Passwort mit Sonderzeichen schon etwas schwieriger zu knacken ist, als eins derselben Länge, ohne. Nicht viel, aber etwas.

Das ist falsch. Es wird durch sogenanntes „Ridge flow angle mapping“ ein verlustbehaftetes Abbild aus dem Fingerabdruck Scan erzeugt und in einer „Secure Enclave“ auf einem eigenen SoC im Gerät abgelegt. Dieser kann per Design nicht ausgelesen werden, man kann nur entweder was neues reinschreiben / es erweitern oder die Ähnlichkeit zu einem anderen Abbild berechnen, d.h. er liefert nie die gespeicherten Daten zurück.
Aber selbst wenn man Zugriff auf die SecureEnclave bekommt (sehr unwahrscheinlich), hätte man nur eine verlustbehaftete Repräsentation, die nicht dazu geeignet ist, den Originalfingerabdruck zu rekonstruieren.

2 „Gefällt mir“

Stimmt ja alles, aber warum sollte man den Weg gehen, wenn man doch viel leichter an den echten Fingerabdruck kommt? Und wenn man den einmal hat, dann ist für die Zielperson auf Lebzeiten der Fingerabdruck als Sicherheitsmerkmal verbraucht.

Die Rechtslage in Deutschland ist da nicht eindeutig, wenn ich mich nicht irre. Es heißt nur, dass niemand aktiv zur Mitarbeiter gezwungen werden kann, wenn er sich damit selbst belastet. Sofern jemand seine Fingerabdrücke abgeben muss, kann man auf jeden Fall damit auch Maßnahmen ergreifen, um eben ein Handy zu entsperren.

Ein Passwort bekommen die Behörden nicht, wenn man es ihnen nicht gibt oder sie im Rahmen von Ermittlungen selbst drauf stoßen.

Ihr Diskutiert hier ja sehr schön über die Sicherheitsmerkmale und alles. Aber was ihr nicht bemerkt habt ist, das dies die Aufgabe der BR Doku gewesen wäre, genau das zu diskutieren. Das hat der BR aber nicht gemacht, und ihr prangert Holger an, das er das nicht gemacht hat, obwohl dies nicht seine Aufgabe ist, denn er hat keine Doku über Biometrische Sicherheitsmerkmale gemacht.

2 „Gefällt mir“

Genau das wird hier aber nicht ohne Grund diskutiert, denn Holgers Beitrag war in seiner Ausrichtung so schlecht, dass das am Ende eben nicht klar rüberkam.
Er hat ja nicht nur die an sich massenhaft vorhandenen inhaltlichen Schwächen kritisiert, sondern selbst Position zum Thema Sicherheit bezogen und dabei widerum selbst deutlische Schwächen gezeigt. Zusammengenommen funktioniert der Beitrag daher so gar nicht.

1 „Gefällt mir“

Natürlich, aber wenn man Zugriff auf die SE hätte, bräuchte man auch kein Originalabbild mehr. Mir ging es nichts um die technische Umsetzung, sondern um die komplett nebensächliche und irrelevante “Datenbankkritik” von Holger, und sein Passwortvergleich. Das mit der SE sollte grob äquivalent für Passwörter gelten. Da liegt ja vom eigentlichen PW genau so wenig rum wie vom eigentlichen Fingerabdruck.

Es ging ja auch nie darum, den Fingerabdruck/PW aus irgendeiner Speicherform, außer digitales Foto, wiederherzustellen. Von daher ist das mit Secure Enclave absolut irrelevant.

heutzutage braucht man gar nix mehr cracken. Einfach den User anschreiben mit “Hier Dein Mailprovider - Bitte schicken Passwort um fortzusetzen zusammen” und schon hast hunderte Zugangsdaten.

2 „Gefällt mir“

Der heißt Starbug.