Naja, aber es sollte ja nicht verwundern, dass die unsicheren Passwörter in jedem Fall überwiegen, weil sie eben keine zufälligen Passwörter sind.
Wenn z.B. von 1.000 Menschen 900 ein zufälliges Passwort wählen und unter diesen Leuten tatsächlich kein Passwort doppelt vorkommt, dann wäre das häufigste Passwort trotzdem 123456, weil z.B. 5 oder 6 Leute der restlichen 100 dieses PW gewählt haben.
Wenn von 1.000 Menschen nur 500 ein zufälliges Passwort haben und die restlichen 500 ein unsicheres, dann wäre das häufigste Passwort 123456, nur eben mit 25 bis 30 Erscheinungen.
Insofern ist die Statistik in dieser Form gar nicht aussagekräftig, finde ich… Prozentanteil wäre interessant
Beweispflicht nicht, aber irgendein Statement sollte schon drin sein.
Eine Erklärung, die Dame ist nachgewiesenermaßen verwirrt, oder eine böse rechte Pegidafrau, oder was auch immer.
Es kommt aber gar nichts - das ist intransparent.
Schließlich hat Hayali vor allen Zuschauen ein Gespräch mit der Dame nach der Sendung versprochen. Ob das nun stattgefunden hat, und über das Resultat: Schweigen
Ist ein Manager nicht eigentlich sogar eine sehr schlechte Wahl?
Folgender Gedanke: Wenn ich Software entwickle die Leute dazu nutzen ihre Passwoter zu speichern und ich ein phööööhsär Hacker/Regierung/was auch immer bin. Was würde ich angreifen, eine Software die, wenn ich sie geknackt habe mir Zugriff auf alles und jeden ermöglicht, oder einen bestimmten Rechner?
Mit anderen Worten: Erhöht nicht ein solcher Manager die Wahrscheinlichkeit eines Angriffs der gegen „viele“ gerichtet ist sogar?
Das ist so ähnlich wie mit Windows, warum ist es das System das immer angegriffen wird? Weil es weitverbreitet ist und daher am lohnenswertesten.
Also anstatt mir „mühsam“ jeweils einzeln irgendwo irgendwas zu organisieren knacke ich „einfach“ die verwendete Software und komm an „alles“ bei „jedem“ ran.
Falls du damit meinst, dass man bewusst eine Backdoor in den Passwort Manager einbaut: unwahrscheinlich. Wuerde direkt auffliegen (einfach den Netzwerkverkehr ueberpruefen und schauen ob irgendwas merkwuerdiges abfliesst) und waere somit nur bedingt erfolgreich. Gute Passwortmanager sind auch open source und somit von der Community meistens auf Herz und Nieren ueberprueft.
Selbst wenn man die Software hackt, bringt es einem nichts, da die Datenbank verschlüsselt ist. Die meisten Manager benutzen hier AES-256 bit und hashen sämtliche Passwörter und Eingaben mehrere tausendmal mit SHA-256.
Das “einfachste” wäre tatsächlich das OS (also Windows z.b.) zu “hacken” und einen Keylogger zu integrieren, um das Master Passwort abzugreifen.
Aber wirklich jeder Password Manager hat noch eine 2 Faktor Authentifizierung, je nach Anbieter reicht das von Codes die sich alle paar Sekunden ändern auf einem Smartphone, über SMS, Ausdruckbaren Listen, bis hin zu Fingerabdruck und USB Sticks die als Dongle fungieren. Auch wenn es keine Pflicht ist, wird dazu geraten.
Die Manager (zumindest die meisten) werden auch regelmäßig Prüfungen von Sicherheitsexperten unterzogen und ebenfalls der CCC empfiehlt Password Manager. Das kann ja schon nicht von ungefähr kommen.
Ne, ich meinte nicht als Entwickler der Software. Satz is etwas unglücklich formuliert an der Stelle. Gemeint war „ich“ (Firma xy) entwickle einen Manager und „jemand“ (Hacker/Regierung/etc.) hätte die Wahl was er angreift (jeh nach Zielsetzung).
Der Gedanke war einfach: Ist es wirklich klug das „alle“ den gleichen Manager nutzen (Windows Vergleich) und sich dadurch quasi erst zu einem lohnenden Ziel machen.
Also ich kenn das jetzt „nur“ von Lastpass (benutze ich persönlich), das dort alle Eingaben mit SHA-256 gehasht werden. Kann sein, das es bei anderer Software / Anbieter anders abläuft. Warum man jetzt speziell nicht bcrypt oder scrypt benutzt kann ich dir aus dem Stehgreif nicht beantworten
Ich glaube, das ist selten der Fall, dass wirklich Windows angegriffen wird. Nur weil meistens Windows-Benutzer betroffen sind, lässt sich das nicht daraus schließen.
Die meisten „Hacks“ sind die Installation von bösartigen Programmen. Es ist ein Programm wie jedes andere und „bösartig“ heißt dabei nur, dass die Funktion nicht dem Willen des Benutzers entspricht und er es auch gar nicht haben wollte. Ein Programm läuft aber nur auf einem Betriebssystem, also schreibt der Hacker eins, das auf den meisten Geräten läuft, damit für Windows. Außerdem nutzt er Sicherheitslücken eines Programms, das ebenfalls unter Windows läuft. In der Regel nutzt er aber eine „Sicherheitslücke“ des Benutzers selbst - Er bringt ihn irgendwie dazu die Installation des Schadprogramms zu starten (Öffnen von Anhängen, Anklicken eines Links, Aktivieren von Makros, …). Mit dem Betriebssystem selbst hat das wenig zu tun.
Einen Passwortmanager anzugreifen ist auch schwierig, da er nicht mit dem Internet kommuniziert. Da müsste schon die Installationsdatei manipuliert sein. Dann würde der Hacker aber eine Seite hacken, die die Installationsdateien verbreitet und diese dann austauschen.
Würde jeder einen bestimmten Passwort-Manager nutzen, wäre das natürlich ein lohnenswerteres Angriffsziel. Das wird aber nicht passieren. Dafür sind Passwort-Manager zu unbequem, denn sie sind immer unbequemer als auf jeder Seite ein einfach zu merkendes und damit leicht erratbares Passwort zu benutzen. Und ich darf immer wieder Leute in meinem Umfeld darauf drängen genau das nicht zu tun. Die ich-mache-alles-mit-Google-Leute sind davon kaum zu heilen, Komfort first!
Und bei der Überlegung muss immer mit einbezogen werden, dass bei einer Verwendung eines Passwort-Managers immer auch erheblich bessere Passwörter benutzt werden. Man darf nie allein den Passwort-Manager mit anderen „Speichermethoden“ vergleichen, sondern muss immer die Stärke der Passwörter mit einbeziehen, die bei einer der Methoden dann auch verwendet werden.
Die Software zu hacken würde schon was bringen. Die Verschlüsselung der Datenbank ist dabei nämlich egal, denn wenn du das Programm nutzt, ist die Datenbank entschlüsselt. Die Verschlüsselung der Datenbank bringt nur etwas, wenn zum Beispiel eine Schadsoftware die Datenbank findet. Dann kann sie nichts damit anfangen.
Das wäre eigentlich ein Vorteil. Das ist der Grund, warum es diese Algorithmen überhaupt so gibt. Wenn der Rechner in Sekunde nur 1.000 Passwörter statt 10.000.000 gehasht bekommt, ist das langsam, fällt bei einem Einzelnutzer kaum auf. Für Brute-Force-Angeriffe wird es damit aber schnell richtig eklig. Daher wäre das kein Nachteil. Die Gründe kenne ich auch nicht.
KeePass nutzt AES-256 mit 1.000.000 Iterationen (Einstellbar) oder „ChaCha20 256 Bit“
Das hätte das ZDF in einem Statemant kommunizieren können:
“Die Dame wollte sich einem Gespräch nach der Sendung nicht stellen…” o.ä.
Nur: auch das kommt nicht, lediglich lautes Schweigen.
