Folge 26

Die Zahlen stammen vom Hasso-Plattner-Institut.

Die Liste ist in sofern nicht irrelevant, als das besonders beliebte Passwörter gerne bei Wörterbuchattacken verwendet werden.

1 „Gefällt mir“

Sofern die Websites gegen Bruteforce-Angriffe nicht ausreichend geschützt ist, müss es der Angreifer obendrein auch noch gezielt auf genau mich abgesehen haben.

In der Regel geht es darum, dass einer versucht komplette Datensätze zu erbeuten und ein anderer (oder evtl. der selbe) nutzt diese Datensätze, um damit Schaden anzurichten.

Wer setzt sich denn noch hin und versucht gezielt per Bruteforce einen einzelnen Account zu hacken?

Von daher ist in meinen Augen die größere Gefahr, dass man überall das selbe Passwort verwendet und nicht das Passwort an sich. Ansonsten bleibt weiterhin die Frage, ob jetzt 10 oder 1.000 Leute 123456 als Passwort nutzen müssen, damit es auf die oberen Plätze dieser Liste kommt.

Das ist garnicht mal so falsch, aber 123456 ist dann doch etwas zu einfach.

Aber password reuse wird so schnell eh nicht verschwinden. Den einzigen Weg password reuse zu vermeiden ohne auf Passworter zu verzichten ist ein Passwort-Manager, der fuer die meisten Menschen aber viel zu kompliziert und unbequem ist. Und ohne Passwort-Manager ist es quasi unmoeglich password reuse zu vermeiden. In meinem Passwort-Manager sind ueber 100 Accounts hinterlegt, das schafft ja kein Mensch sich die alle zu merken ohne extra Software, geschweige denn die regelmaessig zu aendern. Und selbst als Ottonormalverbraucher bzw. nicht internetaffiner Mensch kommt man schnell auf ein oder zwei Dutzend Accounts, fuer die sich natuerlich auch niemand ein starkes Passwort oder ein Schema oder sonst was ausdenken und merken will.

2 „Gefällt mir“

Eine Brute-Force-Attacke ist etwas anderes als eine Wörterbuchattacke.
Letztere können nicht ganz so einfach erkannt und abgewehrt werden, da sie deutlich, deutlich weniger Aufrufe produzieren.

Das ist nur eine Brute Force Variante.

Wird die “Mediatheke nachgefragt” auf MG hochgeladen? Zuckerberg-Produkte boykottiere ich nämlich.

2 „Gefällt mir“

Auf etlichen Seiten werd ich spätesten nach 3-5 fehlerhaften Einloggversuchen temporär gesperrt. Ansonsten dürfte eine Attacke mit Wörterbuch und ohne ähnlich Erfolgversprechend sein in Relation zur aufgewendeten Zeit. Also eher gering.

123456 ist jetzt natürlich ein extremes Beispiel, aber wieso soll bspw. der Name + Geburtsdatum ein schlechteres Passwort sein als ein zufälliges? Wie gesagt, solange es nicht jemand persönlich auf mich abgesehen hat, wird wohl kaum jemand versuchen den deutschen Durchschnitts-Michel zu hacken.

Mir fällt auch grad ein, dass ich bspw. früher bis zu 7 Accounts bei Sonys PSN hatte, u.a. um ausländische, kostenlose Inhalte abzugreifen oder um Beta-Einladungen zu teilen. Da habe ich natürlich neben Wegwerfmails auch 123456 oder abcdef oder dergleichen benutzt. Für wichtige Accounts würde ich das nicht machen, aber sicherlich bin ich da nicht der einzige und vermutlich trifft das öfter zu als Leute, die ihren Bankingaccount mit 123456 sichern.

Ich halte die ganze Liste der beliebtesten Passwörter jedenfalls für nicht aussagekräftig und irrelevant.

Hier sind einige erschreckend naiv. Nur, weil sich das potentielle Opfer nicht vorstellen kann, auf welche Ideen ein Angreifer kommt, heißt es nicht, dass der Angreifer nicht auf solche Ideen kommt! Der Kreativität der potentiellen Opfter möchte ich an der Stelle einen kleinen Anstoß geben.

Es ist erst mal richtig, dass es bei der ganzen Thematik vorallem um geklaute Datenbanken geht. Es ist in der Tat so, dass es SEHR wichtig ist überall andere Passwörter zu verwenden. So wird verhindert, dass der Einrbuch in eine Datenbank keine Auswirkungen auf Konten auf andere Seiten hat. Allerdings ist mit einem Einbruch in einen Server das Kind noch nicht in den Brunnen gefallen. Passwörter werden (hoffentlich) nie im Klartext gespeichert, sondern als Hash. Das heißt der Angreifer hat auch nach seinem Einbruch kein einziges Passwort, sondern nur den Hash. Der Angreifer hat also erst mal genau so viel wie vorher, nur dass er den „Login“ ohne die Webseite lokal durchführen kann. Und hier kommt die Passwortstärke ins Spiel. Da der „Login“ offline läuft, greift auch keine Brute-Force-Abwehr mehr. Geknackt werden die schwachen Passwörter. Die können dann genutzt werden, um sich auf der Seite wirklich einzuloggen. Wörterbuchangriffe erleichtern dann das Brute-Forcen. Namen und Geburtsdaten sind ganz schlecht, da die Möglichkeit an Namen doch vergleichsweise gering ist und ein Datum aus 8 Zahlen (YYYYMMDD) theoretisch zwar 10^8 Möglichkeiten hat, aber da nur echte Datumsangaben der letzten 50 Jahre realistisch sind, sind es um den Faktor 5.000 weniger.
Und es ist nicht so, dass ein Einbruch immer bemerkt wird. Ich glaube sogar, dass das in den seltensten Fällen so ist. Häufig dauert es aber zumindest Wochen, bis es jemand merkt und dann ist noch die Frage, ob es überhaupt publik gemacht wird. Leider gesteht das nämlich kaum jemand.

Was will aber nun ein Angreifer mit dem Account von Lieschen Müller? Hier wurde ja mehrmals angemerkt, dass doch keiner ein Interesse an Accounts von irgendwelchen Leuten hätte, außer es gäbe persönliche Motive. Nun die Accounts werden gern missbraucht, um im einfachsten Fall Spam zu posten. Dann wird gern Schadsoftware (zum Beispiel Verschlüsselungstrojaner) an andere Nutzer der Seite verteilt, indem zum Beispiel Links zu gefährlichen Dateien veschickt werden und der andere Nutzer denkt, es sei die Person selbst, die diesen Link verschickt, also ist es schon sicher. Es steht ja an den Nachrichten nicht dran „wurde in Wahrheit von einem Bot generiert“. Oder es werden Accounts bei Online-Shops genutzt, um auf den eigenen Namen Betrügereien durchzuführen. Den Ärger hat der, dessen Account gekapert wurde.

Also Leute, benutzt sichere Passwörter!

Wie schon erklärt wurde, sagt das dennoch etwas darüber aus, wie sicher das Passwort vor dem Hack war.
Irrelevant ist die Liste trotzdem nicht, wenn der Datensatz an geleakten Passwörtern groß genug ist. Damit hat man natürlich kein absolutes Ergebnis, welche Passwörter wirklich wie häufig verwendet werden, aber es ist ein guter Richtwert. Das ist wie mit jeder Statistik. Da wird eine ausreichend große Stichprobe genommen und davon ausgegangen, dass das ungefähr mit dem hinkommt, was man hätte, würde man wirklich alle Daten erfassen. Und bei ausreichend großen Stichproben passt das.

Ich ebenfalls. Wie du schon gut dargelegt hast, nutzt nicht jeder für jeden noch so unwichtigen Dienst eine sicheres Passwort und das ist auch nicht so schlimm. Es gibt ja sogar Seiten, die Zugangsdaten öffentlich teilen, damit man sich nicht überall registrieren muss! Und dann bringt die Liste der häufigsten Passwörter nichts, da es keine Aussage darüber gibt, wie häufig die denn nun sind. Aber das wurde weiter am Anfang ja schon diskutiert. Die Liste ist Blödsinn und dient maximal als Denkanstoß für Leute, die einfache Passwörter benutzen. Wobei ich mir da sogar vorstellen kann, dass sich einige sagen „na also gegen 12345678 ist mein Passwort Erna1974 aber ein echt gutes Passwort, kann ich so lassen“.

1 „Gefällt mir“

Das ist ein nett gemeinter Rat, aber den wird niemand befolgen. Das ist wie zu sagen „Rauchen ist toedlich, fangen sie gar nicht erst an“, weiss jeder bringt aber nix bzw. nur sehr wenig. Diese Expertenratschlaege, dass man fuer jede Seite auf der man einen Account hat ein starkes Passwort nutzen soll und dass alle diese Passwoerter unterschiedlich sein sollen, ist halt so ein typisches Theoretikerdenken, dass total an dem Alltag der Leute vorbeizielt. Aufgrund der hohen Anzahl der Accounts, die man heut zu Tage nunmal hat heisst das naemlich, dass man automatisch einen Passwortmanager braucht und der ist wie bereits vorher erwaehnt fuer die meisten Leute zu unbequem, einfach weil es eine weitere kognitive Anforderung ist.

Ich weiss, dass das von dir nur gut gemeint ist und versteh das deswegen bitte auch nicht als persoenlichen Angriff, aber das Problem mit Passwoertern ist nur aus theoretischer Sicht geloest, aus praktischer Sicht noch lange nicht. Ich bin mir auch nicht im Klaren darueber, was ich persoenlich zum Beispiel einem Laien diesbezueglich raten soll. Also was der beste Kompromiss ist zwischen „ueberall das gleiche schwache Passwort nutzen“ und „nutz einen Passwortmanager“. Irgendetwas was ziemlich sicher und gleichzeitig auch noch gut machbar fuer Ottonormalverbraucher ist, ist nicht wirklich leicht zu finden.

1 „Gefällt mir“

Jürgen Milski ist hier zu Gast, zum Thema Freundschaft.

:scream::money_mouth_face:
Der nimmt auch jeden Euro mit. Ekelhafter Mensch.

1 „Gefällt mir“

Auf alle Fälle TwoFactorAthentication überall wo es möglich ist, vor allem wenn direkt Geld dran hängt wie Paypal oder Amazon rate ich allen. Damit hat man wenigstens eine zusätzliche Hürde.

3 „Gefällt mir“

2FA ist schon mal ein guter Ansatz. Gibt da btw auch andere Stimmen, wenn der zweite Faktor deine Handynummer ist, aber wuerde ich jetzt erst mal trotzdem berfuerworten. Auch die Priorisierung von wichtigen Accounts (Amazon, Paypal, Dropbox, iCloud, etc…) ist denke ich sinnvoll und ein pragmatischerer Ansatz als “nutz einen Passwortmanager!”.

Du denkst da nicht weit genug und begrenzt das Thema Passwörter nur auf Logins bei Websites.

1 „Gefällt mir“

Man darf im Thema Sicherheit im Netz auch nie die Dummheit der Leute unterschätzen. Gerade auf einer recht großen Facebook Seite, die ich verfolge, gesehen wie jemand in einem öffentlichen Kommentar seine Email Adresse und das Password für den Service (den die facebook Seite repräsentiert) geschrieben hat.

Ich hab mal aus Spaß versucht in seinen Email Account reinzukommen (vonwegen Passwort reuse), ging jedoch nicht, da der Account bereits gesperrt wurde, wegen zu ofter Fehleingabe des PWs. Entweder hat der Typ da nur einen Jucks hingeschrieben (aber das Email Konto scheint ja zu existieren), oder andere hatten die Idee auch und einer ist reingekommen und hat das PW geändert…

Man muss die Leute halt auch dafür echt sensibilisieren, das sie eben nicht einfach mal ihre Account Daten irgendwo frei preisgeben, da mangelt es bei einigen ja doch scheinbar echt an dem Wissen und die Folgen, die das haben kann.

Da nützen dann auch sichere Passwörter und Passwort Manager nichts, wenn die Leute selber die Zugangsdaten öffentlich preisgeben… (und Ja, ich hab den guten Herren darauf hingewiesen, seinen Kommentar am besten schnell zu löschen…)

Was habt Ihr eigentlich alle gegen den Milski? Ich finde zwei Dinge an ihm bemerkenswert: 1. Er hatte keinen Bock mehr darauf, am Fließband bei Ford den Knecht zu geben und hat aus Scheiße Gold gemacht, und das nicht auf die prolligste und dümmste Art, die man im deutschen Fernsehen bewundern kann. Respekt dafür. 2. Hat man beim “Perfekten Promi Dinner” gesehen, dass er einen Reinlichkeitsfimmel hat und seinen Gästen an der Haustür einen Überziehschuhautomaten, wie man ihn von Tatorten und Wurstfabriken kennt, anbietet. Daraufhin habe ich mir auch so ein Ding zugelegt.

Diese Frage kann nur jemand stellen, der so gut wie keine Produktion von Fernsehkritik-TV oder auch der Mediatheke gesehen haben kann.Also ran an die Buletten. Es gibt für Dich viel nachzuholen.

3 „Gefällt mir“

Doch… aber man darf auch anderer Meinung sein… gerade Fernsehkritik.tv war für mich oft ein moralinsaures rotes Tuch…

Es gibt aber schon noch einen Unterschied zwischen dem bloßen Ratschlag, etwas (nicht) zu tun und zu erläutern, warum man es (nicht) tun sollte. Natürlich erreicht man damit nicht jeden, dich scheinbar zum Beispiel nicht. Aber man kann halt nicht jeden erreichen, die Illusion habe ich auch gar nicht. Aber der eine oder andere versteht jetzt vielleicht besser die Notwendigkeit und setzt es dann um. Und man kann ja hier sehen, dass es häufig am Hintergrundwissen scheitert. Mit etwas Glück setzt immerhin in ein paar Monaten mal ein Umdenken ein, wenn weitere Eindrücke folgen.

Ich bin also eine bloße Theorie. Ich kenne total viele Theorien. Ach morgen gibt es übrigens europaweit Demos gegen Artikel 13, da gehen wieder ne Menge Bots auf die Straße :wink:
Es wirkt manchmal so, dass es praktisch nicht umsetzbar sei, aber man muss die Menschen manchmal nur dazu bewegen Erfahrungen zu sammeln und die Vorurteile zu „erweitern“. Ich habe auch schon erlebt, dass diejenigen, die nicht überall das gleiche Passwort verwenden, den Passwortmanager sogar als Erleichterung wahrgnemommen haben und gar nicht glauben konnten, wie gut und einfach das funktioniert.

Ich glaube nicht, dass da irgendetwas gelöst wurde oder man es überhaupt versucht hat. Die Theorie, was nun ein sicheres Passwort ist oder nicht, ist schon ewig alt. Passwortmanager sind nur die digitale Antwort auf den Passwort-Zettel, der früher noch praktikabel war, weil die 10 Accounts noch draufpassten.

Natürlich muss man sein Nutzerverhalten anpassen, wenn man es sicherer gestalten soll. Es geht ja auch nicht um absolute Sicherheit. Aber es gibt Leute, die stellen ihre komplette Ernährung um, was sie für Produkte einkaufen, die sie in Einigen Geschäften nicht bekommen. Das wäre für mich viel anstrengender als einen Passwortmanager zu verwenden. Nur bei der Ernährung halten es die Menschen für wichtig, bei Passwörtern nicht. Da wird es einen sowieso nicht treffen und es ist eh die Aufgabe der Entwickler dafür zu sorgen, dass man eigentlich gar keine Passwörter braucht und es immer schön sicher ist.

Da muss man aber auch tierisch aufpassen. Der zweite Faktor darf auf keinen Fall verlorengehen. Ist das Handy weg (geklaut, kaputt), dann ist die Kohle weg. Also braucht es vom zweiten Faktor definitiv ein Backup. Und das geht nicht, wenn das Handy an sich der Faktor ist. Am besten ist da OTP, wie ich finde. Das geht komplett ohne Kommunikation, also auch in einem Bunker oder in der Pampa und den Schlüssel kann man sich ausdrucken und bei Bedarf wieder scannen. Man kann auch mehrere Geräte dafür nutzen, wenn es einem sinnvoll erscheint. Ist natürlich auch wieder ne Lücke in der Theorie, aber die hat die Telefonnummer genau so.

(und schon wieder habe ich einen Roman geschrieben …)

Ich finde Holger hat einfach immer eine Meinung, ist da rein menschlich, versucht das aber häufig so gut wie möglich sachlich zu begründen. Und das gefällt mir. In der Tat sind deine Punkte auch bewundernswert, aber ich kann einfach niemanden insgesamt dafür bewundern, dass er es „geschafft hat“, indem er unzählige Leute abgezogen hat.