Folge 26

Libertas · 19. März 2019 um 13:46

Hayali ist eine Reptoloidin und hat jetzt ihre Eier in die Frau gelegt. Die geschlüpften Echsen werden sich dann von ihrem Innerren ernähren bis 20 kleine Hayalis aus ihr rausbrechen.

So in dem Stil?

stammi · 19. März 2019 um 13:47

Jetzt wirds unsachlich. Freu dich, bin raus.

korbip · 19. März 2019 um 13:49

Ich fands auch etwas unsachlich. Aber es zeigt Wirkung

STaRDoGG · 19. März 2019 um 13:49

Da halte ich dagegen

korbip · 19. März 2019 um 13:50

„Das kannst du doch gar nicht wissen“

Icetwo · 19. März 2019 um 13:54

Jetzt ist aber wieder gut hier !!

1elv · 19. März 2019 um 19:53

Sifftwitter ist es nun mal egal, dass Hayali eine ehemalige Messdienerin und Tochter einer haldäisch-katholischen Christin und eines syrisch-orthodoxen Christen ist.

Paddy · 21. März 2019 um 08:34

Das mit den Passwörtern ist umgedrehte Psychologie: Man denkt dass die Hacker denken: Keiner ist so blöd und nimmt das als Passwort

Naked_Snake · 21. März 2019 um 18:37

Sorry, falls das schon beantwortet wurde, aber wie wird die Liste mit den Passwörtern erstellt?

Da müssen ja Leute bei einer Umfrage gesagt haben “Hey, mein Passwort ist XYZ.”, aber wer macht das denn schon? Vermutlich reichen schon 2-3 Leute mit dem selben Passwort aus, um auf die Topplätze zu kommen.

Libertas · 21. März 2019 um 18:41

Vielleicht aus geleakten Datenbanken? (Ich weiß es nicht, ist nur so ne Idee)

Naked_Snake · 21. März 2019 um 21:01

Gut möglich, aber dann ist die Liste doch absolut irrelevant. Sofern irgendeine Seite gehackt wird und mein Passwort dort nicht ausreichend verschlüsselt/geschützt war, dann nützt doch das beste Passwort nix. In dem Fall ist 123456 genau so sicher wie jedes andere Passwort.

Hier wird ja so getan als würde sich jeder Schurke wie ein Script-Kiddi mit Bruteforce vor den PC setzen

anon475041 · 21. März 2019 um 21:09

Das mag ja sein, aber VOR dem Hack ist das Passwort dennoch komplett unsicher, da es bei Bruteforce Methoden direkt als eines der ersten durchprobiert wird, da es halt eines der am häufigsten verwendeten Passwörter ist.

Dann lieber ein sicheres Passwort und am besten eines das Zufallsgeneriert ist, verwende ich überall ein anderes Passwort muss ich halt nur das gehackte neu ändern. Ansonsten hat ein Hacker direkt das Passwort für sämtliche meiner Accounts.

Auch wenns ein Script-Kiddi ist oder nicht, ist egal. Das Passwort ist und bleibt unischer, da es viel zu einfach zu erraten ist.

mchawk · 21. März 2019 um 21:13

Die Zahlen stammen vom Hasso-Plattner-Institut.

Die Liste ist in sofern nicht irrelevant, als das besonders beliebte Passwörter gerne bei Wörterbuchattacken verwendet werden.

Naked_Snake · 21. März 2019 um 21:21

Sofern die Websites gegen Bruteforce-Angriffe nicht ausreichend geschützt ist, müss es der Angreifer obendrein auch noch gezielt auf genau mich abgesehen haben.

In der Regel geht es darum, dass einer versucht komplette Datensätze zu erbeuten und ein anderer (oder evtl. der selbe) nutzt diese Datensätze, um damit Schaden anzurichten.

Wer setzt sich denn noch hin und versucht gezielt per Bruteforce einen einzelnen Account zu hacken?

Von daher ist in meinen Augen die größere Gefahr, dass man überall das selbe Passwort verwendet und nicht das Passwort an sich. Ansonsten bleibt weiterhin die Frage, ob jetzt 10 oder 1.000 Leute 123456 als Passwort nutzen müssen, damit es auf die oberen Plätze dieser Liste kommt.

STaRDoGG · 21. März 2019 um 21:28

Das ist garnicht mal so falsch, aber 123456 ist dann doch etwas zu einfach.

Aber password reuse wird so schnell eh nicht verschwinden. Den einzigen Weg password reuse zu vermeiden ohne auf Passworter zu verzichten ist ein Passwort-Manager, der fuer die meisten Menschen aber viel zu kompliziert und unbequem ist. Und ohne Passwort-Manager ist es quasi unmoeglich password reuse zu vermeiden. In meinem Passwort-Manager sind ueber 100 Accounts hinterlegt, das schafft ja kein Mensch sich die alle zu merken ohne extra Software, geschweige denn die regelmaessig zu aendern. Und selbst als Ottonormalverbraucher bzw. nicht internetaffiner Mensch kommt man schnell auf ein oder zwei Dutzend Accounts, fuer die sich natuerlich auch niemand ein starkes Passwort oder ein Schema oder sonst was ausdenken und merken will.

mchawk · 21. März 2019 um 21:53

Eine Brute-Force-Attacke ist etwas anderes als eine Wörterbuchattacke.
Letztere können nicht ganz so einfach erkannt und abgewehrt werden, da sie deutlich, deutlich weniger Aufrufe produzieren.

anon81382961 · 21. März 2019 um 22:02

Das ist nur eine Brute Force Variante.

maddyxx · 22. März 2019 um 02:31

Wird die “Mediatheke nachgefragt” auf MG hochgeladen? Zuckerberg-Produkte boykottiere ich nämlich.

Naked_Snake · 22. März 2019 um 11:01

Auf etlichen Seiten werd ich spätesten nach 3-5 fehlerhaften Einloggversuchen temporär gesperrt. Ansonsten dürfte eine Attacke mit Wörterbuch und ohne ähnlich Erfolgversprechend sein in Relation zur aufgewendeten Zeit. Also eher gering.

123456 ist jetzt natürlich ein extremes Beispiel, aber wieso soll bspw. der Name + Geburtsdatum ein schlechteres Passwort sein als ein zufälliges? Wie gesagt, solange es nicht jemand persönlich auf mich abgesehen hat, wird wohl kaum jemand versuchen den deutschen Durchschnitts-Michel zu hacken.

Mir fällt auch grad ein, dass ich bspw. früher bis zu 7 Accounts bei Sonys PSN hatte, u.a. um ausländische, kostenlose Inhalte abzugreifen oder um Beta-Einladungen zu teilen. Da habe ich natürlich neben Wegwerfmails auch 123456 oder abcdef oder dergleichen benutzt. Für wichtige Accounts würde ich das nicht machen, aber sicherlich bin ich da nicht der einzige und vermutlich trifft das öfter zu als Leute, die ihren Bankingaccount mit 123456 sichern.

Ich halte die ganze Liste der beliebtesten Passwörter jedenfalls für nicht aussagekräftig und irrelevant.

Takeshi · 22. März 2019 um 15:09

Hier sind einige erschreckend naiv. Nur, weil sich das potentielle Opfer nicht vorstellen kann, auf welche Ideen ein Angreifer kommt, heißt es nicht, dass der Angreifer nicht auf solche Ideen kommt! Der Kreativität der potentiellen Opfter möchte ich an der Stelle einen kleinen Anstoß geben.

Es ist erst mal richtig, dass es bei der ganzen Thematik vorallem um geklaute Datenbanken geht. Es ist in der Tat so, dass es SEHR wichtig ist überall andere Passwörter zu verwenden. So wird verhindert, dass der Einrbuch in eine Datenbank keine Auswirkungen auf Konten auf andere Seiten hat. Allerdings ist mit einem Einbruch in einen Server das Kind noch nicht in den Brunnen gefallen. Passwörter werden (hoffentlich) nie im Klartext gespeichert, sondern als Hash. Das heißt der Angreifer hat auch nach seinem Einbruch kein einziges Passwort, sondern nur den Hash. Der Angreifer hat also erst mal genau so viel wie vorher, nur dass er den „Login“ ohne die Webseite lokal durchführen kann. Und hier kommt die Passwortstärke ins Spiel. Da der „Login“ offline läuft, greift auch keine Brute-Force-Abwehr mehr. Geknackt werden die schwachen Passwörter. Die können dann genutzt werden, um sich auf der Seite wirklich einzuloggen. Wörterbuchangriffe erleichtern dann das Brute-Forcen. Namen und Geburtsdaten sind ganz schlecht, da die Möglichkeit an Namen doch vergleichsweise gering ist und ein Datum aus 8 Zahlen (YYYYMMDD) theoretisch zwar 10^8 Möglichkeiten hat, aber da nur echte Datumsangaben der letzten 50 Jahre realistisch sind, sind es um den Faktor 5.000 weniger.
Und es ist nicht so, dass ein Einbruch immer bemerkt wird. Ich glaube sogar, dass das in den seltensten Fällen so ist. Häufig dauert es aber zumindest Wochen, bis es jemand merkt und dann ist noch die Frage, ob es überhaupt publik gemacht wird. Leider gesteht das nämlich kaum jemand.

Was will aber nun ein Angreifer mit dem Account von Lieschen Müller? Hier wurde ja mehrmals angemerkt, dass doch keiner ein Interesse an Accounts von irgendwelchen Leuten hätte, außer es gäbe persönliche Motive. Nun die Accounts werden gern missbraucht, um im einfachsten Fall Spam zu posten. Dann wird gern Schadsoftware (zum Beispiel Verschlüsselungstrojaner) an andere Nutzer der Seite verteilt, indem zum Beispiel Links zu gefährlichen Dateien veschickt werden und der andere Nutzer denkt, es sei die Person selbst, die diesen Link verschickt, also ist es schon sicher. Es steht ja an den Nachrichten nicht dran „wurde in Wahrheit von einem Bot generiert“. Oder es werden Accounts bei Online-Shops genutzt, um auf den eigenen Namen Betrügereien durchzuführen. Den Ärger hat der, dessen Account gekapert wurde.

Also Leute, benutzt sichere Passwörter!

Wie schon erklärt wurde, sagt das dennoch etwas darüber aus, wie sicher das Passwort vor dem Hack war.
Irrelevant ist die Liste trotzdem nicht, wenn der Datensatz an geleakten Passwörtern groß genug ist. Damit hat man natürlich kein absolutes Ergebnis, welche Passwörter wirklich wie häufig verwendet werden, aber es ist ein guter Richtwert. Das ist wie mit jeder Statistik. Da wird eine ausreichend große Stichprobe genommen und davon ausgegangen, dass das ungefähr mit dem hinkommt, was man hätte, würde man wirklich alle Daten erfassen. Und bei ausreichend großen Stichproben passt das.

Ich ebenfalls. Wie du schon gut dargelegt hast, nutzt nicht jeder für jeden noch so unwichtigen Dienst eine sicheres Passwort und das ist auch nicht so schlimm. Es gibt ja sogar Seiten, die Zugangsdaten öffentlich teilen, damit man sich nicht überall registrieren muss! Und dann bringt die Liste der häufigsten Passwörter nichts, da es keine Aussage darüber gibt, wie häufig die denn nun sind. Aber das wurde weiter am Anfang ja schon diskutiert. Die Liste ist Blödsinn und dient maximal als Denkanstoß für Leute, die einfache Passwörter benutzen. Wobei ich mir da sogar vorstellen kann, dass sich einige sagen „na also gegen 12345678 ist mein Passwort Erna1974 aber ein echt gutes Passwort, kann ich so lassen“.