Andia hat geschrieben: ↑Do 13. Feb 2020, 16:24
Ja wie heißt denn das Hündchen?
...ich habe Tastenfolgen auf der PC Tastutur ... z.B. qwertzui.
Als ich noch an der ETH arbeitete, war ich dort in der Gruppe für die Benutzervalidationen aller Studenten und Angestellten tätig. Von dort hatte ich Einblick in die Praxis von Passwortsicherheit.
Der Name des Hündchens ist besser als eine Tastenfolge. Tastenfolgen verwenden viele, es gibt in Hackerkreisen Listen von oft verwendeten Passworten - Tastenfolgen sind dort dabei. Der Name des Hündchens aber wohl eher nicht.
Passwort-Knacker gehen nur bei Promis gezielt vor. Der Aufwand ist gewaltig: heraus finden wann er geboren wurde, wann er heiratete, wie seinen erste Freundin hiess usw. usf. ist zwar nicht unmöglich, aber aufwändig und kann vor allem nicht automatisiert werden.
Fischen ist einfacher.
Immer wieder werden Logindaten auf Servern geklaut. Dort ist das Passwort zwar Einweg-verschlüsselt gespeichert - d.h. man kann das
plain text Passwort nicht aufgrund der Einweg-verschlüsselten Daten rekonstruieren. Aber man kann versuchen mit dem gleichen Verschlüsselungsverfahren eine Liste von oft verwendeten Passwörter ausprobieren - wenn man auf dasselbe verschlüsselte Passwort kommt, ist man am Ziel. Das kann parallel auf einem Botnet geschehen. Damit steht eine gewaltige Rechenpower zur Verfügung, was die erstaunlich kurzen Knackzeiten erklärt.
Brute force wird höchstens für lohnende Ziele angewandt. Dabei werden systematisch alle möglichen Buchstabenfolgen ausprobiert. Natürlich hat ein Passwortknacker auch hier nur eine Chance, wenn er wenigstens ein verschlüsseltes Passwort hat. Ein
brute force Angriff auf ein Produktionssystem würde innert Kürze von einem System-Manager entdeckt, weil ein Fehler-Log überlaufen würde. Je länger das Passwort - und vor allem: je grösser der verwendete Zeichensatz - desto länger hat eine brute force Attacke bis sie zum Ziel kommt.
Der langen Rede kurzer Sinn: verwende ein Passwort das in keinem Lexikon und in keiner Häufig-verwendete-Passwort-Liste enthalten ist. Der Name des Hündchens wäre gar nicht so schlecht - allenfalls mit irgend einer sinnigen Zahl kombiniert. Und verwende dieses Passwort nur für eBanking oder andere sichere Applikationen - nicht für Foren Login. Dort reicht ein Trivialpasswort. Denn Foren laufen auf Servern, die oft nicht professionell gewartet werden. Dort können Login-Daten am ehesten geklaut werden.
Mit freundlichen Grüssen
Thedi