Manches muss einfach gemeldet werden

"Off-Topic"-Forum. Die Themen können von den Usern frei bestimmt werden.
Es gelten auch hier die Foren-Regeln!

Moderator: Verwaltung

Honigkuchenpferd
Super Mega Power User
Super Mega Power User
Beiträge: 4770
Registriert: Freitag 9. August 2013, 12:32
Ausbildungslevel: Au-was?

Re: Manches muss einfach gemeldet werden

Beitrag von Honigkuchenpferd »

Das Beste wären natürlich maximal lange Passwörter, randomisiert aus Buchstaben, Ziffern und Sonderzeichen, so dass sie in keinem Wörterbuch vorkommen. Aber irgendwie muss man es sich ja noch merken können...
"Honey, I forgot to duck."
Tobias__21
Fossil
Fossil
Beiträge: 10395
Registriert: Dienstag 4. November 2014, 07:51
Ausbildungslevel: Au-was?

Re: Manches muss einfach gemeldet werden

Beitrag von Tobias__21 »

Man könnte ja auch einfach Buchstaben durch Sonderzeichen ersetzen. So hat man noch Wörter die Sinn ergeben. Also bspw: tob$@s :)
Having cats in the house is like living with art that sometimes throws up on the carpet
Benutzeravatar
Ara
Urgestein
Urgestein
Beiträge: 8343
Registriert: Donnerstag 11. Juni 2009, 17:48
Ausbildungslevel: Schüler

Re: Manches muss einfach gemeldet werden

Beitrag von Ara »

Honigkuchenpferd hat geschrieben:Das Beste wären natürlich maximal lange Passwörter, randomisiert aus Buchstaben, Ziffern und Sonderzeichen, so dass sie in keinem Wörterbuch vorkommen. Aber irgendwie muss man es sich ja noch merken können...
Es geht nicht um das "das beste Passwort", es geht darum "was für ein Passwort wählt ein Benutzer".

Da zeigen Studien: Wenn ich einen Benutzer zwinge Sonderzeichen und Großbuchstaben zu nutzen, passiert in der Regel folgendes. 1. Der User gibt sein gewünschtes Passwort nur aus Kleinbuchstaben ein und kriegt ne Fehlermeldung 2. Er schreibt den ersten. Buchstaben seines Passwortes groß 3. er fügt ganz am Ende ein Sonderzeichen oder Zahlen hinzu. 4. er schreibt sein Passwort auf.

Ein 6 stelliges Passwort, bei dem ich weiß, dass am Anfang der Großbuchstabe und am Ende ein Sonderzeichen ist, ist nun einmal mathematisch deutlich unsicherer, als wenn ich vom User einfach ein 9 stelliges Passwort verlange. Wir sind halt über die Zeit schon lange hinaus, wo per Bruteforce einfach Wörterbücher oder Zahlenkombinationen durchgeprüft wurden. Mittlerweile sind die Angriffe deutlich intelligenter und wissen halt schon, wo regelmäßig die Sonderzeichen sind (durch das Auswerten geleakter Passwörter). Genauso ist zum Beispiel bekannt, dass User gerne das E eines Wortes durch die 3 ersetzen. Damit Bruteforct man sein Wörterbuch dann einfach noch einmal durch, wo alle Buchstaben dann durch eine 3 ersetzt sind.

Zusätzlich steigt das Risiko, dass er sich ein kompliziertes das Passwort nicht merken kann und per Post-It an den Monitor klebt.

Eine relativ aktuelle Studie ist zum Beispiel hier zusammengefasst zu dem Thema: https://www.technologyreview.com/s/5425 ... -password/

Hier im Original: http://www.eurecom.fr/en/publication/47 ... i-4711.pdf
Die von der Klägerin vertretene Auffassung, die Beeinträchtigung des Wohngebrauchs sei durch das Zumauern der Fenster nur unwesentlich beeinträchtigt, ist so unverständlich, dass es nicht weiter kommentiert werden soll. - AG Tiergarten 606 C 598/11
Voland
Power User
Power User
Beiträge: 518
Registriert: Dienstag 2. Februar 2010, 13:42
Ausbildungslevel: Ass. iur.

Re: Manches muss einfach gemeldet werden

Beitrag von Voland »

Ara hat geschrieben:
Honigkuchenpferd hat geschrieben:Das Beste wären natürlich maximal lange Passwörter, randomisiert aus Buchstaben, Ziffern und Sonderzeichen, so dass sie in keinem Wörterbuch vorkommen. Aber irgendwie muss man es sich ja noch merken können...
Es geht nicht um das "das beste Passwort", es geht darum "was für ein Passwort wählt ein Benutzer".

Da zeigen Studien: Wenn ich einen Benutzer zwinge Sonderzeichen und Großbuchstaben zu nutzen, passiert in der Regel folgendes. 1. Der User gibt sein gewünschtes Passwort nur aus Kleinbuchstaben ein und kriegt ne Fehlermeldung 2. Er schreibt den ersten. Buchstaben seines Passwortes groß 3. er fügt ganz am Ende ein Sonderzeichen oder Zahlen hinzu. 4. er schreibt sein Passwort auf.

Ein 6 stelliges Passwort, bei dem ich weiß, dass am Anfang der Großbuchstabe und am Ende ein Sonderzeichen ist, ist nun einmal mathematisch deutlich unsicherer, als wenn ich vom User einfach ein 9 stelliges Passwort verlange. Wir sind halt über die Zeit schon lange hinaus, wo per Bruteforce einfach Wörterbücher oder Zahlenkombinationen durchgeprüft wurden. Mittlerweile sind die Angriffe deutlich intelligenter und wissen halt schon, wo regelmäßig die Sonderzeichen sind (durch das Auswerten geleakter Passwörter). Genauso ist zum Beispiel bekannt, dass User gerne das E eines Wortes durch die 3 ersetzen. Damit Bruteforct man sein Wörterbuch dann einfach noch einmal durch, wo alle Buchstaben dann durch eine 3 ersetzt sind.

Zusätzlich steigt das Risiko, dass er sich ein kompliziertes das Passwort nicht merken kann und per Post-It an den Monitor klebt.

Eine relativ aktuelle Studie ist zum Beispiel hier zusammengefasst zu dem Thema: https://www.technologyreview.com/s/5425 ... -password/

Hier im Original: http://www.eurecom.fr/en/publication/47 ... i-4711.pdf
Ist das eigentlich überhaupt noch ein besonders relevantes Thema in Bezug auf IT-Sicherheit? Bruteforce-Attacken kann man doch eigentlich dadurch gut abwehren, dass man die zulässigen Eingabeversuch beschränkt u.ä. Wenn überhaupt ein Eindringen in sensible Systeme über gemobste Passwörter stattfinden sollte, dann doch wahrscheinlich eher, weil diese mittels Phishing, Social Engineering, etc. entwendet wurden.

Ansonsten stimme ich Dir vollkommen zu.
Benutzeravatar
Ara
Urgestein
Urgestein
Beiträge: 8343
Registriert: Donnerstag 11. Juni 2009, 17:48
Ausbildungslevel: Schüler

Re: Manches muss einfach gemeldet werden

Beitrag von Ara »

Voland hat geschrieben:
Ara hat geschrieben:
Honigkuchenpferd hat geschrieben:Das Beste wären natürlich maximal lange Passwörter, randomisiert aus Buchstaben, Ziffern und Sonderzeichen, so dass sie in keinem Wörterbuch vorkommen. Aber irgendwie muss man es sich ja noch merken können...
Es geht nicht um das "das beste Passwort", es geht darum "was für ein Passwort wählt ein Benutzer".

Da zeigen Studien: Wenn ich einen Benutzer zwinge Sonderzeichen und Großbuchstaben zu nutzen, passiert in der Regel folgendes. 1. Der User gibt sein gewünschtes Passwort nur aus Kleinbuchstaben ein und kriegt ne Fehlermeldung 2. Er schreibt den ersten. Buchstaben seines Passwortes groß 3. er fügt ganz am Ende ein Sonderzeichen oder Zahlen hinzu. 4. er schreibt sein Passwort auf.

Ein 6 stelliges Passwort, bei dem ich weiß, dass am Anfang der Großbuchstabe und am Ende ein Sonderzeichen ist, ist nun einmal mathematisch deutlich unsicherer, als wenn ich vom User einfach ein 9 stelliges Passwort verlange. Wir sind halt über die Zeit schon lange hinaus, wo per Bruteforce einfach Wörterbücher oder Zahlenkombinationen durchgeprüft wurden. Mittlerweile sind die Angriffe deutlich intelligenter und wissen halt schon, wo regelmäßig die Sonderzeichen sind (durch das Auswerten geleakter Passwörter). Genauso ist zum Beispiel bekannt, dass User gerne das E eines Wortes durch die 3 ersetzen. Damit Bruteforct man sein Wörterbuch dann einfach noch einmal durch, wo alle Buchstaben dann durch eine 3 ersetzt sind.

Zusätzlich steigt das Risiko, dass er sich ein kompliziertes das Passwort nicht merken kann und per Post-It an den Monitor klebt.

Eine relativ aktuelle Studie ist zum Beispiel hier zusammengefasst zu dem Thema: https://www.technologyreview.com/s/5425 ... -password/

Hier im Original: http://www.eurecom.fr/en/publication/47 ... i-4711.pdf
Ist das eigentlich überhaupt noch ein besonders relevantes Thema in Bezug auf IT-Sicherheit? Bruteforce-Attacken kann man doch eigentlich dadurch gut abwehren, dass man die zulässigen Eingabeversuch beschränkt u.ä. Wenn überhaupt ein Eindringen in sensible Systeme über gemobste Passwörter stattfinden sollte, dann doch wahrscheinlich eher, weil diese mittels Phishing, Social Engineering, etc. entwendet wurden.

Ansonsten stimme ich Dir vollkommen zu.
Das Problem ist, dass die Leute ja gerne immer das gleiche Passwort verwenden. Das heißt wenn es an irgendweiner Stelle gebruteforct wurde, dann testet man halt die Kombi Emailaddy + Passwort auch an anderer Stelle.
Die von der Klägerin vertretene Auffassung, die Beeinträchtigung des Wohngebrauchs sei durch das Zumauern der Fenster nur unwesentlich beeinträchtigt, ist so unverständlich, dass es nicht weiter kommentiert werden soll. - AG Tiergarten 606 C 598/11
Tobias__21
Fossil
Fossil
Beiträge: 10395
Registriert: Dienstag 4. November 2014, 07:51
Ausbildungslevel: Au-was?

Re: Manches muss einfach gemeldet werden

Beitrag von Tobias__21 »

Jemand Zugriff auf die NJW und kann mir NJW 2017, 2956 zukommen lassen? Wäre wirklich spitzenklasse, da es grade thematisch wunderbar passt.
Having cats in the house is like living with art that sometimes throws up on the carpet
Benutzeravatar
famulus
Fossil
Fossil
Beiträge: 10254
Registriert: Freitag 12. März 2004, 12:55
Ausbildungslevel: Interessierter Laie

Re: Manches muss einfach gemeldet werden

Beitrag von famulus »

Ähm nee, normale Menschen haben jetzt Feierabend. :alright :D
»Ich kenne den Schmerz, den ich hatte, weil ich zweimal die Vorhaut mit dem Reißverschluss mitgenommen habe, so dass dieser - also Reißverschluss - einmal in einer Klinik entfernt werden musste.« - Chefreferendar
Benutzeravatar
Tibor
Fossil
Fossil
Beiträge: 16441
Registriert: Mittwoch 9. Januar 2013, 23:09
Ausbildungslevel: Ass. iur.

Re: Manches muss einfach gemeldet werden

Beitrag von Tibor »

"Just blame it on the guy who doesn't speak English. Ahh, Tibor, how many times you've saved my butt."
Tobias__21
Fossil
Fossil
Beiträge: 10395
Registriert: Dienstag 4. November 2014, 07:51
Ausbildungslevel: Au-was?

Re: Manches muss einfach gemeldet werden

Beitrag von Tobias__21 »

boah wie fies :) Kopier ich es mir eben morgen in der Bib. Wenn mich diese komische Sicherheitsgruppe Justizvollzug niederringt, seid ihr schuld :D
Having cats in the house is like living with art that sometimes throws up on the carpet
Benutzeravatar
Muirne
Urgestein
Urgestein
Beiträge: 6243
Registriert: Sonntag 2. Januar 2011, 22:46

Re: Manches muss einfach gemeldet werden

Beitrag von Muirne »

jo, komm, bevor du kleine Streberratte nicht schlafen kannst. Schick die Mailadresse rüber.
»Natürlich ist das herablassend. Torquemada ist mir gegenüber herablassend, ich bin esprit gegenüber herablassend. So ist die Nahrungskette in diesem Forum nunmal.« - Swann
Benutzeravatar
Ara
Urgestein
Urgestein
Beiträge: 8343
Registriert: Donnerstag 11. Juni 2009, 17:48
Ausbildungslevel: Schüler

Re: Manches muss einfach gemeldet werden

Beitrag von Ara »

Sei froh, dass du nicht nach Speyer fährst Tobias. Da würden die coolen Kids dich verprügeln!
Die von der Klägerin vertretene Auffassung, die Beeinträchtigung des Wohngebrauchs sei durch das Zumauern der Fenster nur unwesentlich beeinträchtigt, ist so unverständlich, dass es nicht weiter kommentiert werden soll. - AG Tiergarten 606 C 598/11
Tobias__21
Fossil
Fossil
Beiträge: 10395
Registriert: Dienstag 4. November 2014, 07:51
Ausbildungslevel: Au-was?

Re: Manches muss einfach gemeldet werden

Beitrag von Tobias__21 »

:lmao: Solange sie mich nicht wegflexen....
Having cats in the house is like living with art that sometimes throws up on the carpet
Benutzeravatar
Muirne
Urgestein
Urgestein
Beiträge: 6243
Registriert: Sonntag 2. Januar 2011, 22:46

Re: Manches muss einfach gemeldet werden

Beitrag von Muirne »

Apropos Prügel... ehrlich gesagt suche ich momentan in der Bibliothek nach Streit, weil das Ref so nervt und ich keinen Bock mehr habe, auf das alles. Ich schicke giftige Blicke zu den Störern und weise sie dann auch verbal zurecht.
»Natürlich ist das herablassend. Torquemada ist mir gegenüber herablassend, ich bin esprit gegenüber herablassend. So ist die Nahrungskette in diesem Forum nunmal.« - Swann
Tobias__21
Fossil
Fossil
Beiträge: 10395
Registriert: Dienstag 4. November 2014, 07:51
Ausbildungslevel: Au-was?

Re: Manches muss einfach gemeldet werden

Beitrag von Tobias__21 »

Muirne hat geschrieben:Apropos Prügel... ehrlich gesagt suche ich momentan in der Bibliothek nach Streit, weil das Ref so nervt und ich keinen Bock mehr habe, auf das alles. Ich schicke giftige Blicke zu den Störern und weise sie dann auch verbal zurecht.
lol :D Oje, oje. Bald im Strafrechtsforum:

"Habe Ersti eine Schelle verpasst. Kann ich mit einer Einstellung rechnen, oder nicht?"
Having cats in the house is like living with art that sometimes throws up on the carpet
Benutzeravatar
Muirne
Urgestein
Urgestein
Beiträge: 6243
Registriert: Sonntag 2. Januar 2011, 22:46

Re: Manches muss einfach gemeldet werden

Beitrag von Muirne »

Tobias__21 hat geschrieben:
Muirne hat geschrieben:Apropos Prügel... ehrlich gesagt suche ich momentan in der Bibliothek nach Streit, weil das Ref so nervt und ich keinen Bock mehr habe, auf das alles. Ich schicke giftige Blicke zu den Störern und weise sie dann auch verbal zurecht.
lol :D Oje, oje. Bald im Strafrechtsforum:

"Habe Ersti eine Schelle verpasst. Kann ich mit einer Einstellung rechnen, oder nicht?"
pretty accurate. :drinking:
»Natürlich ist das herablassend. Torquemada ist mir gegenüber herablassend, ich bin esprit gegenüber herablassend. So ist die Nahrungskette in diesem Forum nunmal.« - Swann
Antworten