Follow

Liebe Krankenversicherung,

ich versuche hier, einen sicheren Login anzulegen. Aber leider lasst ihr mich nicht.

Liebe Grüße aus dem Neuland!

@nwng Ein sicheres Passwort mit weniger als 14 Zeichen? Ich lache mich tot... Oder eigentlich weine ich eher... Und dass gerade noch Zahlen im Nutzernamen enthalten sein dürfen, ist schon alles

@Niklas // nwng
@Privacy Guide 1984
????
14Zeichen ist nicht gut?
Und warum sollte der Benutzername Sonderzeichen haben?
IT-$icherheit ist mehr als große Zahlen aber dafür muss man es verstehen...

@marlon @nwng

"IT-Sicherheit ist mehr als große Zahlen" – Unsinn. Ein ultralanges Passwort ist Voraussetzung für Sicherheit. Sonderzeichen, Zahlen, zufällige Kombinationen nützen dir REIN GAR NICHTS, wenn du nur ein paar Zeichen nutzen darfst. 14 Zeichen sind ein Witz...

@datenschutzratgeber @marlon Naja, 14 Zeichen bei über 60 möglichen sind schon 14^60 Optionen, die man auch erstmal haben muss. Prinzipiell ist das ziemlich sicher.

@nwng @marlon

Mir persönlich aber lange nicht sicher genug. Wenn ich mir dank Passwortmanager meine Passwörter gar nicht mehr merken muss, dann will ich bitteschön auch einige Dutzend Stellen zur Verfügung haben. Und wer weiß, was in Zukunft dank Quantentechnologie möglich wird. Lieber in Sachen Sicherheit kompletten Overkill, anstatt hinterher seine "Sparsamkeit" bedauern zu müssen.

(Woher kommen eigentlich die 60 Kombinationen? 🤔)

@datenschutzratgeber @marlon 26 * 2 Buchstaben, + 10 Zahlen = 62 + einige mehr Sonderzeichen

sind also noch deutlich mehr als die angenommenen 60.

@nwng @marlon Ah, stimmt, an Groß- und Kleinschreibung hab ich gar nicht gedacht

@Privacy Guide 1984
@Niklas // nwng
Ihr müsst euch von Zahlen lösen und die Sicherheitskonzepte dahinter verstehen.
Man kann nicht einfach auf eine Webseite schauen und sagen, oh ein Passwort mit nur X-Zeichen, das ist aber unsicher.
Ich verwendet teilweise 4 Zahlen als Passwort und dieses ist sicherer als z.B. ein Passwort mit 22 Zeichen. Ich verwende teilweise auch garkeine Passwörter, was zur Zeit am sichersten ist.
Bei IT-Sicherheit geht es um verstehen und nicht um große Zahlen und nachplappern...

@marlon @datenschutzratgeber Verständnis ist nicht das Problem. Erwähnte Krankenkasse bietet keine anderen sicheren Authentisierungsmethoden an. Durch die zusätzliche Begrenzung auf einige wenige Sonderzeichen sind nur 4 stellen lange Passwörter unter keinen Umständen sicherer, als eins mit mehr. Ich nutze Passwortmanager, da spielt die Länge für mich eh keine Rolle, weil ich die Passwörter gar nicht kenne. Ergo: nonplusultra bei dem was geht.

@marlon @nwng

Gar keine Passwörter – also FIDO2? Ja, ist tausendmal besser, wird aber bisher kaum unterstützt.

Und was für ein 4-Zahlen-Passwort kann sicherer sein als ein Passwort mit 22 Zeichen?

10^4 sind gerade einmal 10000 Kombis. 60^22 sind dagegen schon 1.3 * 10^39.

Für deine 4 Zahlen braucht ein Angreifer nicht mal 3h, selbst wenn er bloß einen Versuch pro Sekunde machen kann.

Für ein 22-Stellen-CSPRNG-PW braucht selbst der Summit 2*10^11 Jahrtausende, wenn ich mich nicht irre.

@Niklas // nwng
Leider ist doch das Verständnis das Problem.
Mit dem richtigen Sicherheitskonzept kann die gleiche Seite auch mit nur 6Zeichen sicher sein.
Da.kommt es eben auf das Sicherheitskonzept an und was und wovor man sich oder seine Kunden schützen möchte.

In der IT-Sicherheit werden komplexe Sachverhalte für die Endbenutzer oft vereinfacht dargestellt. So auch bei der Passwortlänge und komplexität. Diese vereinfachungen werden vom Laien dann leider ala volle Wahrheit angesehen..

@marlon Wie gesagt, es wird nichts besseres angeboten. Das Sicherheitskonzept gibt nichts besseres her.

@Niklas // nwng
Ein Sicherheitskonzept ist viel mehr als eine Passwortlänge oder eine Authentisierungsmethoden.
Wenn man dies verstandenhat und sich mit dem IT-Sicherheit weiter beschäftigt, dann versteht man auch wieso ich ein Veto zu deiner Aussage eingelegt habe ;-)

@marlon Na dann erkläre doch bitte, wie ich ein angemessen sicheres Login erzeuge. Ich bin ja nicht hier, um klugzuscheißen, sondern auch, um zu lernen.

@marlon @nwng

"dafür muss man es verstehen", "die Sicherheitskonzepte dahinter verstehen", "Verständnis", "wenn man dies verstanden hat" – tolle Phrasen. Erklär doch einfach mal im Klartext, was du meinst, anstatt nur zu betonen, dass ich/wir falsch liege(n), weil ich/wir kein Verständnis hätte(n).

@Privacy Guide 1984
@Niklas Jordan 🇪🇺🌳
Du hälst dich immer noch an bedeutungslosen zahlen fest und deine Grundannahme zur Sicherheit ist falsch.
Ich schreibe dazu heute abend was, wenn ich am pc sitze.

Spiel: Überlegt euch doch mal wieso eine EC Karte nur 4 Ziffern hat und wieso mehr längere und komplexere Passwörter keine Auswirkung auf die Angriffe aber auf die Sicherheit generell hätte.
@Niklas // nwng
@Privacy Guide 1984
Ok, wie versprochen nun meine Erklärung.
Ich versuche es einfach zu halten...

Eure Annahme ist, dass die Sicherheit einer Webseite von der Länge und Komplexität des Passworts abhängt.
Dies ist nur der Fall, wenn es kein Sicherheitskonzept und daher auch keine Gegenmaßnahmen gegen Bruteforce Angriffe gibt.
Und ihr müsst das Ziel eines Angriffes sein, was aber generell nicht gegeben ist.
Ein Angreifer muss 2 Geheimnisse lösen. .1. Benutzername/ E-mail 2. Das dazugehörige Passwort.
Daher ist eure Rechnung schon mal falsch.
Ein Angreifer wird sich also auf etwas Konzentrieren was er kennt und das ist das Admin-Konto.
Nun braucht der Angreifer nur noch ein Geheimnis zu lösen und dies wäre das Passwort.
Jetzt könnte man sagen, dass ein langes und Komplexes Passwort das wichtigste ist, weil eine "Quantentechnologie" einfache Passwörter knacken kann.
Dies ist aber wieder ein Fehlannahme.
Damit ein Quantencomputer seine stärke ausspielen kann, muss der Angreifer im Besitz der Datenbank mit den gehashten Passwörtern sein.
Damit ist die Webseite mit allen Inhalten incl. Datenbank (e-mail /benutzername/Passwort), logs, etc ist dem Angreifer bereits bekannt. (was gibt es noch zu schützen?)
Das Passwort für euren Login und für den Login des Admin lässt sich nicht durch lange und komplexe Passwörter schützen, sondern durch gezielte Maßnahmen, wie das Sperren des Accounts nach dreimaliger falscher Passwort Eingabe.
Wenn der Angreifer nur 3 Versuche hat eurer Passwort zu erraten, dann ist es egal ob es 6, 16 oder 64 Zeichen lang ist. Ein Zufallstreffer wäre sogar sehr unwahrscheinlich, da der Angreifer die Passwortlänge und Komplexität nicht kennt.

Aber warum sollte man nun lange und komplexe Passwörter nehmen?
Naja, lange und komplexe Passwörter lassen sich nicht leicht "knacken". Wenn der Angreifer die Passwort-Datenbank erbeutet hat und versucht die Passwörter zu entschlüsseln ist der Aufwand viel höher...
Aber auch hier braucht man lange Passwörter nicht wirklich....
Wieso möchte der Angreifer die erbeuteten Passwörter knacken, wenn er doch schon auf alles Zugriff hat? Er möchte die erbeuteten Passwörter und E-Mail Adressen nehmen um diese für Angriffe auf weitere Webseiten (E-Mail, Socialnetwork, etc) zu verwenden.
Naja, also sind doch lange Passwörter sinnvoll? Jein, nur wenn man das gleiche Passwort für mehrere Webseiten benutzt.
Wenn ein Benutzer pro Webseite ein eigenes Passwort nimmt, dann ist es egal, ob dieses nach einen erflogreichen Angriff auf einer bestimmte Webseite geknackt wird.

Lange und komplexe Passwörter sind immer da notwendig, wo der Angreifer etwas direkt angreifen kann.
Beispiel: Ein Angreifer fängt eine E-Mail mit einer verschlüsselten Zip-Datei ab.
Gegen diese Zip-Datei kann ein Angreifer sehr viel Rechenleistung aufwenden um das Passwort zu knacken.
oder ein Angreifer erbeutet einen verschlüsselten Laptop...

ich hoffe hier habt meine Erklärung verstanden und versteht nun, wieso es wichtiger ist ein Sicherheitskonzept und mögliche Angriffe / Gegenmaßnahmen zu verstehen als nur in großen Zahlen zu argumentieren.

@marlon @nwng

Hm, das trifft aber nur dann zu, wenn die Daten auf dem Server wirklich unverschlüsselt sind (was eigentlich niemand machen sollte). Dann hilft ein sicheres Passwort in der Tat wenig. Wenn nun aber die Daten verschlüsselt sind? Dann kommt es eben doch wieder auf die Sicherheit des Passworts an.

Und generell: Wenn ich als Nutzer die Möglichkeit habe, ultrasichere Passwörter zu nutzen, warum sollte ich das nicht tun?

Danke jedenfalls für die Erklärung.

@marlon @datenschutzratgeber Ja, du bist soweit natürlich richtig in deinen Ausführungen, aber die Prämisse scheint mir falsch. Ich habe nie den Standpunkt vertreten, dass einzig die länge der Passwörter für die Sicherheit der Seite maßgebend ist. Natürlich ist das nicht der Fall, aber wir sprechen über einen einzelnen, individuellen Login aus vermutlich Zehntausenden, dessen Sicherung im Vergleich eine sehr hohe Priorität haben sollte.

@marlon @datenschutzratgeber Wenn die Länge der Passwörter irrelevant ist als Information für Attacker, dann nur, wenn Betreibende kein arbiträres Limit setzen. -> Mit jedem zusätzlichen Zeichen steigt die Entropie des Passworts. Wenn also wie hier im Beispiel ein Limit von 14 Zeichen herrscht, dann kann man sich darauf einstellen, für einzelne Logins niemals mehr als 14 Zeichen zu testen, z.B. durch Brute-Forcing oder mit Rainbowtables.

@marlon @datenschutzratgeber Das ist Schade, weil ein Angriff mit heutigen Methoden bei 15 Zeichen schon mindestens doppelt so lange dauern würde.

Ich als User habe aber hier keine Möglichkeit, etwaige sonstige Sicherheitsmechanismen des Providers einzusehen und zu überprüfen, weshalb ich selbst davon ausgehen muss, dass keine vorhanden sind - so als hätten Dritte direkten Zugriff auf die Datenbank mit gehashten Passwörtern und Usernames.

@marlon @datenschutzratgeber Und das, obwohl ich weiß, dass es Mittel und Wege gibt, um diese Informationen von Providerseite aus zu sichern. Darum geht es aber nicht. Wenn es eine Limitierung für den Account gäbe, die nur eine bestimmte Anzahl von Versuchen erlaubt, dann müsste es auch einen Mechanismus geben, um diese zurückzusetzen, wo dann wieder Menschen ins Spiel kommen, die ein solches Request oft nicht genau genug authentifizieren.

@marlon @datenschutzratgeber Ich bezweifle auch, dass man nicht zum Ziel eines Angriffes werden kann. Immerhin geht es hier im Zweifel um Gesundheits- und Finanzdaten, deren Veröffentlichung oder sonstige Bekanntwerdung schon auch mal Existenzen kosten kann.

@marlon @datenschutzratgeber Ich lebe z.B. öffentlich mit Schwerbehinderung, und allein das bereitet mir schon - obwohl ich nie eine exakte Diagnose geteilt habe - teils massive Schwierigkeiten nicht nur auf dem Arbeitsmarkt. Ich will mir nicht ausmalen, was wäre, wenn z.B. mal eine Geschlechtskrankheit bekannt werden würde.

@marlon @datenschutzratgeber Es ist für mich daher angemessen, an dieser Stelle "paranoid" zu sein und solche sensiblen Daten einfach auch von meiner Seite aus so gut es eben möglich ist zu schützen, ohne darauf vertrauen zu müssen, dass Provider ausnahmsweise mal etwas richtig machen. Und dafür ist die länge meiner Passphrasen eben teilweise auch ausschlaggebend.

@marlon @datenschutzratgeber Ich danke dir für deine Erklärung und entschuldige mich für die vielen Toots - meine Instanz gibt mir leider nur 500 Zeichen :)

@nwng @marlon

a) auf dem Gebiet paranoid zu sein, sollte völlig normal sein.

b) ist es nicht mal paranoid, lange Passwörter zu nutzen – gerade wenn man dank eines Passwortmanagers keinen Mehraufwand hat. Man schließt ja auch immer seine Wohnungstür ab, selbst wenn die Einbruchsgefahr gering ist oder "ja sowieso" die Haustür zugeschlossen ist.

@Privacy Guide 1984
@Niklas // nwng
Da werfe ich jetzt mal 20.000€ DSVGO Bußgeld gegen Knuddels.de in den Ring ;-)
Es gibt keine ultrasichere Passwörter. Diese Passwörter stehen wieder in einem Passwortmanager und bei beim nächsten Virus mit Keylogger sind alle Passwörter weg. Auch sieht man an Pass-the-hash, Heartbleed und anderen Angriffen, dass ultrasichere Passwörter manch mal nur eine Illusion sind.

Man muss sich von ultrasicheren Passwörtern trennen und zu "2FA" /"MFA" wechseln und ja, hier muss der Anbieter mit seinem "Sicherheitskonzept" mitspielen.
Wobei es auch gegen 2FA Angriffe gibt aber dies ist nun wieder ein anderes Thema ;)
Da man über dieses Thema Wochen und Monate sprechen kann, würde ich hier einfach mal einen Schlusspunkt setzen.
Ich wüünsche euch einen schönen Abend...

@marlon @nwng Die Passwortdatenbank ist ja selbst verschlüsselt – und wenn du von einem Keylogger beobachtet wirst, macht es keinen Unterschied, ob du selbst oder deine Software die Passwörter eingibt. 2FA ist ja sowieso ein Muss (sofern der jeweilige Dienst es anbietet). Schönen Abend!

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community