View Single Post

MarnumStar's Avatar


MarnumStar
04.08.2013 , 06:48 AM | #24
Anfangs hats mich auch etwas genervt, aber andererseits ist es tatsächlich mithin das sicherste, was sie machen können.

Zu den genannten Gegenvorschlägen:

- Passwörter mit einer Länge von 8-12 Zeichen, die man sich merken kann, und die länger als ein Jahr genutzt werden, sind leider nicht mehr als sicher zu bezeichnen. Hier ein Beispiel: Selbst +AHfBe77 wurde leider auch schon gehackt...
- Passworter, die mehrfach verwendet werden, sind leider auch nicht sicher. (Da genügt es, wenn zwischendurch mal jemand per DNS-Spoof eure Anfrage an gmx, web oder wen auch immer auf seine Seite umgeleitet hat und so dass PW abgegriffen hat.
- Die MAC-Adresse der Netzwerkkarte ist kein eindeutiges Merkmal, da sie direkt am Rechner überschrieben werden kann. (Wohingegen es einen extremen Aufwand bedeutet, nach außen unter einer fremden IP-Adresse verbunden zu sein.)

P.S. Für die "du hast ja keine Ahnung"-Fraktion: Letztes Semester habe ich eine 1,7 in Netzwerktechnik und Internetsicherheit erreicht. Und wir haben ein paar sehr interessante Dinge in einem abgeschlossenen Netzwerk gemacht.

P.P.S. Für die Interessierten hier ein paar Rechenbeispiele und weitere Hintergründe:
Bei einem ping von 13 ms (Zeitraum zwischen Versand einer Nachricht und Empfang der Antwort) kann ein Programm, dass jeweils nur ein Passwort zur Zeit verschickt innerhalb einer Sekunde 77 Passwörter an einen Server verschicken. Das sind am Tag 665.000. Ein Passwort, das nur aus Groß- und Kleinbuchstaben besteht und vier Stellen lang ist, ist nach etwas mehr als einem Tag mit Sicherheit gehackt. (52 ^ 4 Kombinationen, von denen jeweils eine alle 13 ms verschickt wird.) Nimmt man noch Zahlen dazu, kommt man auf etwas mehr als 2 Tage. (62 ^ 4 Kombinationen) Wer hier etwas weiter rechnet, wird schnell sagen, dass das bei 8 Zeichen ja kein Problem ist, schließlich landet man da bei 218.000.000.000.000 Kombinationen. Und um die so zu hacken bräuchte man doch knapp 900.000 Jahre.

Dummerweise gilt das nur dann, wenn ein Passwort wirklich vollkommen zufällig aus Zahlen und Kleinbuchstaben und Großbuchstaben zusammen gesetzt ist. Und hier liegt der Hase im Pfeffer. Denn die meisten Leute erstellen ihr Passwort nicht so. Da gibts die Spezialisten, die Wörter aus einem Wörterbuch nutzen. So ein Passwort lässt sich hacken, denn man kann natürlich auch die Einträge aus einer Wörterbuchdatei eins nach dem anderen an einen Server schicken. Das wäre für Deutsch ca. 500.000 Wörter. Damit hält so ein Passwort einem Angriff maximal einen Tag lang stand.

Der nächste Schritt wäre dann das Vertauschen von Buchstaben mit Ziffern. (Z.B. könnte man ein B gegen eine 8 tauschen.) Das hilft aber auch nur begrenzt, denn kann man eine Wörterbuchdatei entsprechend überarbeiten. Und wenn dann am Ende aus den 500.000 Wörtern 10 Mio. Wörter geworden sein sollten, hält das Passwort halt 20 Tage. Das ist nicht wirklich sicher.

All diese Szenarien sind aber Fälle, in denen der Hacker nichts auf dem Kasten hat. Das können Sechsjährige, die sich mal kurz in Foren informiert haben. Mit ein paar intelligenten Ansätzen kommt man auf wesentlich schnellere Vorgehensweisen.

Und da die meisten Nutzer alleine schon diese simplen Fälle nicht auf dem Schirm haben, nutzen viele eben Passwörter, die sie aus einem Wörterbuch haben oder so etwas wie das berühmte "p@ssw0rd" (mit @ und Null) und denken, sie wären damit auf der sicheren Seite.

P.P.S. Wenn du wirklich mehr über das Thema wissen willst, hier etwas, um Grundlagen zu verstehen: Zunächst brauchst du solide Kenntnisse über die Kommunikation im Internet. Da hilft dir der Band "Computer-Netzwerke" von A.S. Tanenbaum weiter. (Kein Scherz, der Mann heißt wirklich so.) Anschließend brauchst du noch etwas zum Thema Kryptographie. (Z.B. von Spitz et al. "Kryptographie und IT-Sicherheit") Zum Verständnis kann ich auch noch das Lerntool "Cryp-Tool" empfehlen. Das erklärt Schritt für Schritt wie verschiedene Verschlüsselungen funktionieren. Allerdings hilft es nur begrentz dabei, zu verstehen, warum bestimmte Vorgehensweisen im Netz nicht sicher sind oder was eigentlich Sicherheit ist.