Ergebnis 1 bis 18 von 18

Fritzbox gehackt ist das möglich? Sicherheitslücke!!!

  1. #1 Zitieren
    Ritter
    Registriert seit
    Feb 2005
    Ort
    Borken
    Beiträge
    1.751
    Hallo zusammen,

    ich habe da mal eine Frage!
    Ich habe eine Fritzbox 7590 also das aktuelle Spitzenmodell von AVM.

    Jetzt ist mir aufgefallen, dass unter Netzwerk mir unbekannte Geräte angezeigt werden, zudem kann ich mir ca. 130GB an gedownloadeten Traffic nicht wirklich erklären.
    Ich habe auf meinen Computer ein Tool installiert welches relativ genau mitrechnet wieviel ich an Datentraffic gebraucht habe, hier wird mir ca. 100GB angezeigt im Online Monitor der Fritzbox sind es ca. 230 GB.
    Ganz besonders auffällig ist ein Gerät: Samsung SM-G935F (Fritzbox App)
    Ich habe kein Samsung S7 Edge und habe noch nie diese Fritzbox App benutzt.

    Und jetzt zur eigentliche Frage, kann es sein das jemand ohne den WLAN-Key zu kennen mit dieser "Fritzbox App" mein Wlan bzw. Internet missbraucht hat?
    Der Knackpunkt ist ich habe auf der Fritzbox kein Kennwort für das Webinterface gesetzt, allerdings einen starken WPA2 WLAN-Schlüssel mit Sonderzeichen etc.

    Danke und Gruß
    Ben
    ben b. ist offline

  2. #2 Zitieren
    Springshield  Avatar von Homerclon
    Registriert seit
    Aug 2004
    Ort
    Erde
    Beiträge
    18.499
    Erstmal: Warum hast du kein Passwort für das Webinterface? Das solltest du als erstes Einrichten, und danach alle weiteren Passwörter die irgendwie mit der Fritzbox in Verbindung stehen - also bspw. WLAN-Schlüssel. Den WLAN-Namen (Name des WLAN-Funknetzes (SSID)) würde ich gleich mit ändern, und die Sichtbarkeit deaktivieren - dann muss man zum aufbauen einer WLAN-Verbindung auch den WLAN-Namen angeben, was es für Angreifer schwerer macht sich ins Netz einzuklinken.


    Kontrolliere das kein WLAN-Gastzugang eingerichtet wurde. Wenn du immer nur die selben WLAN-Geräte nutzt, kannst du zudem noch unter "WLAN -> Sicherheit" den WLAN-Zugang auf bestimmte Geräte beschränken. Dies läuft über die MAC-Adresse. Die Adresse musst du nicht manuell eintippen, der Router sollte sich jedes Gerät Merken das einmalig angemeldet war. Für ein echten Hacker zwar keine unüberwindbare Hürde, aber jeder Stein im Weg erhöht den Aufwand.


    Zu Abweichungen der Mengen kann es kommen, ohne das ein Angreifer dahinter steckt. Aber eine Differenz von 130GB ist schon sehr auffällig.
    WLAN ist nicht unangreifbar, es muss nicht mal Sicherheitslücke der Fritzbox gewesen sein, die ausgenutzt wurde.
    Du kannst in den WLAN-Einstellungen auch mal PMF aktivieren (WLAN --> Sicherheit), falls deine WLAN-Geräte das unterstützen. Mit PMF werden Sicherheitslücken im WLAN geschlossen. Ältere Geräte unterstützen das aber nicht.

    - Keine verdammte Hechtrolle zum ausweichen in Kämpfe!
    - 01100100 00100111 01101111 01101000 00100001
    Homerclon ist offline

  3. #3 Zitieren

    Metasyntaktische Variable
    Avatar von foobar
    Registriert seit
    Sep 2004
    Ort
    Direkt hinter dir! Buh!
    Beiträge
    24.011
    Zitat Zitat von ben b. Beitrag anzeigen
    Und jetzt zur eigentliche Frage, kann es sein das jemand ohne den WLAN-Key zu kennen mit dieser "Fritzbox App" mein Wlan bzw. Internet missbraucht hat?
    Ja. Das kann sein. Kann es auch was anderes sein? Ebenfalls ja.

    Der Knackpunkt ist ich habe auf der Fritzbox kein Kennwort für das Webinterface gesetzt, allerdings einen starken WPA2 WLAN-Schlüssel mit Sonderzeichen etc.
    Ähm... wo genau ist da der Zusammenhang? Das sind doch zwei völlig unterschiedliche Bereiche. Der Spruch fällt in die gleiche Kategorie wie: „Ich brauche keine Corona-Impfung, weil ich nämlich regelmäßig Vitamin C trinke!

    Fangen wir mal vorne an. Zunächst ist ein WLAN-Schlüssel nicht zwangsläufig stark, nur weil das Webinterface des Routers das sagt oder weil man es selber glaubt. Ein Schlüssel der Form: „1chb1n$031nl3373rh4ck3r” würde von der Fritzbox als „sehr stark” bewertet werden. Tatsächlich ist der Schlüssel aber schwach, denn jede brauchbare Wörterbuchattacke würde den knacken. Es handelt sich nämlich um die Leetspeak-Schreibweise von „IchBinSoEinLeeterHacker”. Die meisten Leute wählen als Schlüssel ja Dinge, die sie sich merken können (die also nicht echt zufällig sind) und verfremden das vielleicht dann noch ein bisschen mit Sonderzeichen und so. Und weil jeder Angreifer mit minimalem Verstand das weiß, wird er alle solche Verfremdungen mit durchprobieren, wenn er seine Wörterbuchattache fährt. Hinzu kommt, dass WPA2 bereits erste Anfälligkeiten aufweist. Die kann man aktuell noch dadurch umgehen, dass man den Schlüssel möglichst lang macht. Das will aber niemand, weil es eine Qual ist, das dann auf der Bildschirmtastatur der Xbox oder des Smart-TVs (oder wo auch immer) einzugeben. Siehe auch: Warum sind lange Passwörter besser als komplizierte?

    Wie man einen echt zufälligen, 56 Zeichen langen WLAN-Schlüssel unter Windows mit Bordmitteln erzeugen kann, habe ich hier mal gepostet. Irgendwo so zwischen 56 und 63 Zeichen sollte man IMHO schon liegen. Sonderzeichen sind nicht unbedingt erforderlich und können einem sogar Probleme bereiten (bspw. wenn es Zeichensatzprobleme zwischen verschiedenen Endgeräten gibt).

    Nehmen wir aber mal an, dein WLAN-Schlüssel war wirklich ein Fall von richtig sicher. Wäre damit dann alles in Butter? Nein, natürlich nicht. Dem Webinterface der Fritzbox kein Passwort zu geben, ist trotzdem hoch fahrlässig. Denn es gibt viele Möglichkeiten, trotzdem einen Angriff zu fahren. Eine kleine Auswahl: Zunächst mal schützt ein WLAN-Key immer nur das WLAN. Jeder, der Zugang zum Ethernet hat (und sei es, weil man einen Besucher 5 Minuten unbeaufsichtigt gelassen hat), muss sich nur einstöpseln und kann die Box nach Belieben umkonfigieren. Ferner kann ich dich auf eine manipulierte Webseite locken, die dann Javascript ausführt, welches im Hintergrund das Webinterface der Box aufruft und Einstellungen ändert, ohne dass du es merkst. Auch kann natürlich jeder, den du nur mal netterweise ins WLAN gelassen hast, an der Box herum spielen.

    Und da haben wir noch nicht über echte Sicherheitslücken gesprochen (bis hierher haben wir ja eigentlich nur über Benutzerfehler geredet). Eine veraltete Firmware kann natürlich auch angreifbar sein, deshalb ist sie ja oft veraltet.


    Was solltest du also nun machen?

    Zuerstmal würde ich die Fritzbox auf die Werkseinstellungen zurücksetzen und neu einrichten. Dann sicherstellen, dass auch die aktuellste Firmware installiert ist. Das müsste gegenwärtig die Version 7.21 sein. Dann einen neuen, sicheren WLAN-Schlüssel vergeben (den alten solltest du als öffentlich bekannt betrachten) und vor allem ein sicheres (s.o.) Passwort im Web-Interface einstellen. Gastnetz abschalten, wenn du es nicht brauchst. Und Freigaben auf der Box nur nach absoluter Notwendigkeit einrichten, also bspw. die Konfiguration über das Internet nicht gestatten, wenn es nicht wirklich, wirklich sein muss. Mal so als Minimum.
    foobar ist offline Geändert von foobar (28.12.2020 um 18:15 Uhr) Grund: Der Genitiv ist dem Dativ sein Feind!

  4. #4 Zitieren
    Ritter Avatar von Haftamo
    Registriert seit
    Jun 2007
    Beiträge
    1.100
    Frage: Wurde die Fritzbox gebraucht gekauft? Mitunter hat der vorherige Besitzer über die App noch Zugriff auf den Router.

    Eine andere Möglichkeit wäre da noch ein eingerichteter HotSpot bzw. WLAN-To-Go-Hotspot.

    Und ansonsten, ein Passwort für das Webinterface sollte schon sein.
    Eleanor Roosevelt - "Große Geister diskutieren über Ideen. Durchschnittliche Geister diskutieren über Geschehnisse. Kleine Geister diskutieren über Menschen."
    George Orwell - "There are some ideas so absurd that only an intellectual could believe them; no ordinary man could be such a fool"
    Haftamo ist offline

  5. #5 Zitieren
    Ritter
    Registriert seit
    Feb 2005
    Ort
    Borken
    Beiträge
    1.751
    Hallo zusammen,

    danke für eure detaillierten Antworten
    Also mein Wlan-Passwort ist ähnlich wie dieser hier eingerichtet: 0w(-akfr;iycoxb{-q/+7bh%]a2zsk.4h*s{6qd}sf`f60{wv?,7],!l!rv:^:2

    Der Grund weshalb ich bisher kein Passwort für die Benutzeroberfläche der Fritzbox eingerichtet habe, ist dass ich IP-Steckdosen von AVM nutze und diese Abends übers Handy abschalte und ich nicht jedes mal dazu gezwungen werden möchte das Passwort vorher einzugeben und da ich den Sinn dahinter immer noch nicht ganz verstehe.
    Mal angenommen jemand hat meinen kompletten Computer gehackt und kann diesen remote Steuern etc. dann muss ich sagen ist das Einstellungsmenü der Fritzbox mit Abstand meine geringste Sorge, wenn jetzt irgendein Webseiten Skript sich Zugang zu meiner Fritzbox verschafft was genau soll "derjenige" dann damit machen?
    Er kann dann ggf. irgendwelche Ports freischalten oder meine Einstellungen ändern, mehr aber doch nicht oder?
    Um mein Internet nutzen zu können müsste er doch zu mir nach Hause kommen und sich in der Nähe mit einem Notebook ins WLAN einwählen oder etwa nicht?

    Und da ich alleine wohne ist das mit den mal eben an die LAN-Dose anschließen und dann Unsinn damit machen wirklich keine "Gefahr"

    Die Firmware ist die aktuellste.
    Fritzbox wurde auf Werkseinstellungen zurückgesetzt.
    Gastzugang war bereits deaktiviert.
    Fritzbox-Kennwort wurde gesetzt.
    Wlan Passwort habe ich bereits geändert.

    Wie kann ich Freigaben (Konfiguration über das Internet) deaktivieren?
    Kann ich WPS aktiviert lassen?
    ben b. ist offline

  6. #6 Zitieren
    Springshield  Avatar von Homerclon
    Registriert seit
    Aug 2004
    Ort
    Erde
    Beiträge
    18.499
    Zitat Zitat von ben b. Beitrag anzeigen
    Wie kann ich Freigaben (Konfiguration über das Internet) deaktivieren?
    Kann ich WPS aktiviert lassen?
    Internet --> Freigaben --> Fritz!Box-Dienste --> Internetzugriff

    Änderst du öfter deine WLAN-Geräte oder gewährt Gäste (bewusst) den zugriff? Wenn nein, dann würde ich es deaktivieren.

    - Keine verdammte Hechtrolle zum ausweichen in Kämpfe!
    - 01100100 00100111 01101111 01101000 00100001
    Homerclon ist offline

  7. #7 Zitieren
    Ritter
    Registriert seit
    Feb 2005
    Ort
    Borken
    Beiträge
    1.751
    Zitat Zitat von Homerclon Beitrag anzeigen
    Internet --> Freigaben --> Fritz!Box-Dienste --> Internetzugriff

    Änderst du öfter deine WLAN-Geräte oder gewährt Gäste (bewusst) den zugriff? Wenn nein, dann würde ich es deaktivieren.
    Ähm nein, dass kommt nicht häufig vor.
    Allerdings wäre es für die Einrichtung meiner eigenen Geräte sehr komfortabel.

    Kann ich Geräte via WPS einmalig einrichten und WPS dann wieder deaktivieren?
    ben b. ist offline

  8. #8 Zitieren

    Metasyntaktische Variable
    Avatar von foobar
    Registriert seit
    Sep 2004
    Ort
    Direkt hinter dir! Buh!
    Beiträge
    24.011
    Zitat Zitat von ben b. Beitrag anzeigen
    Der Grund weshalb ich bisher kein Passwort für die Benutzeroberfläche der Fritzbox eingerichtet habe, ist dass ich IP-Steckdosen von AVM nutze und diese Abends übers Handy abschalte und ich nicht jedes mal dazu gezwungen werden möchte das Passwort vorher einzugeben und da ich den Sinn dahinter immer noch nicht ganz verstehe.
    Ich habe keine solchen Steckdosen, aber meines Wissens kann man in der Box statt eines zentralen Kennworts für alle auch verschiedene Benutzerkonten mit unterschiedlichen Rechten einrichten. Evtl. kannst du also ein Konto nur für die Steckdosensteuerung einrichten und dem ein einfaches, gut zu merkendes Passwort geben (oder es ggf. leer lassen). Ansonsten ist es IMHO immer noch besser, das Passwort in der Anwendung zu speichern als gar keines zu haben.

    Mal angenommen jemand hat meinen kompletten Computer gehackt und kann diesen remote Steuern etc. dann muss ich sagen ist das Einstellungsmenü der Fritzbox mit Abstand meine geringste Sorge, wenn jetzt irgendein Webseiten Skript sich Zugang zu meiner Fritzbox verschafft was genau soll "derjenige" dann damit machen?
    Wenn ich Zugang zu deiner Fritzbox habe, kann ich unter anderem deinen gesamten Internetdatenverkehr mitschneiden. Zum Beispiel auch Passwörter von Diensten (sofern da kein zusätzlicher Encryption-Layer zum Einsatz kommt). Habe ich das Passwort für deine E-Mail, kann ich deine gesamte digitale Identität übernehmen und auf deine Rechnung einkaufen und dergleichen. Außerdem kann ich halt über deine Box alles laufen lassen, was ich nicht über mein eigenes Internet machen möchte. Wenn die Kripo dann ermittelt, von welchem Anschluss die Kinderpornos verbreitet wurden, treten sie halt deine Türe ein und nicht meine. Und dann ist dein Ruf für immer ruiniert und nicht meiner. Außerdem kriegst du die Abmahnungen für die Urheberrechtsverletzungen, nicht ich. Nur mal so als Beispiele.

    Die Tatsache, dass es immer schlimmer kommen könnte, ist kein Grund, nicht auch für die vermeintlich weniger schlimmen Fälle entsprechend Vorsorge zu treffen.


    Um mein Internet nutzen zu können müsste er doch zu mir nach Hause kommen und sich in der Nähe mit einem Notebook ins WLAN einwählen oder etwa nicht?
    Was hindert ihn denn deiner Ansicht nach daran, deine Zugangsdaten für den Internetanschluss auszulesen und die dann bei sich zu verwenden? Und auch das mit dem Notebook in der Nähe ist nicht abwegig. Mit einer guten Richtantenne kann man da durchaus was machen. Und ich muss da auch nicht zwangsläufig persönlich mit dem Laptop vor Ort sein. Es reicht, wenn ich einen Raspi oder dergleichen irgendwo verstecke, der dann erledigt was immer ich möchte. Die Daten hole ich mir (falls überhaupt erforderlich) nur ab und zu mal persönlich oder z.B. via LTE ab.

    Und da ich alleine wohne ist das mit den mal eben an die LAN-Dose anschließen und dann Unsinn damit machen wirklich keine "Gefahr"
    Du hast also niemals Besuch im Hause? Keine Handwerker? Vertreter? Zählerstandsableser vom Wasser- oder E-Werk? Keine One-Night-Stands?

    Das Problem an deiner Einstellung ist, dass es halt nur die eine Ausnahme braucht, an die vorher keiner gedacht hat, und dein ganzes vermeintliches Sicherheitskonzept fällt in sich zusammen. Ein gutes Konzept setzt deshalb niemals nur auf den einen Schutzmechanismus (hier: WLAN-Schlüssel).


    Wie kann ich Freigaben (Konfiguration über das Internet) deaktivieren?
    Das ist zum einen unter Internet -> Freigaben -> Fritzbox-Dienste. Und dann kann man auch jedem Benutzer den Zugang aus dem Internet erlauben oder verbieten. Standardmäßig sollte aber beides aus sein.

    Kann ich WPS aktiviert lassen?
    Ich würde es deaktivieren und nur dann gezielt einschalten, wenn du halt via WPS ein Gerät ins WLAN holen willst. WPS hat Schwächen.
    foobar ist offline Geändert von foobar (28.12.2020 um 23:32 Uhr)

  9. #9 Zitieren
    Forenkater Avatar von Matteo
    Registriert seit
    Dec 2003
    Ort
    Khorinis
    Beiträge
    16.622
    Zitat Zitat von Haftamo Beitrag anzeigen
    Eine andere Möglichkeit wäre da noch ein eingerichteter HotSpot bzw. WLAN-To-Go-Hotspot.
    Das halte ich für die wahrscheinlichste Erklärung.

    Und nur um es auszuschließen: Schau mal in deinen Systemeinstellungen unter "Übermittlungsoptimierung" ob dein Rechner evtl. dazu missbraucht wird Microsoft-Updates zu verteilen.
    Matteo ist offline

  10. #10 Zitieren
    Ritter
    Registriert seit
    Feb 2005
    Ort
    Borken
    Beiträge
    1.751
    Hallo zusammen,

    ich habe jetzt alle eure Empfehlungen umgesetzt und finde mich jetzt einfach ab mit diesem blöden Firtzbox Passwort.
    Ich glaube es wird für mich Zeit für Keepass bei diesen ganzen Passwort Wahnsinn





    Zitat Zitat von Matteo Beitrag anzeigen
    Das halte ich für die wahrscheinlichste Erklärung.

    Und nur um es auszuschließen: Schau mal in deinen Systemeinstellungen unter "Übermittlungsoptimierung" ob dein Rechner evtl. dazu missbraucht wird Microsoft-Updates zu verteilen.
    Ähm sind diese Einstellungen gemeint?

    [Bild: 2020_12_29_22_12_03_Einstellungen.png]

    [Bild: 2020_12_29_22_12_09_Einstellungen.png]
    ben b. ist offline

  11. #11 Zitieren
    Springshield  Avatar von Homerclon
    Registriert seit
    Aug 2004
    Ort
    Erde
    Beiträge
    18.499
    Die "Uploadeinstellungen", setzte diese auf 0% bzw. 0 GB.

    - Keine verdammte Hechtrolle zum ausweichen in Kämpfe!
    - 01100100 00100111 01101111 01101000 00100001
    Homerclon ist offline

  12. #12 Zitieren
    Forenkater Avatar von Matteo
    Registriert seit
    Dec 2003
    Ort
    Khorinis
    Beiträge
    16.622
    Zitat Zitat von ben b. Beitrag anzeigen
    Ähm sind diese Einstellungen gemeint?
    Ja, die meinte ich.
    Einen Screen davor habe ich einen Schalter "Downloads von anderen PCs zulassen" den man auf Aus stellen kann.
    Matteo ist offline

  13. #13 Zitieren
    Sword Master Avatar von Jazz Jackrabbit
    Registriert seit
    Dec 2018
    Beiträge
    816
    Also ich würde, sobald du alle Geräte in deinem Haushalt einmal per W-LAN angemeldet hast, einfach den W-LAN Zugang auf bekannte Geräte beschränken. Mache ich bei mir auch so. Dann werden unbekannte Geräte ja automatisch blockiert, selbst wenn sie deinen W-LAN Schlüssel irgendwie knacken.
    Jazz Jackrabbit ist offline

  14. #14 Zitieren

    Metasyntaktische Variable
    Avatar von foobar
    Registriert seit
    Sep 2004
    Ort
    Direkt hinter dir! Buh!
    Beiträge
    24.011
    Zitat Zitat von horstVyacheslav420 Beitrag anzeigen
    Also ich würde, sobald du alle Geräte in deinem Haushalt einmal per W-LAN angemeldet hast, einfach den W-LAN Zugang auf bekannte Geräte beschränken. Mache ich bei mir auch so. Dann werden unbekannte Geräte ja automatisch blockiert, selbst wenn sie deinen W-LAN Schlüssel irgendwie knacken.
    Diese Funktion arbeitet mit der MAC-Adresse als Kriterium und die lässt sich problemlos fälschen. Sicherheitstechnisch dürfte der Nutzen nahe Null liegen.
    foobar ist offline

  15. #15 Zitieren
    Sword Master Avatar von Jazz Jackrabbit
    Registriert seit
    Dec 2018
    Beiträge
    816
    Zitat Zitat von foobar Beitrag anzeigen
    Diese Funktion arbeitet mit der MAC-Adresse als Kriterium und die lässt sich problemlos fälschen. Sicherheitstechnisch dürfte der Nutzen nahe Null liegen.
    Das ist ja dumm, wieso gibt es diese Funktion dann überhaupt wenn die Sicherheit nur vorgetäuscht wird?

    Aber dann müssten Hacker ja immer noch die MAC-Adressen meiner Geräte rausfinden, kann man das überhaupt?
    Jazz Jackrabbit ist offline

  16. #16 Zitieren

    Metasyntaktische Variable
    Avatar von foobar
    Registriert seit
    Sep 2004
    Ort
    Direkt hinter dir! Buh!
    Beiträge
    24.011
    Zitat Zitat von horstVyacheslav420 Beitrag anzeigen
    Das ist ja dumm, wieso gibt es diese Funktion dann überhaupt wenn die Sicherheit nur vorgetäuscht wird?
    Gute Frage. Man kann vielleicht argumentieren, dass es trotzdem eine Hürde darstellt, die ein Angreifer nehmen muss. Auch wenn sie sehr niedrig ausfällt. Persönlich bin aber eher der Auffassung, dass die Funktion keinen großen Sinn macht. Ein MAC-Filter kann vielleicht einen Nachbarn, der keine große Ahnung von der Technik hat, aufhalten. Aber jeder, der das Know-How und die kriminelle Energie mitbringt, den WLAN-Schlüssel zu ergattern, wird auch von MAC-Spoofing nicht überfordert werden. Und wer den Schlüssel nicht hat, der scheitert halt schon vorher.

    Die Adresse ist zwar fest und nicht so leicht fälschbar in einem ROM in der Netzwerkkarte bzw. WLAN-Modul eingebrannt, aber sie wird nicht direkt von da gelesen. Sondern der Treiber geht her, liest sie aus dem ROM und schreibt sie in ein spezielles Register des Controllers. Und nur diese Arbeitskopie wird dann tatsächlich benutzt. Der Treiber ist aber nur Software und die kann man leicht manipulieren. Man muss halt nur irgendwas anderes in das Register schreiben.

    Viele Treiber bringen die Funktion sogar von Hause aus mit. Da muss man sich nur durch die Einstellungen klicken. Verglichen mit dem Aufwand, die WLAN-Verschlüsselung zu knacken, ist das Kinderkrams.


    Aber dann müssten Hacker ja immer noch die MAC-Adressen meiner Geräte rausfinden, kann man das überhaupt?
    Klar. In deinem fiktiven Szenario hat der Angreifer ja den WLAN-Schlüssel geknackt, kann also den gesamten Traffik mitlesen (der geht ja schließlich per Funk nach „überall”). Und in jedem WLAN-Frame stecken die Absender- und Ziel-Adressen drin. Schließlich muss jeder Funk-Empfänger wissen, welche der vielen Pakete für ihn gedacht sind und an wen er die Antworten schicken muss. Also einfach etwas passiv mitlauschen und dann hast du alle (aktiven) MAC-Adressen.
    foobar ist offline Geändert von foobar (11.01.2021 um 23:47 Uhr)

  17. #17 Zitieren
    General Avatar von Nobbi Habogs
    Registriert seit
    Nov 2010
    Beiträge
    3.934
    Meiner Meinung nach wird auch nie beachtet ob eine Sicherheitsfunktion, neben der Tatsache ob es technisch einfach oder schwer möglich ist, viel Zeit in Anspruch nimmt oder nicht. Es eben auch relevant wie viel Zeit und Ressourcen der Hacker bräuchte. Beispielsweise ist es völlig irrelevant wenn ein Passwort nur aus Kleinbuchstaben besteht, aber es 20-stellig ist. Ja technisch betrachtet ist es unsicher. Aber das Passwort zu knacken dauert extrem lang oder braucht absurd viel Speicher/Traffic
    Mit einem korrupten Speicherstand ist nicht zu spaßen. Sicherheitshalber würde ich die beiden Slots über und unter dem korrupten besser auch frei lassen. Man weiß ja nie. - Matteo
    [Bild: downloadvpk5n.gif]
    Nobbi Habogs ist gerade online Geändert von Nobbi Habogs (13.01.2021 um 05:43 Uhr)

  18. #18 Zitieren

    Metasyntaktische Variable
    Avatar von foobar
    Registriert seit
    Sep 2004
    Ort
    Direkt hinter dir! Buh!
    Beiträge
    24.011
    Zitat Zitat von Nobbi Habogs Beitrag anzeigen
    Beispielsweise ist es völlig irrelevant wenn ein Passwort nur aus Kleinbuchstaben besteht, aber es 20-stellig ist. Ja technisch betrachtet ist es unsicher. Aber das Passwort zu knacken dauert extrem lang oder braucht absurd viel Speicher/Traffic
    Jein. Es ist nicht „technisch betrachtet” unsicher, denn die technische Betrachtung zeigt eben, dass es sicher ist. Beziehungsweise, dass bei Passwörtern Länge mehr bringt als das Alphabet zu vergrößern. Dir muss ich es vermutlich nicht erklären, aber für den evtl. Mitleser:

    Spoiler:(zum lesen bitte Text markieren)

    Nehmen wir an, ich habe es echt zufälliges, 8 Zeichen langes Passwort aus Groß- und Kleinbuchstaben. 26 Buchstaben, jeweils groß und klein, macht 52 mögliche Zeichen pro Stelle im Passwort. Die sind natürlich unabhängig voneinander, ich habe also 528 mögliche Passwörter. Das sind ca. 53,4 Billionen. Bei einer Brute-Force-Attacke muss man der Reihe nach alle Kombinationen probieren, bis man die richtige gefunden hat. Mit viel Glück ist der erste Versuch bereits ein Treffer, mit viel Pech ist es erst der letzte. Im Mittel wird man ca. die Hälfte durchprobieren müssen, bevor man das Passwort findet. Wenn ich 1 Mio. Passwörter pro Sekunde probieren kann, bin ich damit ca. 10 Monate lang beschäftigt.

    Jetzt reduzieren wir die Komplexität und erlauben nur noch Kleinbuchstaben. Dafür erhöhen wir die Länge des Passwortes auf 16. Wir haben also die doppelte Länge bei halb so vielen Buchstaben. Das gibt 2616 ≈ 43,6 Trilliarden mögliche Passwörter. Bei gleicher Geschwindigkeit wie oben (1 Mio. pro Sekunde) sitze ich also auf einmal 690 Millionen Jahre lang, bis ich das Passwort knacke. Natürlich ist das einen Ticken sicherer.

    Wie immer bei mir: Alles modulo Rechenfehler, aber die ungefähre Größenordnung wird stimmen.


    Die Forderung nach komplexen Passwörtern ist ein Relikt aus der Zeit, als Speicherplatz kostbar war und Passwörter deshalb notwendigerweise in der Länge begrenzt werden mussten. Wenn man aus Platzgründen nur 8 Zeichen für ein Passwort zur Verfügung hat, ja, dann ist es besser, das möglichst kompliziert zu machen. Und wer die Hintergründe nicht versteht, verbreitet das auch heute evtl. noch unreflektiert weiter. In der Realität sind Längenbegrenzungen von 8 oder 10 Zeichen für ein Passwort heute einfach nicht mehr zeitgemäß¹ und ein Signal, dass man dem Dienst nicht vertrauen kann. Bei Passwörtern mit 16 oder mehr Zeichen reicht alphanumerisch völlig aus². Hier Sonderzeichen zu verlangen, ist i.d.R. nutzlos und verärgert nur die User.

    Lange Rede, kurzer Sinn: Es ist nicht technisch unsicher, es ist bestenfalls historisch unsicher.


    ¹ Falls sich jetzt einer wundert, weil seine PIN für’s Onlinebanking aber so eine Einschränkung hat: Da funktioniert das, weil der Account nach 3 oder max. 5 Fehlversuchen gesperrt wird. Es kann also niemand alles durchprobieren. Und mit dieser zusätzlichen Einschränkung (und unter der Annahme, dass die Hashes bei der Bank sicher gespeichert sind) sind dann auch kürzere PINs sicher.

    ² Speziell bei WLAN sei noch erwähnt, dass das WPA2-Verfahren bereits erste Anfälligkeiten zeigt (man es also evtl. schneller als per Brute-Force-Attacke knacken kann). Dem kann man noch eine Weile dadurch begegnen, dass man den Key möglichst lang macht. Deshalb ist hier eine Länge von 50+ Zeichen sinnvoll.
    foobar ist offline Geändert von foobar (14.01.2021 um 19:42 Uhr) Grund: Komma

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •