[meditate]

ich habe einen mailaccount, der zunehmend attackiert wird. bis zu 20 falsche anmeldeversuche am tage. nun meine frage: akkumuliert das eventuell? sollte ich mein PW ändern, obwohl es doch bislang gut stand hält?

[Homerclon]

Je nachdem wie gut es bisher ist, könntest du es gegen ein stärkeres (vor allem mehr Zeichen, Sonderzeichen etc. muss nicht zwingend) tauschen.
Oder falls vom eMail-Provider angeboten, den Zugang einer 2-Factor-Authentifizierzung zusätzlich sichern.

Jedoch ein sicheres Passwort zu ersetzen, ist eigentlich nur dann nötig, wenn der Verdacht besteht das es nicht mehr sicher ist.

[Nobbi Habogs]

Alles unter 20 Zeichen empfinde ich übrigens nicht als sicher, daher würde ich das schon als Anlass nehmen und mal tauschen falls dem so ist.

[honx]

sowohl bei gmx als auch bei web.de hab ich seit jahren "soundsoviele fehlgeschlagene login-versuche", wenn ich mich online dort anmelde. das scheint völlig normal zu sein, zumal auch diverses passwort-änderungen niemals etwas daran geändert hätten...

[meditate]

meine sorge war auch eher, dass sich solche anmeldeversuche aufeinander aufbauen könnten. hab mir das mit der zweistufigen anmeldung noch mal durchgelesen, das ist mir dann doch zu aufwendig. hab das passwort noch mal verlängert. passiert ja auch nur bei meinem meditate-account. das wort wirkt wohl irgendwie magisch

[Nobbi Habogs]

Da sowas automatisiert abläuft, denkt der Hack-Bot ggf. du hättest was mit Medizin zu tun. Und die sind in der Tat generell sehr anfällig und oft veraltet (nutzen noch Windows 7 oder dergleichen).

[foobar]

Ja, rein technisch gesehen „akkumuliert” ist in dem Sinne, dass jeder erfolglose Versuch die Menge an möglichen Passwörter, die der Angreifer durchprobieren muss, um 1 reduziert. Aber bei wirklich sicheren¹ Passwörtern ist die Menge so groß, dass ihm das nicht wirklich hilft. Dann hat er das korrekte Passwort irgendwann, wenn die letzten Sterne im Universum erlöschen. Und dann kann’s dir glaube ich auch egal sein.

2-Faktor-Authentifizierung verhindert in dem Sinne auch die Versuche nicht. Die ist mehr für den Fall da, dass es jemand irgendwie schafft, das korrekte Passwort zu ergattern. Zum Beispiel durch Phishing oder mit einem Trojaner auf deinem Rechner oder so.


¹ Sichere Passwörter sind:

• echt zufällig
• ohne Muster
• ohne Merkhilfe
• ohne irgendwas, das sich – auch mit Abwandlungen (wie z.B. „br4un” statt „braun”) in einem Wörterbuch findet
• und hinreichend lang (mindestens 16 Zeichen), alphanumerisch.

[meditate]

ich hab die anfangsbuchstaben der wörter eines meiner lieblingslieder genommen, 20 zeichen lang. das kann ich mir sogar merken.

[foobar]

Das würde ich nicht als sicher ansehen, denn man muss davon ausgehen, dass ein potentieller Angreifer genau dieses Schema vorhersieht. Der geht also her und erzeugt von allen bekannten Liedern, Gedichten, Witzen, Sprüchen und Phrasen, etc. verschiedene Passwortkombinationen aus den Anfangs- oder Endbuchstaben und fügt sie in sein Wörterbuch ein. Das sind Millionen von Einträgen, aber immer noch mehrere Größenordnungen weniger als eine Brute-Force-Attacke. Im Falle von Login-Versuchen könnte es zwar reichen, weil man die nicht so schnell durchprobieren kann, aber für Angriffe auf den Hash beispielsweise (falls man den mal z.B. durch ein Leck beim Anbieter in die Finger kriegt) ist es enorm hilfreich.

Eine Alternative zu komplett zufälligen Kombinationen aus Buchstaben und Ziffern wäre eine Folge aus komplett zufälligen Wörtern. Die kann man sich oft besser merken und sie haben meist mehr Entropie.

XKCD hat’s mal so zusammen gefasst:

Spoiler:(zum lesen bitte Text markieren)

[Bild: password_strength.png]

Wenn der jeweilige Dienst so lange Passwörter nicht erlaubt, dann kann man davon die Anfangsbuchstaben nehmen. Solange der Satz selbst komplett zufällig ist und niemandem sonst bekannt ist, ist die Kombination der Anfangsbuchstaben auch ziemlich gut. In der deutschen Sprache sind Anfangsbuchstaben nicht komplett zufällig (die meisten Worte fangen mit D an und praktisch kein einziges mit Y), aber wenn man Füllworte wie „der”, „die” und „das” ausschließt, kriegt man ziemlich gute Zufälligkeit hin.

[jabu]

ich hab die anfangsbuchstaben der wörter eines meiner lieblingslieder genommen, 20 zeichen lang. das kann ich mir sogar merken.

Zu dem, was foobar sagte, ergänzt:
Dabei hätte ich Schiss vor Social Engineering. Irgendwann plappert man vielleicht doch mal aus, dass man ein Lied oder einen Musiker gut findet oder zeigt eine Coverversion davon und meint, man fände die ausnahmsweise mal ganz gelungen. Das könnte einem auch viel später passieren, wenn man nicht mehr daran denkt. Man rechnet gar nicht damit, wie raffiniert Leute sein können, wenn sie es darauf anlegen.

[Matteo]

sowohl bei gmx als auch bei web.de hab ich seit jahren "soundsoviele fehlgeschlagene login-versuche", wenn ich mich online dort anmelde. das scheint völlig normal zu sein, zumal auch diverses passwort-änderungen niemals etwas daran geändert hätten...

Ich hab das nicht.
Und warum sollten Passwort-Änderungen etwas an der Häufigkeit daran verändern wie oft ein e-Mail Account angegriffen wird?
Der Angreifer kennt das richtige Passwort weder vor noch nach der Änderung.

ich hab die anfangsbuchstaben der wörter eines meiner lieblingslieder genommen, 20 zeichen lang. das kann ich mir sogar merken.

Guten Tag, ich rufe im Auftrag des Meinungsforschungsinstituts medihack hat. Würden Sie uns vielleicht ihre 10 Lieblingslieber nennen?

[jabu]

Ich würde auch mal darüber sinnieren, unter welchen kulturellen Einflüssen jemand aufgewachsen ist, vom Kind bis zum jungen Erwachsenen.

Bei uns gab es unter anderem diese Volkslieder:

• Der Lindenbaum (Am Brunnen vor dem Tore...)
• Kein schöner Land in dieser Zeit
• Im Frühtau zu Berge

Dann hätte ich Ideen, wo ich mich überall umgucken würde, auch über meinen Tellerrand hinaus...

[meditate]

Ich hab das nicht.
Und warum sollten Passwort-Änderungen etwas an der Häufigkeit daran verändern wie oft ein e-Mail Account angegriffen wird?
Der Angreifer kennt das richtige Passwort weder vor noch nach der Änderung.


Guten Tag, ich rufe im Auftrag des Meinungsforschungsinstituts medihack hat. Würden Sie uns vielleicht ihre 10 Lieblingslieber nennen?

na ganz so einfach ist das denn doch nicht. foobars hinweis ist ohnehin eingearbeitet, also buchstaben zu zeichen ändern

ist auch eher kein lieblingslied sondern mehr so ein hassding mit dem ich gequält wurde. was ich mir aber sehr gut merken kann. so was wie wham oder mariah carey zu weihnachten, was mich die wände hochgehen lässt

[jabu]

ist auch eher kein lieblingslied sondern mehr so ein hassding mit dem ich gequält wurde. was ich mir aber sehr gut merken kann. so was wie wham oder mariah carey zu weihnachten, was mich die wände hochgehen lässt

Bitte keine Hinweise geben oder einfach Unsinn erzählen, um uns zu verwirren!

[meditate]

ich bin ja nicht blöd.

ich hab mich nur gewundert, dass gerade bei diesem account so viele versuche stattfinden. meinen medi-account nutze ich aktuell schon lange nicht mehr. vor vielen jahren in der anfangszeit meiner präsenz im netz habe ich einen namen fürs rollenspiel gesucht, den ich auch als mail haben konnte. damals vor 20 jahren konnte man ja auch noch gute mailadressen finden.

in den ersten jahren habe ich den account fürs forum benutzt und für meine ersten einkaufsversuche im netz. heute benutze ich den nicht mehr, aber ab und an lande ich doch noch mal da, wo ich mich vor 20 Jahren registriert habe. dann ist der mailaccunt noch gefragt.

also keine sorge, ich hab das problem auch nur hier ins forum gestellt, weil ich mal wissen wollte, ob sich solche anfragen akkumulieren können. also dass der angreifer am 1. tag 1 mio suchläufe macht und am nächsten tag da anfangen kann, wo er am vortag aufgehört hat.

eigentlich ist das ja auch eine eher lächerliche adresse. alle wichtigen sachen sind schon lange auf andere adressen umgezogen. meditate ist dazumal wirklich fürs forum kreiert worden.

und bevor jemand fragt, ich komme als admin natürlich nicht mehr über diese adresse ins forum. man kann das forum über diese adresse nicht hacken

[jabu]

also keine sorge, ich hab das problem auch nur hier ins forum gestellt, weil ich mal wissen wollte, ob sich solche anfragen akkumulieren können. also dass der angreifer am 1. tag 1 mio suchläufe macht und am nächsten tag da anfangen kann, wo er am vortag aufgehört hat.

Ja, das kann er. Es liegt in der Natur der Sache, dass es leicht möglich ist. Es sind dazu keine besonderen Verrenkungen nötig.

[meditate]

ok, danke

[honx]

bei meiner web.de-adresse hatte ich diese woche über 1000 fehlgeschlagene login-versuche. hatte mich dort aber auch bereits seit einiger zeit nicht mehr online angemeldet, da ich meine mails üblicherweise ja immer mittels thunderbird abrufe...

ansonsten sind es immer so um die 20-50 versuche am tag, sowohl bei web.de als auch bei gmx. ich denke, 1&1 (der konzern hinter web.de und gmx) hat den counter für fehlgeschlagene login-versuche nur zum zwecke der panikmache eingeführt. einen anderen nutzen kann ich dahinter nicht sehen...

und nein, ich werde mir nicht deren dämliche app für 2 faktor authorisierung installieren, ich hab nämlich nur ein android handy und das android os ist bekanntlich so vertrauenswürdig wie ne politikersau. bevor ich also auf android meine email-zugangsdaten verfügbar mache, damit solch eine 2fa app funktioniert, könnte ich ja meine email zugangsdaten im klartext ja gleich öffentlich auf fratzenbook und allem anderen social media blödsinn gleichzeitig posten, das käme aufs selbe raus!

was bedeutet eigentlich "salted hash" oder "salted MD5 hash"? laut haveibeenpwned webseite sollen passworter als "salted hash" oder als "salted MD5 hash" im umlauf sein... wie leicht könnte sowas geknackt werden?

[foobar]

was bedeutet eigentlich "salted hash" oder "salted MD5 hash"?

Man soll Passwörter bekanntlich nicht direkt speichern, sondern als Hash. Ein Hash ist eine sogenannte Falltürfunktion. Leicht in die eine Richtung auszurechnen, aber extrem aufwendig in die andere Richtung. Man kann also verhältnismäßig einfach aus einem Passwort einen Hash errechnen. Aber es ist praktisch unmöglich, von einen Hash wieder das Passwort zu bestimmen. Man speichert also nur den Hash. Gibt der Nutzer ein Passwort ein, berechnet man davon ebenfalls den Hash und vergleicht ihn mit dem gespeicherten. Stimmen beide Hashes überein, war auch das Passwort identisch¹.

Aber wenn die Datenbank mit den Passwort-Hashes irgendwie in die Öffentlichkeit gerät, kann man den Hashes nicht ansehen, welche Passwörter man bräuchte, um sie zu erzeugen. Der Hash bringt dem Angreifer also erst einmal nichts, er kann sich trotzdem nicht einloggen.

Aber die Sache hat einen Haken: Der Angreifer könnte einfach vorab für alle denkbaren Passwörter den Hash berechnen und speichern. Dann muss er die Liste nur mit der geleakten Datenbank abgleichen und findet so heraus, welche Passwörter die jeweiligen User verwendet haben.

Und da kommt das Salt ins Spiel: Anstatt nur das Passwort zu hashen, erzeugt man zusätzlich noch eine zufällige Zeichenkette (das Salt), fügt sie dem Passwort hinzu und hasht dann diesen String. Das Salt kann auch ruhig mit in der Datenbank stehen, das stört die Sicherheit nicht, denn die zweite Hälfte (das Passwort) ist ja immer noch geheim. Nun muss der Angreifer aber nicht nur alle denkbaren Passwörter, sondern auch alle möglichen Salts mit berechnen. Und das braucht so viel Aufwand und Speicherplatz, dass es praktisch unmöglich ist.

Der Trick mit den vorberechneten Hash-Listen wird dem Angreifer also quasi versalzen.


MD5 ist eine Hashfunktion, die früher gerne verwendet wurde, aber inzwischen nicht mehr eingesetzt werden soll, da im Laufe der Zeit Schwachstellen gefunden wurden und moderne Rechner auch genug Wumms haben, um in kurzer Zeit einfach alle denkbaren Kombination durchzuprobieren. Man sollte mit MD5 gehashte Passwörter als öffentlich bekannt ansehen.


¹ Streng genommen könnten andere Passwörter auch den selben Hash erzeugen, aber die Wahrscheinlichkeit dafür ist bei guten Hashfunktionen so gering, dass man es ignorieren kann.

[honx]

MD5 ist eine Hashfunktion, die früher gerne verwendet wurde, aber inzwischen nicht mehr eingesetzt werden soll, da im Laufe der Zeit Schwachstellen gefunden wurden und moderne Rechner auch genug Wumms haben, um in kurzer Zeit einfach alle denkbaren Kombination durchzuprobieren. Man sollte mit MD5 gehashte Passwörter als öffentlich bekannt ansehen.

lässt sich für hacker rausfinden, wo überall eine email/passwort kombination verwendet wurde? das weiss ich nämlich teilweise selbst gar nicht mehr...

bekannt ist mir gegenwärtig nur, dass bei steam das "kompromittierte" passwort noch ist. aber da hab ich auch den steam authentifikator, daher will ich von einer passwortänderung erstmal absehen. denn was bringt mir ein geändertes sicheres passwort, wenn ich mich selbst damit aussperre, da ich mir ein neues passwort nicht merken kann und auch vergessen habe, wo ich das notiert habe...

achja und bei minecraft hab ich seit der erzwungenen account migration zu microschrott ebenfalls das passwort.

ansonsten keine ahnung wo sonst noch. früher hab ich aber sehr häufig das selbe passwort angegeben, welches mit der verwendeten email adresse übereinstimmte. einfach nur, damit ich mir den bullshit auch merken kann...

soll ich nun doch langsam anfangen panik zu schieben?

aber wieso gibt es immer noch so ultraviele login-VERSUCHE bei web.de wenn das passwort ja ohnehin öffentlich bekannt ist? dann sollten es ja keine "versuche" mehr sein sondern erfolgreiche logins, der logik nach...