Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail From: Ole Jansen Newsgroups: de.sci.electronics Subject: Re: Hacker haben offenbar (stets) Zugriff zu ALLEM! Date: Wed, 16 Nov 2022 13:10:19 +0100 Lines: 48 Message-ID: References: <0h9d4j-t3v02.ln1@hergen.spdns.de> Mime-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit X-Trace: individual.net nt6IoEqTc+7DGu/Azt5QngsoeDgLEOuJbUr1iZYF+/2GjKg0bi Cancel-Lock: sha1:2wBjM/5JteHL8ZPc51PFTDWgmJA= User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Thunderbird/91.4.0 Content-Language: de-DE In-Reply-To: Xref: csiph.com de.sci.electronics:329015 Am 16.11.22 um 12:33 schrieb Volker Bartheld: > On Wed, 16 Nov 2022 00:45:03 +0100, Hanno Foest wrote: >> On 15.11.22 21:30, Hergen Lehmann wrote: >>>> Korrektur:  Merkbare sind aber automatisch beträchtlich unsicherer. >>> Nein, das ist Unsinn. >> ObXKCD https://xkcd.com/936/ > > Genau so schauts aus. Den Comic muß ich mir merken, als > Argumentationsgrundlage. Eine Sache noch: Der XKCD Comic zeigt das zwar für Brute Force korrekt auf. Aber: Es gibt Abkürzungen wie z.B. Wörterbuchangriffe oder die Nutzung erbeuteten Hashes über z.B. Regenbogentabellen. Ein Passwort wie "correctbatteryhorsestaple" lässt sich über solche Abkürzungen brechen. Eine Regenbogentabelle funktioniert aber z.B. dann nicht für ein Passwort mit "§" wenn dieses Zeichen bei der Berechnung der Tabelle (oder beim Wörterbuch) nicht berücksichtigt wurde. > Wie lange haben wir @work irgendwelche maximalkomplizierten Paßworte > eingegeben, die UNBEDINGT aus Buchstaben (Groß- und Kleinschreibung), > Ziffern und Sonderzeichen bestehen mußte, 16 Stellen oder länger. Der > Benutzername durfte auch nicht enthalten sein und irgendeine Black Box > hat noch nach Substrings gesucht, die aus trivialen Sequenzen (qwertz, > admin, 12345, usw.) besteht. Cracklibs welche die üblichen "Hacker" Substitutionen wie "A" mit "4" enthalten sind inzwischen nichts Besonderes mehr. > Und natürlich Single-Sign-On als reine Utopie. In der > Theorie klapps, in der Praxis hast Du für GIT ein eigenes > Paßwortmanagement, für Confluence/Jira, für Jenkins und natürlich das > hauseigene Intranet. Bei PulseVPN klickst Du noch drei Disclaimer weg, > bevor Du endlich arbeiten darfst und nach spätenstens 5 Minuten geht > der Gruppenrichtlinien-Bildschirmschoner an und Du darfst Dein Paßwort > neu eingeben. Und Kamera läuft. Alles sehr sicher... > Inzwischen hatte jemand ein Einsehen und erlaubt den o. g. Ansatz. > "volker trägt rosa schlüpfer" nun also endlich möglich. Ein Traum wird > wahr! Hauptsache alles ist offshore und in der Cloud und Betroffene haben niemand greifbar wenns schief geht. O.J.