Zerschmetterling
Date of registration: Aug 31st 2003
Location: Hannover
Occupation: Informatikstudent (d'uh)
This post has been edited 1 times, last edit by "hamena314" (Jul 19th 2010, 12:41pm)
Zerschmetterling
Date of registration: Aug 31st 2003
Location: Hannover
Occupation: Informatikstudent (d'uh)
Man bekommt eh selten mit, ob und wann das eigene Passwort geknackt wurde. Ich schätze, dass du mit Hash-Werten die Rainbow-Tables meinst? Wenn ja: Zum einen sollte der Serverbetreiber durch Hinzufügen eines Salt-Wertes dafür sorgen, dass solche Angriffe ins Leere laufen und andererseits würde hier bereits die Wahl eines sicheren Passworts den Angriff auch so verhindern, da Rainbow-Tables nur Passworte bis zu einer bestimmten Länge und bis zu einem bestimmten Zeichenvorrat enthalten.Quoted
Ein Angriff gegen Passwörter erfolgt häufig auch gegen die Hash-Werte, die ein Cracker vom Server kopiert hat. Hier bekommt man nicht mit, wann das eigene Passwort geknackt wurde.
Ok, wäre ein Argument für den Wechsel. Allerdings: Hilft nichts, wenn ich mit dem gewechselten Passwort wieder am Trojaner-PC arbeite (oder von dort aus sogar mein Passwort ändere)Quoted
Oder das Passwort wurde von einem Trojaner/Keylogger/... ausgespäht, vielleicht auch auf einem Rechner auf den mehrere Leute Zugang haben (Internet-Cafe, Zip-Pool, ...), aber die zugehörigen Accounts wurden nicht sofort benutzt, da sie nicht „interessant genug“ schienen. Ein zukünftiger Mißbrauch wäre aber nicht auszuschließen.
Äh... ok. Die beste Übersicht habe ich, wenn NUR ich mein Passwort kenneQuoted
Außerdem gibt es bestimmt auch viele Leute, die ihr Passwort „vertrauenswürdigen“ Leuten weitergeben, um z.B. das Sitten in Onlinespielen zu ermöglichen. Da hilft ein regelmäßiger Wechsel, die Übersicht zu behalten, wer denn Zugriff auf den Account hat.
Ich vermute mal, dass mind. 90% der Benutzer nur ein einziges Universalpasswort haben, da sie keine Lust haben sich diese Passwörter zu merken und auch zu bequem sind einmal auf ihren Passwort-Zettel in ihrer Brieftasche zu gucken (könnte ja 10 Sekunden Zeit kosten - sorry für meinen Sarkasmus). Eine Lösung wäre hier eventuell ein Passwort-Safe Programm (wobei dann natürlich das Universalpasswort um Gottes Willen sicher gewählt und geheim bleiben sollte).Quoted
Sehr sinnvoll gegen diese Angriffe wären vor allem verschiedene Passwörter für verschiedene Accounts. Ob man dann bereit ist, sich für alle Accounts im 3monatlichen Rhythmus neue Passwörter zu erzeugen und sicher zu merken oder ob es da sinnvoller ist, diese seltener zu wechseln, damit man nicht einen Zettel mit allen Passwörtern in der Brieftasche hat hängt in erster Linie davon ab, wie schnell man sich neue Passwörter merken kann.
This post has been edited 1 times, last edit by "CrissCross" (Jul 19th 2010, 9:20pm)
Man bekommt eh selten mit, ob und wann das eigene Passwort geknackt wurde. Ich schätze, dass du mit Hash-Werten die Rainbow-Tables meinst?Quoted
Ein Angriff gegen Passwörter erfolgt häufig auch gegen die Hash-Werte, die ein Cracker vom Server kopiert hat. Hier bekommt man nicht mit, wann das eigene Passwort geknackt wurde.
Source code |
|
1 2 3 4 5 6 7 |
$ cat passwd root:HgsAD.IP.nIPE $ /usr/sbin/john passwd Loaded 1 password hash (Traditional DES [64/64 BS]) gehaim (root) guesses: 1 time: 0:00:00:24 (3) c/s: 634846 trying: gehamp - gehadu $ |