Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wörterbuchattacken auf Zitate

Frage Sicherheit

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

15.02.2013, aktualisiert 13:23 Uhr, 2458 Aufrufe, 14 Kommentare, 3 Danke

Moin Kollegen!

Es ist unlängst bekannt geworden, dass Wörterbücher, welche für Attacken auf Kennwörter genutzt werden, mittlerweile oft auch Strings gebildet aus Initialen von Sprichwörtern und berühmten Zitaten (siehe z.B. http://www.brainyquote.com/ ) enthalten.

Kennt jemand eine solche Liste von Strings aus Initialen? Ich würde diese gerne in unserer Domäne verbieten und müsste sie dazu in unser Wörterbuch einpflegen, welches unsere Kennwortsoftware zur Prüfung benutzt.

PS: Ich bitte darum, dass hieraus keine Diskussion über Kennwortsicherheit entstehen möge.
Mitglied: aqui
15.02.2013, aktualisiert um 19:21 Uhr
Wenn man das hier liest:
http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html
wird man so oder so sämtlicher Illusionen über sichere Passwörter beraubt....
Mist, hätte fast eine Diskussion angefangen... Sorry
Bitte warten ..
Mitglied: brammer
15.02.2013 um 20:48 Uhr
Hallo,

vielleicht sollte Dww die Einschränkung wegen der Passwort Sicherheit noch mal überdenken.
Ein Beitrag der 3 positive Bewertungen und 3 Forenmitglieder hat die dem Beitrag folgen ohne das es eine Antwort gibt, verdient es am Leben gehalten zu werden.

Btw. mit einer Passwortrichtlinie die 2 Zahlen und 2 Sonderzeichen enthält, sollte auch eine Sammlung von Anfangsbuchstaben diverser Zitaten kein PRoblem mehr sein.

brammer
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013, aktualisiert um 21:26 Uhr
Hi.

Den CT-Artikel habe ich gelesen. Unbenommen von technischen Entwicklungen bleibt ein Kennwort wie G$!7JHg#2qh2 sicher genug, selbst für gehobene Ansprüche. Eins wie WaeGg,fsh.123 jedoch nicht (3mal dürft Ihr raten, was sich dahinter verbirgt).

Ok, ich werde mich dann mal auf die Suche begeben und Ergebnisse melden.
@brammer: Versteh ich noch nicht, was davon soll ich überdenken?
Ich habe schon Demonstrationen dazu gesehen, Abwandlungen von Kennwortsätzen aus Sprichwörtern/Initialen von berühmten Zitaten sind in Wortlisten drin, siehe mein Obiges "Wer anderen eine Grube..." - garantiert enthalten.
Bitte warten ..
Mitglied: Alchimedes
15.02.2013, aktualisiert um 22:14 Uhr
Hallo ,

die Passwortgenerierung via Zitate ist doch schon nicht schlecht. Besser als Klebezettel unter der Tastatur.
Ich weiss keine Diskussion... sorry

Hab mich aber mal ins dunkle Internet begeben um solche Liste zu finden... ohne wirklichen Erfolg.
Mein Russisch ist zu schlecht.....

Jedoch werden oft zu den "Normalen" Woerterbuchlisten generierte Passwoerter z.B via pwgen -y -n 16 den Passwortlisten hinzugefuegt.

P.S

um G$!7JHg#2qh2 zu knacken braucht ein Rechner 344000 Jahre...
fuer WaeGg,fsh.123 braucht ein Rechner 51 Millionen Jahre....

von http://howsecureismypassword.net/

jedoch bei

https://review.datenschutz.ch/passwortcheck/check.php
sieht es ganz anders aus...

Gruss
Bitte warten ..
Mitglied: DerWoWusste
16.02.2013, aktualisiert 17.02.2013
fuer WaeGg,fsh.123 braucht ein Rechner 51 Millionen Jahre....
Eben nicht, da vernünftige Angreifer Ihr bruteforce mit Wörterbüchern unterstützen - das ist doch gerade der Grund, warum ich ein solches WB haben will.
Bitte warten ..
Mitglied: -WeBu-
18.02.2013 um 11:41 Uhr
Ich nehme für Passwörter, die ich mir merken muss, auch die Anfangsbuchstaben von Phrasen, erweitere diese aber ggf. mit eingestreuten Sonderzeichen oder (!) leicht zu tippenden Tastenkombis auf der Tastatur wie z. B. "qawsed". Damit haben WB-Attacken kaum noch eine Chance.
Bitte warten ..
Mitglied: joebigfoot
18.02.2013 um 16:09 Uhr
Hallo warum nicht den Passwortgenerator Zebus
der generiert bis zu 9999 Buchstaben Sonderzeichen
und Zahlen passt auf einen USB Stick und muß nicht
installiert werden.Dann verwende ich Chipdrive
My Key kostet ca € 20.-. Ist ein USB Dongle mit einer Simkarte
abziehen und keiner kann ohne den USB Dongle
etwas öffnen den es ist ein Passwortmanager auf Hardware Basis.
Meine Passwörter sind 30 Zeichen lang
die nicht mehr zu knacken sind.
Hier der Link vom Heise Verlag
http://www.heise.de/download/zebus-passwort-generator-1114177.html

Nicht abschrecken lasse er funktioniert auch auf Windows 7
Bitte warten ..
Mitglied: DerWoWusste
18.02.2013 um 16:16 Uhr
Moin joebigfoot und -WeBu-, ich danke Euch, aber das war nicht wirklich Thema hier. Ich möchte unsere Strategie nicht ändern, sondern lediglich unser Prüfwörterbuch erweitern.
Bitte warten ..
Mitglied: -WeBu-
19.02.2013 um 14:51 Uhr
Stimmt, in deinem Eingangspost hast du das geschrieben.

Vor dem Hintergrund fände ich es spannend, ob in gängigen Wörterbuchlisten auch gängige Tastaturreihenfolgen zu finden wären, was ja meine Präferenz ist. Wenn Du also bei Deiner Recherche auf solche Tastenfolgen stößt, würde ich mich über eine Rückmeldung freuen.
Bitte warten ..
Mitglied: brammer
19.02.2013 um 15:40 Uhr
Hallo,

@-WeBu-
dazu braucht es keine Wörterbuchattacken...
das erkennen die meisten Angriffstools direkt bei der Eingabe..

Hier noch 2 Links zu Wörterbüchern:

http://www.openwall.com/mirrors/

http://www.outpost9.com/files/WordLists.html

brammer
Bitte warten ..
Mitglied: DerWoWusste
19.02.2013 um 18:07 Uhr
@-WeBu-
Unsere Software von Anixis, welche die Kennwörter auf dem DC prüft, prüft auch Tastaturmuster, sogar Zickzack und solche Scherze.
Bitte warten ..
Mitglied: -WeBu-
19.02.2013, aktualisiert um 19:04 Uhr
Ich versuch's nochmal: Das ist mir schon klar, dass reine Tastaturmuster bereits erkannt werden. Ich aber sprach davon, in Anfangsbuchstabenkombis von Phrasen diese Tastaturkombis irgendwo einzufügen:

Das Beispiel von oben mit der Grube sähe dann so aus: WaeGgqawsed,fsh.123

Selbst wenn WBs Phrasen berücksichtigen, wie würden sie ahnen können, wo Tastaturkombis eingestreut sind? Ich wähn(t)e mich eigentlich mit meiner Methode sicher, würde mich aber gerne eines besseren belehren lassen.
Bitte warten ..
Mitglied: DerWoWusste
19.02.2013, aktualisiert um 19:16 Uhr
-Es ist die zu vermeidende Diskussion geworden-
Wann immer ein System dahinter steckt, das auch andere nutzen könnten, könnten Sie es auch in Ihr Wörterbuch schreiben.

Natürlich wird Dein so erzeugtes Kennwort nicht in meiner Liste stehen, und vielleicht auch in keiner auf der Welt, aber es ist eine Kombination aus 2 Techniken, die beide für sich genommen in Listen auftauchen - todsicher ist es also nicht. Anixis PPE testet auch auf Einschlüsse, zum Beispiel H1a2U3s würde nicht zugelassen.

Nahezu todsicher sind eher Initialen von Fantasiesätzen wie
JAk1Kv,dgwzEs
(Jeden Abend kommt 1 Kumpel vorbei, dann gehen wir zusammen Eisbären schießen)

Es würde mich freuen, wenn keine weiteren Diskussionen entstehen. Können wir mal an anderer Stelle machen
Bitte warten ..
Mitglied: -WeBu-
19.02.2013, aktualisiert um 20:28 Uhr
Ich wollte keine Diskussion, ich wollte eine Antwort und die hast Du mir gegeben, als du schriebst, dass meine Methode nicht in Wörterbüchern zu finden wäre! That's it! Danke!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...