Grad ein Thema hier gewesen :rolleyes:

Falls sich jemand fragt wie groß so eine Datenbank ist mit der Passwörter erst getestet werden, bevor man brute-force oder was anderes macht:
Es sind in etwa 10 Milliarden.
https://www.youtube.com/watch?v=iOBUDVD9ChM

Wenn man das Set lokal hat, bekommt man einem aktuell schon brauchbaren GamerPC grob 500Mio. pro Sekunde hin.
Die s.g. staatlichen Akteure :rolleyes: haben die ganze Datei dagegen in etwa 5s durch. Deren wohl noch stärker ähh... sozialgestützte :wink: Datenbank schätze ich auf eher um die 20 Milliarden ein. D.h. bis die da durch sind, schafft man es nicht mal eben kurz zu pinkeln.

Brute-Force:
Ob das jetzt die Messlatte für den 3DC-Login sein muss sei dahingestellt (außer Mods, Admins, Leo), aber wer sonst etwas damit beschützen will, der braucht mit <14 Zeichen aus den s.g. 94 "druckbaren" ASCII-Zeichen garnicht anfangen. (*)

Die Punchline für mich: In der Datei tauchen einige nur Hashes auf. Habs mir nur leider nicht gemerkt :frown: ob das jetzt 1/4 vom ganzen oder wieviel es waren. Bedeutet aber irgendwie, daß es doch abgegraben wurde? Bedeutet also auch, >3/4 der Ziele hatten die Passwörter im Klartext im System??
Damit bräuchte man sich aber auch nicht gleich ganz soviel Gedanken über Passwortsicherheit machen :ulol:

(*) da ich grad schon so im flow war beim Thema Passwort :usad:
WLAN möchte sich irgendwie beständig sein Eigenheiten bewahren und es ist diesbezüglich nichts standardisiert. Bzw. die Implementierungen sind wie es grad so passt :mad:
Außer beim Gastnetz :wink: würde ich daher immer 63 Zeichen verwenden (beim WLAN also). Und was Zeichensatz bzw. Sonderzeichen angeht die Vorgaben von AVM, da ich damit bisher bzw. seitdem mit keiner weiteren Implementierung Probleme hatte. Das Thema also, "Gemeinsammer Nenner"
Das ist a-z, A-Z, Zahlen und:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

mhm... um die passwörter in der geschwindigkeit gegen das 3dcenter testen zu können, bräuchtest du zumindest einen datenbank dump / zugriff auf den server... dementsprechend geht das im normalfall schonmal nicht ganz so schnell...

und dann nimmt man heutzutage eigentlich hashes die etwas langsamer zu berechnen sind und mit individuellem salt kombiniert werden... dann bringen einem rainbow-tables auch nichts mehr ;-)

und dann nimmt man heutzutage eigentlich hashes die etwas langsamer zu berechnen sind und mit individuellem salt kombiniert werden... dann bringen einem rainbow-tables auch nichts mehr ;-)

Klar. Im Idealfall.
Aber teilweise wurde viel zu lange die Passwörter bei manchen Firmen unsicher gespeichert.
drauf verlassen sollte man sich nicht.

Beides im ersten Beitrag abgehandelt :wink:

1. "Wenn man das Set lokal hat" meint einen Dump.

2. Das Thema Hashes hinterfragt, da etwa um 1/4 rum der Datei aus Hashes besteht :freak:

Zu 2: Wenn man Cookies gesetzlich regelt, müsste man das hier erst recht tun. Passwörter auf öffentlich zugänglichen Systemen - egal ob privat oder nicht - dürften nur über Hashes gespeichert werden. Oder auch gleich genauso sämtliche Industrien dazu verdonnern :mad: Wenn wir eine Cookie-Richtlinie haben können, können wir auch eine Password-Richtlinie haben.

Für 3 Monate kurz NESSIE aufwärmen, Algos vorgeben, fertig. Ohne, das Betreiben verbieten. Ähnlich eben wie mit Cookies. Passwörter im Klartext auf dem Server... Meine Fresse.

Beides im ersten Beitrag abgehandelt :wink:


wenn man hinterher editiert ;-)

obligatory xkcd: https://imgs.xkcd.com/comics/password_strength.png

wenn man hinterher editiert ;-)
Ja wie lange brauchst du denn für deine 3 Zeilen? :wink:

xkcd: Ja. Schon extrem alt das Zeug. Aber immernoch gut. Da geht es aber um den Hoax irgendwelcher Akteure :tongue: welche den Leuten die Hirne gewaschen haben, daß Komplexität wichtiger wäre als Länge.

@badesalz hast du das video zuendegesehen? die meisten pw des leaks sind nicht brauchbar und schon lange bekannt. also einen aufreger ist der leak nicht wert. dafür haben wir nun wieder eine pw diskussion, über die du dich selbst im anderen thread genervt äusserst.

Ich hab so 20-35stellige Passwörter (alles wilder Kauderwelsch ohne Sinn) schon seit den Anfangszeiten. Ergo viel Spaß.

Ob das jetzt die Messlatte für den 3DC-Login sein muss sei dahingestellt (außer Mods, Admins, Leo), aber wer sonst etwas damit beschützen will, der braucht mit <14 Zeichen aus den s.g. 94 "druckbaren" ASCII-Zeichen garnicht anfangen. (*)
94^14 = 4.2x 10^23
1 Mrd PWs pro Sekunde = 1.0x 10^9.

4.2x 10^23 / 1.0x 10^9 = 4.2x 10^14 Sekunden -> ~> 10^5 Jahre.

Ich hab so 20-35stellige Passwörter (alles wilder Kauderwelsch ohne Sinn) schon seit den Anfangszeiten. Ergo viel Spaß.

ohne 2fa?
Ernstgemeinte frage.

@badesalz hast du das video zuendegesehen? Jedes Mal wenn Leute sowas fragen will ich ein Mod sein...
Hast du paar andere Vids dazu mitangeklickt? Da tauchen so 2-3 brauchbare noch auf. Sind ja eh nur Erklärbär-Teile. Keine großartig technischen.

die meisten pw des leaks sind nicht brauchbar und schon lange bekannt.ALLE Passwörter in dem Leak sind nicht "brauchbar". Das versteht sich von alleine, check?

Der Aufreger des Leaks ist, daß jemand beständig PW-Datenbanken saugte und am Ende 3/4 davon im Klartext vorliegt.
(ich glaub es sind sogar viel mehr)

dafür haben wir nun wieder eine pw diskussion, über die du dich selbst im anderen thread genervt äusserst.
Was ist da der Topic des Threads? Schön daß es dich gibt, Kumpel... Was war jetzt nochmal dein Anliegen grad?

@floi
Ernst gemeinte Frage: Wie macht man 2FA mit Sachen die kein 2FA unterstützen?

Ah ja:
https://blog.fefe.de/?ts=a3695c14

https://blog.fefe.de/?ts=98782801

komm mal wieder klar...

pw leaks und diskussionen über pw stärken sind 2 verschiedene themen. im prinzip OT.

Rechthaberischer Vollquark. Echt ej...

Steig du erstmal ab :uup:

War nix. Von allen.