123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

[locojens]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Naja wie wir schmerzlich in den letzten Jahren lernen durften, sind einige Datenbanken auf großen Servern überhauptnicht verschlüsselt und auch durch relativ simple Angriffe zu erlangen.

 

[AnonHome1234]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Naja wie wir schmerzlich in den letzten Jahren lernen durften, sind einige Datenbanken auf großen Servern überhauptnicht verschlüsselt und auch durch relativ simple Angriffe zu erlangen.

Eigentlich ist "fast" jede MSSQL/MYSQL Datenbank mindestens mit Salt verschlüsselt. Ich hoste selber einen Server und habe einige Websites am laufen, alle sind mit Salt verschlüsselt.
Außerdem sollte man seine User dazu zwingen Passwörter mit Groß- Kleinschreibung, Zahlen und Sonderzeichen zu nutzen und deutlich darauf hinweisen, dass sie ein Passwort nutzen, was sie nicht schon irgendwo anders nutzen, zumindest mach ich das so.

 

[locojens]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Das mag sein ... aber wie gesagt in den letzten Jahren gab es ja einige "dolle" Fälle wo es bei großen Firmen eben nicht der Fall war! Auch SALT ist nicht der Heilsbringer (siehe MD5 Checksummen). Das Beste bzw. Idealste wäre halt für jeden Account ein eigenes kompliziertes Passwort zu haben, die Realität sieht dann aber eben leider anders aus, zum Beispiel für alle Accounts die Lieblingskippenmarke oder Biersorte ...!

Es gibt ja auch Passwortgeneratoren ... inwieweit man denen vertrauen darf KA.! Dann gibt es noch Online Passwortsafes ... wobei bei denen das wahrscheinlich wieder zu simple Zuganspasswort der Knackpunkt ist!

PS: Meine Kippenmarke ist Pueblo und mein Lieblingsbier ist Jever ... jedoch benutze ich keines der Beiden als Passwort.

 

[Robonator]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Hab ich nur das Gefühl oder gab es genau diese News vor kurzem schon einmal?

 

[AnonHome1234]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Das Beste bzw. Idealste wäre halt für jeden Account ein eigenes kompliziertes Passwort zu haben

Erstens das und wenn man etwas begabt ist, schreibt man sich einen eigenen Algorithmus für ne Verschlüsselung.

 

[ryzen1]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Kommt drauf an, wie man dn Kram verschlüsselt, SHA5, MD5, Salt etc.

Bei MD5 knack ich dir das Passwort in 2 Minuten, mit Salt sieht das ganze schon wieder anders aus.

Ich glaube nicht, dass du das Passwort in 2 Minuten gecracked hast. Das sind 31 stellen. 10^31 : 8.000.000.000 Hash/s (HD7970).
Sofern ich jetzt richtig gerechnet hast bist du da sehr sehr lange drüber ^^
Auch wenn es nur Ziffern sind.

 

[AnonHome1234]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Ich glaube nicht, dass du das Passwort in 2 Minuten gecracked hast. Das sind 31 stellen. 10^31 : 8.000.000.000 Hash/s (HD7970).
Sofern ich jetzt richtig gerechnet hast bist du da sehr sehr lange drüber ^^
Auch wenn es nur Ziffern sind.

Das ist ein simpler MD5 Hash, 2 Minuten ist vllt. etwas übertrieben aber trotzdem lässt sich diese Zahlenkombination mit Rainbowtables sehr schnell knacken. Wenn da noch irgendwo ein Sonderzeichen zwischen wäre oder ein Buchstabe würde das den Vorgang weit verlängern.

 

[ruyven_macaran]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Als Wegwerfpasswort okay, aber manche Leute benutzen diese Passwörter eben doch auch für wichtige Accounts. Das ist dann wirklich dumm.

Ich kenne Firmen, deren systemweites Admin-Passwort sich regelmäßig unter den top50 befindet...

Umgekehrt muss ich aber auch ganz ehrlich mal sagen: Das die Auswahl eines Passwortes derart wichtig ist, ist zu 99% der geradezu fahrlässigen Nachlässigkeit zu schulden, mit der die Login-Systeme entwickelt werden! So gut wie kein System hat einen Cooldown, ich kenne kein einziges, dass fehlgeschlagene Login-Versuche meldet. Dabei wäre selbst "00000000" für die meisten Zwecke (und nicht nur Nuklearwaffen ) ausreichend sicher, wenn man nur zwei vollkommen falsche Versuche von einer IP-Adresse pro Tag (bei IP-Adressen, die auf mehr als 5 Konten zugreifen wollen, weniger), maximal fünf pro Woche zulassen würde und die mit diesem Passwort "geschützte" Funktion mindestens einmal im Monat vom eigentlichen Eigentümer genutzt werden würde. Denn mit diesen sehr simplen Sperren, die selbst bei Tippfehlern den Eigentümer nicht stören würden, würde ein Rainbow-Angriff nach obiger Liste über 5 Wochen dauern, bis ein Zufriff erfolgt, der Nutzer würde aber nach 4 Wochen darauf hingewiesen, dass sein Account angegriffen wird.

 

[ryzen1]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Das ist ein simpler MD5 Hash, 2 Minuten ist vllt. etwas übertrieben aber trotzdem lässt sich diese Zahlenkombination mit Rainbowtables sehr schnell knacken. Wenn da noch irgendwo ein Sonderzeichen zwischen wäre oder ein Buchstabe würde das den Vorgang weit verlängern.

Den Rainbowtable mit 1 Quintillion Zahlen und dem dazugehörigen Hash musst du mir erstmal zeigen

Charset von 0-9 mit 31 Zeichen plus neue Zeile = 32 Byte pro Zeile.
10^31 * 32Byte = 2,9 * 10^20 Terabyte

 

[MaxRink]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Du arbeitest aber anders. Du nimmst schon bekannte PWs als Grundlage für eine kombinuerte Brute-Force-Wörterbuch-Attacke. Jedes gefundene richtige PW wird dann zu einer DB hinzugefügt und als grundlage für weitere 5 Zeichen genutzt. Damit kommt man auf sehr hohe Knackquoten. Eine gute GrundDB vorrausgesetzt.

 

[fisch@namenssuche]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Ich kenne Firmen, deren systemweites Admin-Passwort sich regelmäßig unter den top50 befindet...
... ich kenne kein einziges, dass fehlgeschlagene Login-Versuche meldet.

Zum ersten Teil - ja.
Zum zweiten Teil - noch nie mit SAP gearbeitet? Da kommt genau die Meldung mit den Login-Fehlversuchen. Die geht standardmäßig an den User beim nächsten gültigen Login, kann aber auch den Admins gemeldet werden...

 

[ryzen1]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Du arbeitest aber anders. Du nimmst schon bekannte PWs als Grundlage für eine kombinuerte Brute-Force-Wörterbuch-Attacke. Jedes gefundene richtige PW wird dann zu einer DB hinzugefügt und als grundlage für weitere 5 Zeichen genutzt. Damit kommt man auf sehr hohe Knackquoten. Eine gute GrundDB vorrausgesetzt.

Das mag ja bei stinknormalen Passwörtern mit einer gewissen Länge noch hinhaun. Aber nicht bei einer 31 stelligen Ziffer.
Eigentlich wollte ich damit nur zum Ausdruck bringen, dass man nicht mal annähernd!! in 2 Minuten eine 31 stellige Zahl cracken kann. Denn Anon scheint nicht klar zu sein, wie überdimensioniert diese Zahlen sind, wenn man so salopp sagt: 'Das crack ich dir in 2 Minuten".

 

[buenzli2]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

HghttzOSN2011!

Sowas kann man sich auch merken. Das benötig 302'443'151'374'228'720'825'073'664 versuche um es zu knacken. Ungefähre Zeit für Suche: 4'795'204'708 Jahr(e) (bei 2'000'000'000 Tests/Sekunde)

 

[Voodoo2]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Also wenn man auf der von Talhuber verlinkten Seite 1234567891011121314151617181920 eingibt soll es angeblich "79 trillion years" (engl.), also 79 Billionen Jahre dauern um das zu knacken. Sehr komisches Ergebnis für eine einfache Ziffernfolge?!

die kombination habe ich bis zur 10

 

[SchwarzerQuader]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Das mag ja bei stinknormalen Passwörtern mit einer gewissen Länge noch hinhaun. Aber nicht bei einer 31 stelligen Ziffer.
Eigentlich wollte ich damit nur zum Ausdruck bringen, dass man nicht mal annähernd!! in 2 Minuten eine 31 stellige Zahl cracken kann. Denn Anon scheint nicht klar zu sein, wie überdimensioniert diese Zahlen sind, wenn man so salopp sagt: 'Das crack ich dir in 2 Minuten".

Wie schon erwähnt wurde ist es alles eine Frage des Vorgehens. Wenn ich ganz stumpf alles mögliche zufällig durchteste, würde ich in der Tat im schlechtesten(!) Fall diese ewig vielen Jahre brauchen. Bedenke, es werden gerne die Zeiten genannt, die das Durchtesten aller Kombinationen brauchen würde. Tatsächlich würde es schon schneller gehen, da es von der Reihenfolge abhängt. Starte ich ganz stumpf von 00000000 bis 99999999, wäre ein Passwort wie 99988999 extrem zeitaufwändig. Drehe ich die Reihenfolge um, wäre es hingegen eines der unsichersten Passwörter.
Daher starte ich zum Knacken natürlich mit einer Liste der Passwörter, die sehr wahrscheinlich sind. Also z.B. Einträge einer solchen wie der hier veröffentlichten Liste oder besser noch anderer Quellen, die auf sehr großen Mengen basieren und viele Einträge besitzen.
Solches Vorgehen würde wohl auch jeder halbwegs denkende Mensch nutzen, der z.B. ein Zahlenschloss oder ähnliches knacken will. Erst einmal die naheliegenden Kombinationen und danach erst stumpf probieren.

Natürlich gibt es Gegenmaßnahmen, die hier ja auch schon erwähnt wurden. Aber letzten Endes ist es durchaus möglich, binnen zwei Minuten ein solch langes Passwort zu knacken. Theoretisch kann ich es sogar im aller ersten Versuch knacken. Alles eine Frage der Wahrscheinlichkeit. Alleine deswegen ist es eigentlich interessanter, wie lange es dauert bis die Wahrscheinlichkeit, dass das Passwort geknackt wird, zu hoch für meinen Geschmack wird.

/Edit: Eine 31-stellige Zahl besitzt übrigens auch nur so viele Kombinationsmöglichkeiten wie eine 19-stellige Kombination aus Groß- und Kleinbuchstaben (ohne Zahlen und Sonderzeichen).

 

[unre4l]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Ich denke ich bin da wohl mit meinen 15-26 stelligen Passwörten bestehend aus Zahlen, Klein-/Großbuchstaben und Sonderzeichen schon ganz gut dabei

Mein "spezial" TrueCrypt Container, der sich selbstverständlicherweise in einer Archbang VM befindet, hat dagegen so um die 40 Zeichen
(Hat ne Weile gedauert sich das zu merken, aber wenn man es jeden Tag verwendet geht das schon)

 

[Schokomonster]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Ein hoch auf das deutsche qwertz Layout

 

[dovahkiin]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Anfänger. Auf 123465 würde niemand kommen.

 

[Zsinj]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

Alter Hut, nichts neues.

 

[Jooschka]

AW: 123456 ist kein sicheres Passwort: Die Top 25 der miesesten Passwörter 2013

tja, aber was will man mit den ganzen Foren-Accounts auch machen...
Wenn etwas so hart unwichtig ist, wie z.B. der Computer-Bild-Account, den man damals brauchte, um an die Anti-Viren-Programme für umme zu kommen, oder auch gleich 2 oder 3 oder 10, weil man ja nicht nur einen Rechner in der Familie hat... oder der Account bei web.de für die Organisation des Klassentreffens, als es noch kein FB und ähnliches gab... oder der account bei wer-weiß-was, weil man mal nachgefragt hat, was in ne Roullade rein muss, wenn die so wie bei oma schmacken muss.... und und und... man braucht ja für fast allen scheiß nen Account...
Was spricht dagegen, da 123456 oder qwertzoder immer das gleiche, einfache Passwort zu verwenden???
Und da mittlerweile (zumindestens bei mir) weit über die Hälfte der Accounts allesamt nutzlos sind, und auch sonst keine Daten von mir enthalten, ist es sowas von Latte, wenn die alle das gleiche PW haben... oder eines aus der Liste...
Sobald allerdings irgendwas bezahlt wird, oder persönliche Daten angegeben/geändert/geklaut werden können, sollten Sonderzeichen, groß-/kleinbuchstaben, zahlen... drin sein.
Ein solches PW wird es wohl niemals in die Top-10 schaffen... Sonst wören die Sonderzeichen-, klein-/großbuchstbaben- und Zahlensalate ja auch sowas von Sinnlos!!
--> Die Statistik ist so sinnvoll, wie das Verschlüsselungshandy der Kanzlerin...