CR204: Passwörter

Ob für unsere Computer, E-Mails oder Bankkonten: Passwörter sind heute meist das Mittel der Wahl, um sich in der digitalen Welt zu authentifizieren. In jüngster Vergangenheit sind Anbietern von Internetdiensten häufiger auch millionenfach die Passwörter ihrer Nutzer “abhanden” gekommen. Wir möchten ergründen wie Passworte funktioneren, was ein gutes und was ein schlechtes Passwort ist und wie es in unterschiedlichen Situationen verwendet werden sollte. Außerdem wollen wir diskutieren, wie Passwörter sicher gespeichert werden und welcher Werkzeuge sich dunkle Gestalten bemächten, um sie zu knacken.

Sind Passworte überhaupt noch zeitgemäß? Welche Weiterentwicklungen gibt es? Was sind Hardware-Tokens, was eine Two-Factor-Authentification und was sind diese lustigen kleinen Kästen, die immer neue Zahlen anzeigen? Und wie sicher sind doch gleich Irisscan und Fingerabdruck? Um all das geht es am Donnerstag den 22.08 im Chaosradio 204, live aus dem Chaos Computer Club Berlin in der Marienstraße 11.

Hinweis: Diese Ausgabe wird nicht auf Fritz übertragen, wird aber per Xenim (Audio) und über das C3VOC (Video) ins Netz gestreamed.

Dieser Beitrag wurde unter Intern veröffentlicht. Setze ein Lesezeichen auf den Permalink.

19 Antworten auf CR204: Passwörter

  1. Junak sagt:

    Hallo,

    wird es demnächst auch den Mitschnitt als Download geben? Habe leider die Ausstrahlung verpasst.

    Vielen Dank und beste Grüße,

    J.

  2. paule sagt:

    Wann gibt es den Mitschnitt? Kann nicht warten ;)
    Gruß Paul

  3. form sagt:

    schön dass die gäste kompetent sind, das merkt man auch, aber das stammelige sprechen macht das hören wirklich schwer.

  4. user unknown sagt:

    Hab das ogg 2x runtergeladen und versucht mit VLC abzuspielen – keine Fehlermeldung aber kein Ton. Zum Test eine ältere Sendung von der Festplatte abgespielt (202); da kein Problem.

    Ah – sehe gerade, .xsession-errors hat was:


    TagLib: Vorbis::File::read() - Could not find the Vorbis comment header.
    TagLib: Vorbis::File::read() - Could not find the Vorbis comment header. [0xb6e151c8] vorbis decoder error: 2nd Vorbis header is corrupted
    [0xb6e151c8] vorbis decoder error: this bitstream does not contain Vorbis audio data
    [0xb6b01438] vorbis decoder error: this bitstream does not contain Vorbis audio data

  5. user unknown sagt:

    Nachtrag: Beide Downloads führten zu bitweise identischen Dateien mit folgender md5sum:
    c0df1cd6e69d24e2cfa65a66a93cb041 cr204-passwoerter.ogg

  6. user unknown sagt:

    Ungefähr bei 1:10:00 wird über Chancen ein Passwort zu erraten oder eines zu bilden gefachsimpelt. Es wird behauuptet,, dass es bei der Kombination von 4 Wörtern aus dem Wörterbuch 2^43 Möglichkeiten gibt. Das schien mir vor allem eine seltsame Darstellung der Zahl zu sein, weil nicht gesagt wird, wie man darauf kommt.

    Also habe ich meie Shell besucht und aus der dünnen Luft die Zahl 50.000 gegriffen in der Annahme, ein Wöterbuch habe etwa so viele EInträge. 50.000^4 ergab aber eine wesentlich höhere Zahl als 2^43. Ich muss aber auf unter 2500 Wörter runter, um in die Gegend von 2^43 zu kommen:

    RPOMPT > echo "$((2500**4))"
    39062500000000
    RPOMPT > echo "$((2**43))"
    8796093022208

    Okay – also sehe ich bei xkcd nach, Da steht das tatsächlich mit den 2^44 oder 43 Möglichkeiten, aber nicht, wie sie drauf kommen.

    Meine Offlinewörterbücher, de_de-dict und utf-german haben übrigens folgende Größe:

    72374 de_de.dict
    318924 utf-german

    Hier ein Skript, das aber wohl anfällig ist für die Initialisierung von RANDOM über die Zeit, d.h. wer weiß,, wann das Skript etwa ausgeführt wurde, der kann doch leicht (mit weniger als 318.000^4/2 Versuchen, im Mittel) auf die Sequenz kommen.

    for n in {1..4}; do zuf=$(((RANDOM*32768+RANDOM)%318924)) ; echo $zuf; sed -n "${zuf}p" /home/stefan/lib/dicts/utf-german; done
    171440
    erseht
    227281
    nachdrehte
    154958
    dunkelblonder
    178768
    französischen

  7. D-Buddi sagt:

    Bitte nehmt doch beim nächsten mal wieder einen Moderator der Nerds umgehen kann, das war für mich der schlechteste CR den ich je gehört habe, kompetente Gäste aber niemand der die Sendung wirklich sinnvoll leitet 8-/ Das soll gar keine Beleidigung des Moderators sein, nur ist IT doch recht offensichtlich nicht sein Ding…

  8. Marcus sagt:

    Ich fand das mit der Moderation zwar nicht ganz so schlimm, dachte mir aber gelegendlich auch, das da jemand mehr Ordnung reinbringen sollte.

    Im übrigen habt ihr vergessen den Song von “Rap News” – “Net Neutrality” zu verlinken
    (fängt 59:30 an), hatte den extra gesucht und hier nicht mehr gefunden ;)
    https://soundcloud.com/juice-rap-news/rap-news-25-net-neutrality

  9. Foobar sagt:

    Ok, es war die erste Sendung ohne Moderator, aber trotzdem hätte man etwas mehr Moderation erwarten können. Das Zuhören fiel wirklich schwer. Habe nur bis zum Ende zugehört, da ich sehen wollte, ob sich im Laufe der Sendung vielleicht etwas ändert. Tat es leider nicht. Ich höre sicherlich nochmal rein, sollte der Stil allerdings bleiben, so beschränke ich mich in Zukunft auf die Sendungen bei Fritz.

  10. Egal42 sagt:

    danke das ihr monatlich weitermacht!!1
    Bestimmt wird auch der ablauf und das moderieren besser. Uebung macht den Meister!

    Have fun

  11. Andreas sagt:

    Hallo Chaosradiomacher

    Danke für die Sendung zu den Passwörtern. Ja, es gibt noch Server, welche Passwörter statt Hashs abspeichern. Ein Beispiel ist meine Bank (PIN meiner Bankkarte); zumindest war dies vor etwa 2 Jahren noch so. Ich weiss dies mit Sicherheit, da ich damals unaufgefordert als Erinnerung mein PIN schriftlich mitgeteilt erhielt; vielleicht weil ich diese Karte längere Zeit nicht benutzt hatte.

    Ich habe übrigens meiner Bank mitgeteilt, dass dies meines Erachtens eine Sicherheitslücke ist. Die Antwort der Bank war erstaunlich: nein, sie würden die PIN nicht abspeichern! Wie können sie mir dann eine Erinnerung schicken???

  12. Andreas sagt:

    Natürlich kann man sich mit http einloggen, wenn man schaut, dass es keiner aus der WG mitbekommt und man sein PW direkt nach der Einschreibung ändert ist das ein vertretbares Risiko.
    Sofern die Informatikstudenten das beachtet haben war das nicht dumm sondern schlau.

  13. peter sagt:

    Die Einführung in das Thema ist holprig und viel zu lang.

    Wenn es dann endlich tiefer in die Thematik geht versteht man nur Bahnhof z.B. werden Zugwagen Nummern mit dem salzen von Passwörtern verglichen ?!

    Das ist der erste CR Podcast den ich nach gut Fünfzehn Minuten abgebrochen haben.

    Ich will damit bei weitem nicht die Qualität der Gäste schmälern.
    Meiner Meinung nach ist die Moderation und “leitfähigkeit” des Moderators das Problem.

  14. Blusky sagt:

    Fand den lockeren Stil mit mehr technischen Details super. Es allen Zuschauern recht zu machen muss wohl eine echte Herausforderung sein.

  15. marie sagt:

    next fun.
    For a few years ago somebody told me
    that they ? Thinked i shoujd die together
    whith the other rich.
    This last day i did some banking. And
    my bankman was so intressted in me
    that he thoght his geräte would heat me on.
    And marriage me whith him with flowers and
    presents and hanging balls.
    So i replyed no i dont think so becorce i got an
    lifethreat on me…

  16. marie sagt:

    okej daß nexte..erindred sie daß öst westen berlin
    trabanten- stau? Öh nixt daß ganse swarze rocken party
    und jezt auf maulen in daß ganse näe. Auf- DAF TANCEN.

  17. Adrian sagt:

    Passwörter sind absolut zeitgemäß. Techniken die Passwörter ersetzen sind meist unsicher und unausgereift.

    Vieleicht sollte man fragen, wie Cool sind Passwörter im gegensatz zum Fingerabdruck?
    Dann sieht die Antwort schon anderst aus. Passwörter bleiben das Sicherste überhaupt, wenn man Sie richtig anwendet.

    Dazu vieleicht noch ein paar Tipps:
    http://www.dotcomsecurity.de/2015/01/20/vermeidest-du-das-dein-passwort-gehackt-wird/

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *