@Kleinalrik Wenn's wichtig ist, wird sowieso ein Botnetz benutzt, das aus zig tausenden Rechnern besteht. Damit kann mann die IP-Sperre schon mal schnell umgehen. Besser geeignet ist die 2-Faktor-Authentifizierung.
während meiner ausbildung musste man jeden monat ein neues passwort wählen... und frühestens nach einem jahr wieder das gleiche.
ich sag lieber nich wie oft ich das vergessen hab... montag morgen und kein plan :D
@Druss Bei uns an der Uni muss man es Semesterweise ändern. Ich hab immer einfach alle Buchstaben und Zahlen um eins im Alphabet weiter gerückt. Nach drei Jahren durfte man dann wieder von vorne anfangen.
Das schlimme war, dass das System etwas dagegen hatte, wenn man nur ein paar Zeichen im Passwort austauschte.
1243 ist immernoch ein sicheres Passwort, wenn die Zugangsabfrage nur eine Eingabe alle zehn Sekunden zulässt und nach drei Falscheingaben den Zugang sperrt.
@Kleinalrik Das Problem ist doch, dass viele Nutzer aus Faulheit überall den selben Login und das selbe Passwort nutzen. Wenn ein Attacker nun in Besitz der Datenbank kommt und die Passwörter darin ordentlich gehasht sind, dann kann er damit nichts anfangen. Liegen die Passwörter im Klartext vor oder sind nur schlecht gehasht, dann kann der Attacker die selben Logindaten möglicherweise auch für andere Webseiten nutzen. Und das darf nicht sein.
@Kleinalrik Es ging aber darum, wenn ein Hacker die Datenbank samt Passwordhashes in die Finger bekommt. Das ist in der Vergangenheit leider schon zu häufig passiert.
Zugang. Und dann geht richtigerweise erst mal nichts mehr. Dann gibt es verschiedene Regularien, den Zugang wieder zu entsperren. Eine übliche ist die Rücksetzung mittels Email an hinterlegter Adresse. Eine andere ist ein Masterpasswort (auch Sicherheitsfrage genannt) welches aber ebenfalls ein Limit an Fehleingaben hat, und dann ist vorläufig wirklich Schluss. Dann ist bei verschiedenen Anbietern die Entsperrung auf dem Postwege noch denkbar.
Ehrlich, gibt es noch Zugänge, bei denen man Bruteforce einsetzen kann? Schon so kleine Spielchen wie zeitverzögerte Passworteingabe (nur alle zehn Sekunden) hebelt solche banalen Hackversuche sicher aus (Warteschleife von zehn Sekunden ermöglicht pro Stunde nur 360 Versuche, pro Tag 8.640 - und heutige Zugangsabfragen sind da weitaus zickiger und verlängern die Warteschleife mit jeder Falscheingabe)@Kleinalrik
@Kleinalrik Wenn's wichtig ist, wird sowieso ein Botnetz benutzt, das aus zig tausenden Rechnern besteht. Damit kann mann die IP-Sperre schon mal schnell umgehen. Besser geeignet ist die 2-Faktor-Authentifizierung.
@Kleinalrik Pro was? IP? Zugang? Beides? In letzterem Fall könntest du dich nicht einloggen wenn jemand andres sein Passwort falsch eingibt. Die anderen beiden Fälle sind zu einem gewissen Teil umgehbar. (Ersteres indem man ständig die IP wechselt (Reconnect oder Proxy) (-> Dauert ein wenig länger) und Zweiteres indem man nach jedem Versuch in der Dictionary einfach auf den nächsten User weiterspringt. (-> Funktioniert nicht bei Angriffen auf ein bestimmtes Ziel.)
Das Problem an passwörtern is ja aber auch, dass man sich nicht für jeden einzelnen onlinedienst, der eine Registrierung benötigt, jedes mal ein neues Passwort ausdenkt.
Wenn jetzt nur ein einziger dieser onlinedienste nicht seriös ist und das passwort unverschlüsselt in einer Datenbank hinterlegt, schon ist im Prinzip jegliches noch so gute Passwort für all die anderen Dienste auch nutzlos.... es sei denn man hat es für jeden Dienst (ab-)geändert ... aber wer macht das schon...
@Seelax Man nutzt immer einen Salt und am besten noch Pepper. MD5 ohne dass ist quasi in Millisekunden geknackt. Und statt MD5 nimmt auch lieber SHA256 oder mehr und das mit mehreren Runden. Oder gleich fertige Methoden wie bcrypt.
Ich nutze übrigens zwar nicht für jeden Dienst ein anderes Passwort, aber für jeden eine andere Mailadresse. Dadurch weiß ich unter anderem auch schnell, über welchen Weg ich plötzlich Spam bekomme und kann die Adresse ändern.
@Seelax SharpOnScreen: Es gibt genug Online-Dienste bei denen man sich sein aktuelles Passwort per Mail zuschicken lassen kann wenn man es vergessen hat. Das ist bei mir immer ein wichtiges Kriterium dafür ob ich mit diesem Dienst irgendwas mache bzw. irgendwelche Daten von mir angebe :D
