Was ist eine Passwort-Versionierung?

Hallo,

folgende Aufgabe:

man muss ein Passwort generieren, welches den Fall abdeckt, dass beim Leak vom Hashwert des Passworts ich einigermaßen sicher wäre. Dabei spielt man auf „Passwort-Versionierung“ an.

was ist „passwort-versionierunt“?

Wenn mein Passwort z.B. jakgkwoogu!2€&/ wäre dann würde einem Hacker der Hashwert nicht wirklich viel bringen, da er nicht mit Rainbow Tabellen bei so einem Passwort arbeiten könnte. Was würde also eine „Passwort-Versionierung“ bringen und was ist das überhaupt

1 Antwort

BeamerBen

08.07.2023, 18:26

Um ehrlich zu sein weiß ich auch nicht was genau die meinen, da kann man eigentlich nur raten.

Ansonsten stimmt die Vermutung man könne ein Passwort nicht über einen Rainbow Table ableiten auch nicht so wirklich, die Lösung wäre eine Hash Funktion zu nutzen die für Passwort Hashing vorgesehen ist wie etwa bcrypt oder eine KDF wie etwa argon2. Als Nutzer hat man da keinen direkten Einfluss drauf, sondern kann nur ein möglichst komplexes, zufälliges Passwort wählen.

Es gibt ein OWASP Cheat Sheet zu dem Thema wie man Passwörter so speichert, dass sie relativ beständig gegen Attacken nach einem Leak sind https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

"Passwort Versionierung" ist nichts was eine gänige Praxis oder Empfehlung durch Experten wäre, du kannst dein Passwort halt ändern wenn ein Leak bekannt wird - ein Leak ist aber nicht unbedingt öffentlich bekannt. Veraltete Empfehlungen (die oft einfach nachgeplappert wurden) besagen, man solle Passwörter regelmäßig ändern, kann man machen, der gänige konsens wäre eher überall einzigartige Passwörter zu nutzen die zufällig generiert und über Passwort Manager Software verwaltet werden sowie MFA.

Ähnliche Fragen

Wieso sind Passwörter noch erlaubt?

In diesem Video wird beschrieben, dass unser Stromnetz zumindest in nicht unwesentlichen Teilen (ich glaub', die haben mit einfachen Angriffen in kurzer Zeit 100MW unter ihre Kontrolle gebracht...) durch primitive Passwort-basierte Verfahren vor Angriffen geschützt ist. Dabei soll es sogar Zugänge zum öffentlichen Internet geben, die mit Standard-Passwörtern, die in öffentlich zugänglichen Anleitungen stehen, geschützt sind.

Wieso dürfen Hersteller sowas überhaupt anbieten? Man darf ja auch keine Hanfplantage haben... Jedenfalls nicht ohne strenge behördliche Kontrollen... Bei Encrochat waren ja auch schon trojanische Pferde eingebaut... Bei Garagentoröffnern auch... Wieso lässt sich noch jemand sowas verkaufen?

Wieso nicht One-Time-Pad-basierte Verfahren? Man muss ja schließlich immer mal wieder vor Ort sein und kann dann das Pad (also z. B. einen USB-Stick) austauschen... Dann wäre auch gleich diese Mainstream-Verschlüsselung (Primfaktorzerlegung, TLS und so...) vom Tisch... Na klar müsste man dafür sorgen, dass das Pad nicht blödsinnig von Hackern aufgebraucht wird (man muss ja nicht jede IP zulassen... schon gar nicht, wenn sie falsch aus dem aktuellen Pad zitiert hat...)...

...zur Frage

Wieoft WLAN Passwort ändern?

Einer unserer Zeitarbeiter, der an einem Langzeit-Projekt (er will es in einem halben Jahr schaffen...) arbeitet, hasst mich wegen der wöchentlichen Änderung des WiFi-Passworts für das Zeitarbeiter-WLAN... Ich will durch die Änderung verhindern, dass sich das Passwort iwi in der Nachbarschaft rumspricht... Iwi hat man ja eine Sorgfaltspflicht... Ich hab mir auch schon ein bash-Script geschrieben, dass die 10 APs automatisch umkonfiguriert...

Nebenfrage: Kann es sein, dass WLAN-Passwörter nach ein paar Gigabytes von einem Nachbarn geknackt werden? Ich nehme immer 8 random bytes und schicke sie durch base64... Also rainbow table geht da nicht...

...zur Frage

Kann das auf Hacker hindeuten?

Hi, ich habe per Windows Defender einen spontanen Schnelltest gemacht und habe dann plötzlich eine Meldung bekommen.

Kann das auf einen Hacker hindeuten, der mir Administrator Rechte genommen hat? Ich habe nachgeschaut, und habe sie noch. Jedoch weiß ich, dass irgend jemand anderes in meinem PC ist.

Ich habe jedoch nie was geändert oder so. Weder einen Gast Account gemacht noch einen zweiten Admin oder Konto für mein PC erstellt. Ich habe meinen PC zurückgesetzt, das Konto bzw. "MMUGMdh0ly" war immer noch vorhanden. Weiß jemand, ob es sich dabei wirklich um einem Hacker handelt, oder es nur ein Fehler oder sowas ist? Danke im voraus.

...zur Frage

Sicherste Methode Datenspeicherung auf Handy?

Ich möchte gerne verschiedene Dateitypen wie .txt, .pdf, .mp4, .mp3, .png, .jpg etc an einem zentralen Ort sicher speichern, vorzugsweise auf meinem Android-Smartphone. Mit sicher meine ich damit, dass auch niemand in den Tiefen meines Dateimanagers auf dem Handy an die Dateien kommt, in dem er/sie den richtigen Ordner findet oder so ähnlich.

Ich weiß, dass es verschiedene Möglichkeiten gibt, wie Samsung Secure Folder, auf Onedrive einen verschlüsselten Ordner erzeugen, einen normalen Ordner auf dem Handy mit einem Passwort versehen etc. etc.

Irgendwie kommen mir diese Varianten aber nicht sicher bzw. versteckt genug vor, deswegen wollte ich gerne wissen, ob Ihr Erfahrungen mit der Verschlüsselung von Dateien habt bzw. was die beste Möglichkeit dafür ist. Ich habe ebenfalls an einen eigenen Server gedacht, da mir das Programmieren nicht fern liegt.

Ich bedanke mich schonmal für eure Hilfe 😁

...zur Frage

Moin, bräuchte hilfe einen Passwortgenerator in Java zu programmieren?

Folgende Aufgabestellung:

Bitte schreibe eine Anwendung welche vom Benutzer die Länge eines zu generierenden Passworts einliest.

Anschließend soll das Programm ein zufälliges Passwort mit gegebener Länge generieren.

Beispiel: Benutzer gibt 5 ein. Das Programm berechnet ein Passwort. z.B gj4hM

Hinweis: Du kannst mit Math.random() eine Zahl zwischen 0.0 und 1.0 generieren.

Hier mein Code;

public class PasswortGenerator {

    public static void main(String[] args){

        String alphabet = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";

        int laenge = 5; 

        char[] passwort = new char[laenge];

      
        System.out.println(new String(passwort));


    }


}

...zur Frage

Passwörter verschlüsselt auf Papier, sicher genug?

Ich speichere meine Passwörter auf Papier ab, weil ich sie so auch bei einem Hard Reset des Handys weil ich die Bildschirmsperre vergesse, nicht verlieren kann. Die aufgeschriebenen Passwörter sind mit einem 7stelligen Blowfish-Schlüssel gesichert. Sieht dann in etwa so aus:

[ Lm9+JfbeUoPRMhoVOYJAFg== ]

Der Blowfish-Schlüssel steht auch auf dem Blatt, aber nicht in Klartext, sondern mit Vignere verschlüsselt. Der Vignere-Schlüssel ist eine "Sicherheitsfrage", steht also nicht als Klartext auf dem Blatt. Ich habe auch dazugeschrieben, dass es sich um Blowfish-Verschlüsselung handelt, aber diesen Hinweis mit Vignere verschlüsselt, jedoch mit einem Vignere Schlüssel, der im Klartext auf dem Blatt steht. Beide Vignere-Schlüssel sind OneTimePad. Dass es Vignere-Verschlüsselt ist, steht nicht dabei.

Wie sicher ist das Ganze? Wie kann ich das schwächste Glied ausbessern, ohne noch mehr Risiko einzugehen, beim Vergessen der "Sicherheitsantwort" nicht mehr an die Passwörter ranzukommen? z.B. Der Vignere-Schlüssel und die Sicherheitsfrage in kyrillischer Schrift und auf Englisch/in lateinischer Schrift auf Russisch?

Würde ein 0815 Einbrecher sich die Mühe machen, das zu entschlüsseln. Wie sicher müsste es sein, damit der es sein lässt?

Wie müsste das Verschlüsselt sein, damit ihr das Entschlüsseln aufgeben würdet?

...zur Frage

Welchen E-Mail Anbieter inkl. passender Android App würdet ihr empfehlen?

Hallo Leute,

vor kurzem hatte ich das Problem eines Fremdzugriffs und deshalb bin ich derzeit meine Geräte am renovieren.

Jemand hat sich Zugriff zu meiner GMX Mail verschafft, wollte bei Amazon etwas für 949 Euro bestellen, aber Amazon hat da selber geschaltet und den Fremdzugriff bemerkt, vermutlich wollte er die Adresse ändern und deshalb hat der Hacker auch mit dem Support von Amazon kommuniziert und ist, so vermute ich, dabei aufgeflogen.

Das Interessante ist, dass er scheinbar genau wusste wie viel Geld ich zu dem Zeitpunkt auf dem Konto habe,... wie geht das? Also ich nutze OnlineBank und habe die Apps von der Volksbank auf meinem Handy, aber hätte er direkten Zugriff, dann hätte er doch vermutlich mehr machen können, oder? Zudem nutze ich Finanzguru und Finanzblick von buhl für die Steuererklärungen.

Hat der Hacker eventuell über diese Apps sehen können wie viel Geld ich gerade auf diesem Konto habe? Weil auf dem Konto befanden sich 952 Euro und paar zerquetschte und er hat für genau 949 Euro bestellt.

Naja, das Ende vom Lied ist, dass ich jetzt total verunsichert bin und selbst nach einem HardReset unserer Handys und der Werkswiederherstellung meines Laptops, immer noch das Gefühl habe, dass der Hacker noch da sein könnte.

Ich habe auch das Gefühl, dass etwas mit meiner GMX App nicht stimmt, weil ich habe eine neue E-Mail am Laptop erstellt und die Zwei Faktoren Authentifizierung eingerichtet, danach habe ich die App aufs Handy geladen und das Einloggen hat ohne Zwei Faktoren Authentifizierung geklappt,.. mit dem Handy meiner Freundin hat es aber geklappt, dort musste ich den Code der Zwei Faktoren Authentifizierung eingeben. Liegt es eventuell daran, dass meine Handynummer im E-Mail Konto zur Sicherheit hinterlegt ist? Ich habe nämlich mein E-Mail Konto mit meiner Handynummer verbunden, aber eigentlich sollte er mich beim erstmaligen Login dennoch nach dem Code der Zwei Faktoren Authentifizierung fragen, oder nicht? (Übrigens, war der Herr vom GMX Support auch ratlos, weil er das noch nie gehört hat, er hat mir lediglich geraten die Zwei Faktoren Authentifizierung zu deaktivieren und erneut einzurichten. - brachte nichts.)

Auf jeden Fall dachte ich an einen Anbieterwechsel, aber die Unsicherheit bzgl. des Online-Bankings, dem Erfolg des HardReset und dem neu Aufsetzen des Laptops, ist irgendwie geblieben. Ich habe sogar schon überlegt ob der Hacker/das Virus nicht Zuflucht in der Fritzbox gefunden haben könnte, während ich die Resets durchgeführt habe.

Was meint ihr?

Und entschuldigt bitte den langen Text,.. leider kann ich mich nach so einem Erlebnis und mit all den Gedanken, echt nicht kurzfassen. :/

Danke euch und beste Grüß

Lego

...zur Frage

Sichere Passwortverwaltung?

Wie bewahrt ihr eure Passwörter sicher auf?

...zur Frage

Phising Emails und Login Versuche?

Hi, seit einiger Zeit bekommt meine Mutter jeden Tag Emails von jedesmal verschiedenen Adressen in denen Werbung für abnehmprodukte, Dating Seiten und so Phishing Zeug halt gemacht wird. Außerdem gibt es auch täglich mehrere (zum Glück fehlgeschlagene) Login Versuche. Sie hat ihre Email bei web.de ich hab schon bei https://haveibeenpwned.com nachgeschaut und da werden keine Datenlecks angezeigt.

Was können wir dagegen machen bzw, sollten wir etwas machen?

Danke schonmal für die Antwort :)

...zur Frage

Kompromittiertes Passwort?

Ich habe gerade im Browser "Safari" die Benachrichtigung bekommen, dass mein ChatGPT-Passwort kompromittiert wurde.

Wurde mein Passwort "gehackt"? Sollte ich es ändern?

Bild der Nachricht ist angehängt.

...zur Frage

RAR, WinRAR und Zip Passwort knacken oder anzeigen Online!?

Ich habe einige mit Passwort verschlüsselte

WinRAR-Dateien, dessen Passwörter mir leider

verloren gegangen sind. Und das ist ziemlich ärgerlich,

weil es für mich äußerst wichtige Dateien sind, die in

nächster Zeit entpackt werden müssen. Gibt es eine

Webseite, wo ich diese Dateien Online knacken oder

mir Online die Passwörter anzeigen lassen Kann?

Ich möchte mir auch nichts herunterladen, weil ich

dies auch nur einmal brauche!

...zur Frage

Passwort-Manager über Cloud oder besser lokal?

Z.Zt. habe ich den Passwort-Manager(PM) Bitwarden kostenlos, der lokal gespeichert ist. Vorher habe ich den PM-Avira getestet, der über Cloud gespeichert ist. Bsp. Bitwarden, KeePassXC, NordPass sollen gut sein, "aber" diese PM sind lokal gespeichert. Habe ich einen PM über Cloud, dann ist der PM überall mit unterschiedlichen PCs mit Master-PIN abrufbereit, richtig? Aber die lokal gespeicherten PM nicht, d.h. nicht überall mit anderen PCs abrufbereit.

Was passiert, wenn ich mein PC (Windows 11) verliere oder kaputt geht, auf dem der PM Bitwarden (lokal gespeichert, nicht Cloud) drauf ist? Aaaalles weg??😫😨😱

...zur Frage

Passwörter App für Android?

Habt ihr eine kostenlose und seriöse App um Passwörter zu speichern. (10-15Passwörter).

Die App müsste dann auch bitte übertragbar sein. (Das ich mich einfach anmelden und alle Passwörter habe falls ich keine Zugriff mehr auf das Gerät habe.

Gibt es auch eine andere Möglichkeit als eine App?

...zur Frage

Wie verwaltet ihr eure Passwörter?

Verwendet ihr einen Passwortmanager, eine Textdatei oder einfach Papier?

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen