#bruteforce

aktionfsa@diasp.eu

24.11.2023 So viele Passwörter merken?

Scheitern an der Menge der Passwörter?

Beim Stöbern sind wir gerade bei geatpocket von Mozilla in Zusammenarbeit mit Heise Security über eine Sammlung von Links zum Thema Passwörter gestoßen, die wir hiermit gern bekannt machen wollen. Denn Jede/r kennt inzwischen das Problem, dass man sich auf irgendeiner Webseite anmelden soll und sich dafür einen Usernamen und ein Passwort ausdenken und eingeben soll.

Was tun?

... fragte schon Lenin und gab auch gleich Antworten darauf - das möchten wir auch tun.

  • Nicht für verschiedene Anwendungen die gleichen Anmeldedaten verwenden.
  • Nicht die Anmeldedaten auf irgendwelchen Zetteln oder gar in einer unverschlüsselten Datei auf PC oder Smartphone sammeln.
  • Auch nicht den angeblich vertrauenwürdigen Clouds der BIG5 zum Ablegen von Anmeldedaten vertrauen.
  • Nicht auf Webseiten hereinfallen, die angeblich prüfen ob das eigenen Passwort sicher oder bereits "geknackt" wurde. (Ausnahme: s.u.)
  • Anmeldedaten, bestehend aus der URL, dem Nutzernamen und dem Passwort, lassen sich leicht in einem Passworttresor, wie z.B. KeePassX, ablegen und sind dann auf Knopfdruck (Ctrl c) einsetzbar. Nur zum Öffnen des Tresors muss man sich ein möglichst gutes Passwort merken.
  • PassKeys verwenden (s.u.)

Dazu verweist der Artikel auf Passwörter sind ein Auslaufmodell und schreibt: Jürgen Schmidt erklärt, warum Passwörter kaputt sind und warum auch die oft gepriesene Zwei-Faktor-Authentifizierung das nicht retten kann. In Passwort-Manager in der Praxis sind noch andere Programme/Möglichkeiten erklärt.

Hier die Ausnahme zum Passwort testen (s.o.): ob deine digitale Identität durch ein Datenleck im Netz gelandet ist, kannst du über den „Identity Leak Checker” prüfen. Im Gegensatz zu anderen Websites dieser Art soll der Service des Hasso-Plattner-Instituts vollkommen DSGVO-konform arbeiten.

Wie lang soll ein Passwort sein?

6-8 Zeichen sind in wenigen Sekunden geknackt. Bis vor kurzer Zeit gingen wir noch von 12 Zeichen aus, nun sollten es eher 14-16 Zeichen sein. Das bedeutet auch, dass man sich den Zeichensalat z.B. nur noch als Anfangsbuchstaben eines Satzes oder Gedichts merken kann. Also auch hier führt kein Weg an einem Passworttresor vorbei. Das hier verlinkte Bild ist jedenfalls nach 6 Jahren keinesfalls mehr aktuell https://www.aktion-freiheitstattangst.org/images/ext/PasswordHackZeit.jpg

Hinzu kommt, dass sich Passwörter mit Unterstützung künstlicher Intelligenz teilweise schneller knacken lassen als dem bisher üblichen "Ausprobieren" (Brute Force). Die Autoren des verlinkten Artikels kamen zu dem Schluss, dass sich die Hälfte der gängigen Passwörter mit KI in unter einer Minute knacken ließen.

Und schließlich der Artikel über Passkeys: Wie ein Account ohne Passwort funktioniert beschreibt, wie etwas einfacher und trotzdem sicherer werden kann.

Mehr dazu bei https://getpocket.com/de/collections/passwoerter-so-bewegst-du-dich-sicher-im-netz
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xt
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8596-20231124-so-viele-passwoerter-merken.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8596-20231124-so-viele-passwoerter-merken.html
Tags: #Passwörter #Passkey #Passworttresor #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Cyberwar #Hacking #Trojaner #BruteForce #Privatsphäre #Verhaltensänderung #Big5 #GAFAM

utzer@social.yl.ms

#Webtropia hat vor 2 Tage einen #Server der #Piratenpartei #NRW abgeschaltet wegen angeblicher nicht beantworteter #Abuse Tickets. Der Server ist der #Tor #Exit, der seit Jahren immer mal wieder kurzzeitig gesperrt wurde, aber jetzt hat so ein #Schlangenöl Anbieter für #Blacklists (#UCE oder so) wohl das ganze /24 Subnet in dem der Server ist gesperrt, weil em ja irgendwer #SSH #Bruteforce und #Wordpress Logins durchprobiert.

#Blacklists in der Art sind eine Seuche und nutzlos, wenn ihr nen Server schützen wollt, dann müsst ihr als Betreiber den sicher machen und solche Attacken erkennen und dann die Angreifer aussperren. Schlangenöl hilft da nicht, wenn die Attacke ist ja schon vorbei wenn eine IP in der Liste gelandet ist.

#Webtropia gehört zu #myloc und die gehören wiederum seit 2020 zu #WIIT oder so. Sie reagieren jetzt einfach nicht mehr auf #Tickets wie es scheint.

Was nun? Geld nehmen sie, aber Server ist abgeschaltet. #Webtropia #Webtropia