Warum wird immer 2FA ignoriert/verschwiegen?

Mon, 26 Oct 2020 15:21:26 +0100

buckaroo@hub.netzgemeinde.eu

Warum wird immer wieder auf starke Passwörter (wobei unleserliche, "starke" Passwörter wie "(60H+(&CoY" keinesfalls sicherer als
"aib1rowee5uk0Cha" sind) hingewiesen, aber das weit stärkere Sicherungsmerkmal - nämlich 2FA - einfach verschwiegen? Vermutlich liegt es daran dass Sicherheitsempfehlungen Jahrzehnte brauchen bis sie in die Öffentlichkeit dringen, hat ja auch lange genug gedauert dass der unsägliche und sinnlose regelmäßige Passwortwechsel als nicht hilfreich anerkennt wurde (auch schon seit X Jahren bekannt). Bei dem Tempo dauert es sicher wieder etliche Jahre bis die schwachsinnige SIcherheitsfrage auch verschwindet..

Kampagne für starke Passwörter gestartet

Dass das Passwort 1234 nicht sonderlich sicher ist, hat sich inzwischen herumgesprochen. Dennoch rufen Polizei und Verbraucherschützer zur Nutzung stärkerer Schutzwörter auf.

deutsch

show all 15 comments

Mon, 26 Oct 2020 16:09:43 +0100

Marcus Wißmann

marcuse@hub.netzgemeinde.eu

Mal von 2FA und Dingen wie Entropie abgesehen: Der Schlüsselraum ist Zeichenraumgröße^Passwortlänge groß, daher ist klar, dass es sinnvoller ist, den Exponenten zu vergrößern statt die Basis: Möglichst kryptische Zeichen zu verwenden bringt also wenig. Wenn man Passwortmanager benutzt und die Passwörter sowieso automatisch genieren und ausfüllen lässt, einfach möglichst lange Passwörter generieren lassen, so 24+ Zeichen ist bzgl. Brute Force auf jeden Fall sicher.

Mon, 26 Oct 2020 16:20:58 +0100

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

Das Problem ist auch gar nicht die Schlüssellange oder brute force (das geht sowieso nicht remote), sondern eher für jede Seite ein anderes Passwort zu nutzen - stark/schwach mal beiseite.

Die meisten Passwörter werden ja nicht remote per brute force.geknackt sondern durch Sicherheitslücken in den jeweiligen Sites mit Klaus der Passwortdatenbank. Und hier ist dann die eigentliche Gefahr: Wenn das selbe Password (ohne 2FA) dann woanders genutzt wird könnte es bitter werden.

Mon, 26 Oct 2020 16:25:51 +0100

Marcus Wißmann

marcuse@hub.netzgemeinde.eu

Aber die Passwortdatenbank ist ja in der Regel nicht im Klartext, sondern als Hashwert gespeichert. Und zum Hashwert muss man dann per Brute-Force das (bzw. ein) zugehörige Passwort berechnen. Nur mit dem Hashwert kann ich mich ja nicht einloggen.

Mon, 26 Oct 2020 16:29:57 +0100

Rainer "pluspora.com" Sokoll

rainer@pluspora.com

Mein Paßwort ist bei jedem Dienst $(pwgen 16 1)…

2FA hat manchmal Tücken, nämlich App-Paßwörter. Wer seine NextCloud mit 2FA sichert und dabei noch WebDAV, CalDAV verwendet, möglichst mit mehreren Geräten, weiß ein Lied davon zu singen. Ja, es funktioniert, aber mit einigem Aufwand. Als Anbieter würde ich nicht unbedingt die Nutzer supporten wollen dabei… Solange es freilich nur um Browserzugriffe geht, sollte 2FA in irgendeiner Form wo es angeboten wird, auch genutzt werden.

// esoterisch: auf unserem Familienserver läuft auch ein Gitlab (mit 2FA natürlich) irgendwann hatte ich dann, weil ich sehen wollte, wie das geht, den ssh-Zugang mit 2FA verriegelt (ging ganz einfach) Das ist bei key-Auth natürlich Schwachsinn, aber was solls. Danach ging das Backup (rsnapshot) nicht mehr, und git-over-ssh natürlich auch nicht. Habe es wieder ausgebaut.

Mon, 26 Oct 2020 16:29:59 +0100

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

Stimmt, aber wenn ein Angreifer an die Passwort-Datenbank kommt dann hat er in der Regel eh' vollen weiteren Zugriff auf die Seite und kann in die Konten der User rein, egal ob schwaches oder starkes Passwort. Und wenn das Passwort schwach war ist das nur dann schlimm wenn es noch woanders genutzt wird.

Mon, 26 Oct 2020 16:32:42 +0100

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

@Rainer "diaspora" Sokoll pwgen (je nach dem 16 oder 24) nutze ich auch bei jeder neuen Site ?Wenn 2FA angeboten wird dann aktiviere ich es immer

Mon, 26 Oct 2020 16:36:58 +0100

Marcus Wißmann

marcuse@hub.netzgemeinde.eu

@Mark Nowiasz

Stimmt, aber wenn ein Angreifer an die Passwort-Datenbank kommt dann hat er in der Regel eh' vollen weiteren Zugriff auf die Seite und kann in die Konten der User rein, egal ob schwaches oder starkes Passwort.

Dann ist aber auch 2FA unwirksam. Dennoch: Immer häufiger sieht man ja Fälle, wo unbemerkt die Passwortdatenbank entwendet wird und z.B. weiterverkauft wird. Und dagegen helfen auf jeden Fall starke Passwörter.

Mon, 26 Oct 2020 16:37:29 +0100

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

Was auch immer wieder schön ist: man erzeugt mit pwgen 24 ein 24 stelliges Passwort - das nicht akzeptiert ist, weil die Länge völlig egal ist, Hauptsache man erfüllt die Heiligen Passwortregeln (gerne von Consultants vorgeschrieben, ebenfalls die schwachsinnige Sicherheitsabfrage) und es ist ein Sonderzeichen usw drin.

Mon, 26 Oct 2020 16:44:50 +0100

Marcus Wißmann

marcuse@hub.netzgemeinde.eu

@Mark Nowiasz

Hauptsache man erfüllt die Heiligen Passwortregeln

Eben, daher mein Hinweis, dass Passwortlänge wichtiger als Zeichenraumgröße ist. :laughing:

Mon, 26 Oct 2020 16:52:29 +0100

Rainer "pluspora.com" Sokoll

rainer@pluspora.com

Mich wundert ja, daß noch niemand den Klassiker brachte ;-)

Bild/Foto

Mon, 26 Oct 2020 16:58:54 +0100

Marcus Wißmann

marcuse@hub.netzgemeinde.eu

Was auch schön ist: Man generiert ein langes Passwort (32 Zeichen) und legt damit online ein Account an. Dass der Dienst nur 30 Zeichen als max. Länge akzeptiert steht zwar irgendwo aber es kommt keine Warnung, stattdessen werden die letzten beiden Zeichen unbemerkt ignoriert. Will man sich nun einloggen berechnet er aber aus den vollen 32 Zeichen den Hash, weil er dort *nicht* abschneidet. Alles schon erlebt!

Tue, 27 Oct 2020 21:21:18 +0100

@Marcus Wißmann Oh ja.
Und diese Verzweiflung, wenn ich eine Passphrase, die ich mir gut merken kann eindampfen muß auf maximal xy Zeichen, die ich mir durch die Kompromisse prompt nicht mehr merken kann.
Freude über Freude ...

Sat, 31 Oct 2020 01:58:20 +0100

B n b　 (m ved t　nerdp l.ch)

bonobo@pluspora.com

Off-Topic, aber … beste Wünsche :-) Gesundheit (!) und Glück!

Sat, 31 Oct 2020 06:25:17 +0100

Christoph S

christophs@pluspora.com

@Rainer "diaspora" Sokoll war auch neulich mein erster Gedanke als ich von der Kampagne gehört habe. Aber unsere cyber Experten kennen das nicht

Sat, 31 Oct 2020 12:41:46 +0100

Sven Türpe

tuerpe@pluspora.com

Was gehört neben 2FA, Passwortmanager, Recyclingverbot und Nutzlosigkeit der Passwortkompression noch in aktuelle volkstümliche Empfehlungen zur Sicherheit von Online-Accounts? Federated Identity bevorzugen? Sinnvoller Umgang mit Account-Recovery-Mechanismen, guten wie schlechten? Phishing-Abwehr? Zwangsabmeldung von Clients?