10 Milliarden Passwörter geleakt - Hack-Datei rockyou2024.txt im Detail
Wir schauen uns die geleakte Passwörter-Datei Rockyou2024.txt genauer an. Ist sie echt? Sind eure Passwörter in Gefahr?
► Wenn ihr Actuarium fördern wollt, freue ich mich über jede Unterstützung.
Abo abschließen bei Patreon: / actuarium
► Oder direkt Unterstützung per Paypal: huseyin@mmnetz.de (als Verwendungszweck bitte "Schenkung für Actuarium" angeben).
► Kein Video mehr verpassen mit dem Telegram-Kanal von Actuarium (inkl. Diskussionsrunde): t.me/actuarium
Пікірлер: 453
Perfekt hab mein Passwort vergessen 🚬
Ich freue mich riesig du hast 🎉500000 Abonnements 🎉🎉 Dankeschön für deine tollen wertvollen Videos 👍🏼
@marioluigi2556
21 күн бұрын
50.000 nicht 500.000 😂😂
@sonihertling6741
21 күн бұрын
@@marioluigi2556 Ohja 🤣 Dankeschön 🤗🤗🤗👍🏼
@Animals.Diaries
21 күн бұрын
Der verdient 500k Abos aber rassistentube lässt sowas nicht zu der sollte lieber tiktok und Chinesen unterstützen dann kann man den neuen WO beschleunigen. 😂🎉
@borntoclimb7116
21 күн бұрын
@@marioluigi2556 so ist es
@fantumde
20 күн бұрын
Noch nie so einen Quatsch gehört😂🤦@@Animals.Diaries
schön dass du dich auch für Technik interessierst. Das erklärt die sachliche Auseinandersetzung mit gesellschaftlichen Themen.
Congrats zu 50.000 Abos! Hast du verdient, machst super Arbeit 👍🏾🙏🏾
@BStrangez
13 күн бұрын
noch 50.000 dann schaltet sich der Verfassungsschutz ein 😂
Respekt. Mal ein Video, dem ich unabhängig Folgen und nachprüfen konnte. Mehr davor. Auch die Erklärungen zur Kryptographie waren in diesem Rahmen gut gewählt. Ehre wo Ehre gebührt.
Immerwieder ein Genuss. Super Video 👍 (wie immer)
Danke für die Arbeit/Mühe! Sehr interessant.
2027: 10 Milliarden unfreiwillige Windows Recal User Screenshots geleakt.
Danke ❤ für den nützlichen Beitrag 👍
Du bist so krass! Ich liebe intelligente Menschen. Werde jetzt mal meine Passwörter ändern... Danke❣
15:45 Wenn mir ein Dienst einen Passwort-Reminder mit dem Klartextpasswort schickt, dann weiß ich mit Sicherheit, dass das Passwort nicht verschlüsselt gespeichert ist. Oder auch: Ein Freund berichtete mir, dass er bei einer Plattform angemeldet war und sein Passwort nach einer Softwareumstellung bei der Plattform von 10 auf 8 Zeichen gekürzt wurde. Wenn die Plattform das kann, dann kann muss sie das Passwort ebenfalls im Klartext gespeichert haben. Ein Positiv-Beweis, dass eine Plattform Hashes einsetzt - oder eigentlich Stand der Technik, Hashes mit Salz oder Pfeffer - ist wahrscheinlich nicht möglich.
@fh4715
21 күн бұрын
oder einfach "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" als passwort nehmen und warten, ob sich wer meldet, dass man sein passwort ändern soll.
@Ecovictorian
20 күн бұрын
Welcher Dienst schickt den ein Passwort-Reminder im Klartext?
@sudoGetBrainInstall
20 күн бұрын
@@Ecovictorianwahrscheinlich so ein spezial Service den du nur in China von staatlich geprüften unternehmen bekommst ^^
@amigalemming
20 күн бұрын
@@Ecovictorian verschiedene Mailinglisten
@manuakasam
20 күн бұрын
In dem Fall übrigens direkt Anzeige erstatten, weil das Fahrlässigkeit ist und auch überhaupt nicht erlaubt ist. Es ist klare Vorgabe, dass Passwörter nicht im Klartext gespeichert werden dürfen. Datenschutzgesetz und so.
Achja, so wünscht man sich Videos! Danke
@I_Stern
20 күн бұрын
Der Leak ist locker 4 Tage alt. 😆
Danke für die Info
Wieder ein super Video. Danke für die Aufklärung mein Lieber 👍
Vor 30 Jahren, als ich mit dem Computer angefangen habe, da waren die meisten Passwörter ganz leicht zu erraten, wenn man etwas über die betreffende Person wußte. Damals haben sich die Leute nicht einmal die Mühe gemacht, zb vor oder hinter dem Namen des Haustieres ein paar Sonderzeichen zu setzen. 😀
Informatiker hier, besser erklärt als meine Dozenten
@KommissarKong
19 күн бұрын
Ohne Witz xD
@Blob-qo5iq
19 күн бұрын
War aber doch etwas ungenau
@zambaronitrodo8833
18 күн бұрын
@@psy237 Er ist Informatiker und du?
@xamidi
13 күн бұрын
Bin auch Informatiker, und so etwas wurde uns überhaupt nicht erklärt. Informatik ist schließlich weit mehr als ein bisschen IT oder Kryptographie. Hashfunktionen hatten wir in keinem Fach (aber ich wusste natürlich trotzdem was sie sind und wie sie funktionieren, u.a. weil man sich so simples Zeugs üblicherweise am Rande selbst beibringt).
@patrickFREE.
13 күн бұрын
@@psy237 meine Intention war es ihm ein Kompliment zu zusprechen. Einige unserer Professoren haben extremes geleistet, das bedeutet, aber nicht, dass sie es auch gut lehren können.
deine Arbeit ist hoch geschätzt. Vielen vielen Dank.
Danke für diesen informativen und verständlichen Vortrag für Laien, wie mich! 👍
VERTRAUEN KÖNNEN IST SEHR RAR GEWORDEN DANKE DIR
Nettes Video und auch richtig das so zu zeigen. Aber sag mal: hattest du gegen ende des Videos irgendwie eine Sturmfront in der Wohnung?
Danke für deine Arbeit
Hallo Huseyin, einen wirklichen Mehrwert für uns Zuschauer hättest Du jetzt doch auch schaffen können: erklären, wie man an diese Datei kommt und wie man diese auf seinem eigenen Rechner dann nach seinen eigenen Passwörtern durchsuchen kann. Oder sehe ich das falsch? viele Grüße
Danke fürs aufklären
Woher kriege ich diese liste ich möchte nachschauen ob meine passwörter dort drin sind? Ich nutze zwar seit geraumer Zeit bitwarden als Passwort Menager aber ich habe natürlich nie und nimmer alle accounts das passwort gewechselt. Nur bei den wichtigsten. Es wäre mir also ein anliegen nachzuschlagen ob gewisse passwörter von mir dabei sind.
In welcher Sprache hast du das Programm geschrieben?
Kannst Du uns bitte den Download-Link zur Verfügung stellen.
@OpenGL4ever
19 күн бұрын
Und bitte nicht als Torrent oder vergleichbarem.
"Tippen Sie ihr Passwort ein um zu prüfen, ob es irgendwo verwendet wird" - tolle Idee :D
Falls Password Manager - welchen wuerdet Ihr empfehlen (bzw. von welchem eher abraten)?
Verzeihung für den verrauschten Ton ganz zum Schluss. Da wollte jemand offenbar mein Mikro hacken :) Korrektur von Versprecher bei 2:35: Der kleine Ausschnitt hat natürlich 200 Megabyte, nicht Gigabyte.
@fusunwerner8218
21 күн бұрын
Kein Video zu den Wahlen im İran ???
@anemoland7290
21 күн бұрын
50000❤
@FirstLast-is9xe
21 күн бұрын
WIESO gibt es keine Link?
@_legend_5594
21 күн бұрын
Ich bin der einzige der regelmäßig versucht meine Passwörter zu knacken 👀
@FirstLast-is9xe
21 күн бұрын
@@_legend_5594 Nö, ich mache das pausenlos, auch über Check-Funktionen bei Password-Managern, aber auch über Dateien. Gibt's also den Link als Nachschlag? 🤗
Ich wusste das du einen mathematischen Hintergrund hast, aber hast du auch was in der Informatik gemacht?
Das beste, wenn das Master Passwort vom Passwort Manager in dieser Liste ist
Lauter Duplikate selbst in diesem kleinen Abschnitt, würde ein echter Hacker das so hochladen?
Danke Actuarium. Wie immer top Level. Wie gut du bist zeigen die neidischen Kommentare. Mach weiter so👏👍🙏
Kann ich auf irgendeiner Seite nach meinem PW bzw den ersten Buchstaben suchen?
145.25 GB ach du scheiße
Sehr informativ. Was mich am Video extrem stört, das ist das Rauschen und Knacken, da es sehr laut ist und teilweise über der Stimme liegt.
2:30 Du meinst "nur 200 MB" oder? 200 GB wäre ja mehr als die entpackte Gesamtdatei.
@OpenGL4ever
19 күн бұрын
Er sagt, es sind 10 Mrd Einträge. Wenn du Pi mal Daumen annimmst, dass die Passwörter im Schnitt eine Länge von 9 Zeichen haben und nur aus ASCII Zeichen bestehen und mit einem line feed als Zeilenabschluss enden, dann sind das entpackt allein schon ca. (10*10^9*(9+1)+1)/1024^3 = 93,13 GiB an reinen Textdaten. Sollten die PW länger sein oder noch Unicodezeichen enthalten, dann werden es natürlich noch mehr Daten. Also nein, 200 MiB ist zu wenig und kann daher nicht stimmen.
@barneyharper8749
12 күн бұрын
Die Datei ist 50gb groß im gezipten Zustand
@Kriegstreiber
9 күн бұрын
Vermutlich meint er 200 MB. Ich habe mich genauso gewundert.
@OpenGL4ever
8 күн бұрын
@@Kriegstreiber Ich hab es euch doch oben vorgerechnet, dass 200 MiB grundfalsch sind. Es sind GiB. Bedankt euch bei den Altparteien und ihrem NetzDG, wenn ihr das obige Kommentar nicht lesen dürft.
Gutes Video! Würde auch gerne ein bisschen in der Datei rum suchen 🙂
Ein Passwort Manager ist tatsächlich sicherer als das Speichern im Browser? Wo speichert es der Passwort-Manager?
Wo kann man sich diese Liste herunterladen?
@allesdurchprobiert
20 күн бұрын
Google einfach den Dateinamen. Das blöde ist, dass KZreads AutoZensur (meistens?) alle Kommentare mit Link sofort löscht. Wie bei mir gerade.
3:55 Ich wusste gar nicht, dass du programmieren kannst. Aber es gibt schon "grep". Oder "rg" wenn mans effizienter haben will.
@jorgschmela7737
21 күн бұрын
Genau so würde ich hier, unter *GNU/Linux* auch eine Datei durchsuchen, dafür ist *grep* gemacht, z.B.: grep -E '*admin*|*12345678|*password|passwort' passwortdatei.txt Das Ganze dann aber gleich noch lesbarer in der Ausgabe: grep SUCHSTRING passwortdatei | less oder gleich die Datei in mehrere, "handliche" Dateien splitten
@mrcvry
21 күн бұрын
Er hat nur Windows. 😂
@allesdurchprobiert
20 күн бұрын
@@mrcvryOder er denkt etwas weiter und weiß dass die meisten Windows nutzen. Wobei, grep müsste es auch für Windows geben...
barakallahu feekum
Kannst du mal bitte das Script zum durchsuchen teilen? Das wäre recht hilfreich um zu verifizieren ob man betroffen ist oder nicht.
@mrcvry
21 күн бұрын
Webseite Have I been Pwned macht das viel einfacher. Die haben alle Leaks.
Subhan Allah 🌷 Dankeschön für das hilfreiche Video . Es ist war , wo ein neues Sicherheitssystem erfunden wird , stehen die " Gauner " schon bereit um den passenden " Schlüssel" nachzumachen . Ja , das Böse schläft nie!
link?
Nices Video 😊
wo kann man diese Liste bekommen ? Ob meine Passwort auch dabei ist.
Aber ist es nicht egal wie stark mein Passwort ist wenn es durch schlechte Implementierung im Klartext verschickt oder gespeichert wird und dadurch am Ende in der Liste auftaucht? Die Schwachstelle ist ja bei dieser Liste nicht mein Passwort.
@StyleTechnique
20 күн бұрын
Such mal nach: "Hinweise zum Umgang mit Passwörtern" Nein, es ist nicht egal, denn das "wenn" darf nicht sein. Ist es trotzdem, ist es strafbar für jene. Aus diesem, ähnlichen und/oder anderen Gründen kann und konnten ja so viele Menschen gegen Facebook und Co Schadensersatzansprüche geltend machen.
@Blob-qo5iq
19 күн бұрын
Doch ist es, wenn du das Passwort immer wieder benutzt. State-of-the-art wäre, IMMER komplexe VERSCHIEDENE Passwörter, welche ZUFALLSGENERIERT sind, für jeden Dienst zu benutzen. Wenn dann einer gehackt wird ist es zwar blöd, aber mitigiert jeglichen weiteren schaden.
@kaimildner2153
19 күн бұрын
@@Blob-qo5iq Da geb ich dir recht. Immer das gleiche zu verwenden ist dann halt der Knackpunkt. Aber die Komplexität spielt hierbei keine Rolle, wenn sie geleakt werden. Das siehst du ja auch gut im Video mit dem "admin" Beispiel. Da stehen auch lange kryptische Zeichenketten drinne. Wäre das mein Passwort, dann wäre das super komplex, aber trotzdem nicht mehr sicher.
@aaaooaao9949
19 күн бұрын
@@kaimildner2153 Da kommst aber wieder Du ins Spiel - wenn Du alle Monat Deine Passworte änderst, können Diese zwar immer noch geleekt werden, sind aber nach einem Monat Kartei-Leichen. Die 'menschlichen' Passworte in dieser Liste werden hundertfach benutzt - die Kreativität vor und nach 'admin' noch 123 anzuhängen, ist weiter verbreitet ;)
@OpenGL4ever
19 күн бұрын
Auf der Webseite wie bspw. die von Troy Hunt wird dir durch die Hashs nicht gesagt, wo die Passwörter gestohlen wurden. Deswegen macht es Sinn ein möglichst langes und komplexes Passwort zu verwenden. Die Wahrscheinlichkeit, dass jemand anderes auch so ein Passwort generiert und verwendet ist dann sehr gering. Dadurch kannst du dann allein durch die Hashs darauf zurückschließen, wo dein Passwort gestohlen wurde. Das setzt aber natürlich voraus, dass du überall ein anderes Passwort verwendest.
Was!?! Mein super komplexes Passwort "passwort1" ist auch auf der Liste? Sollte ich jetzt auf passwort2 wechseln?
@ThomasHD25
20 күн бұрын
am besten paar überspringen ab 5 würd ich starten das kann man länger verwenden
@allesdurchprobiert
20 күн бұрын
Ich würde einfach dein Geburtsjahr dranhängen. Und mit Punkt dazwischen. Das können dann nur noch Geheimdienste und russische Profihacker knacken. Hat Patrick mir verraten 😂
@AmadeuShinChan
20 күн бұрын
Ganz gefunkelt nochmal Passwort1 verwenden, damit rechnet nicht mal ein Quantum computer
Fein, da hat man doch Trainingsmaterial für die Bloomfilter für Passwortsicherheitsbewerter.
Was bringen eig. die groß klein buchstaben mit zahlen und zeichen, wenns eh gehackt wird
@jorgschmela7737
21 күн бұрын
Die miesten, gut gehosteten, Server lassen nur eine begrenzte Anzahl an Verscuhen zu, dann kommt eine Wartezeit für die zugreiffende IP-Adresse und diese verlängert sich mit jedem weiteren Fehlversuch. Also kann man nicht in kürzester Zeit "mal eben" Millionen Passwörter testen.
@LukasLindner
19 күн бұрын
wenn ein Dienst wie im Video erklärt korrekte sichere Hashes verwendet, wird das Passwort im Klartext nicht den Server verlassen. Dann kann es aber immer noch gebruteforced werden, d.h. alle möglichen Kombinationen werden durchprobiert. Durch Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen steigt die mögliche Auswahl für jede Stelle im Passwort um einiges an und das rechnet sich hoch. Es sind viiiel mehr Kombinationen möglich, was Bruteforce deutlich schwerer macht. Ist auch immer ein Warnzeichen, wenn der Dienst keine Sonderzeichen im Passeort zulässt. Oder eine maximale Zeichenlänge von 12 oder so vorgibt.
@marcushausch
18 күн бұрын
Wenn du ein PW mit 10 zeichen aber nur Zahlen verwendest, sind es maximal 10 hoch 10 Möglichkeiten, also 10000000000 Möglichkeiten. Sich zu deinem Hashwert alle Möglichen Hashwerte von 1 bis 10000000000 zu erstellen ist mit Computern ein Klacks, nach 1 Sekunde hat man dein Passwort aus einem Hashwert gebruteforced. Nimmst Du noch Buchstaben dazu sind wir bei 36 hoch 10 Möglichkeiten = 2,6E15 Möglichen Kombinationen, schon besser. Nimmt man alle Möglichen Zeichen bekommt man 256 hoch 10 Möglichkeiten = 1,2E24 Nimmt man ein doppelt so langes PW 256 hoch 20 Möglichkeiten = 1,4E48 Eine Liste für einen Brute Force Angriff benötigt dafür ca 2,9E34 Petabyte Speicherplatz, was technisch die Möglichkeiten sprengt. In der Kryptographie ist Mathematik dein bester Kumpan. Maximale Basis (Verwendete Zeichen) hoch Passwortlänge = Möglichkeiten, und irgendwann , s.o. gibt es dann so viele PW Möglichkeiten, da ist eine 150GB Passwortliste ein Witz dagegen.
wo kann ich die Datei runterladen und wie kann ich sie so durchsuchen, wie du es im Video machst?
Ich hätte aber schon gerne erfahren wo ich mir die Liste ziehen kann. 8:35 Mit Hashcodes kann man schon -zu einem gewissen Grad- was anfangen, wenn man Rainbow Tables benutzt, gerade wenn sie nicht "gesalzen" (salted) wurden. Ich nehme mal an, dass du die non-salted hashes als "falsch implementiert" meinst.
Datei bitte Uploaden, brauche das für ein Schild Projekt, danke
Wo kann ich die Liste herunterladen?
@mendereskentmen3563
21 күн бұрын
Internet
@runtime_error211
21 күн бұрын
github
@xFanexx_
21 күн бұрын
GitHub, per Magnet/ Torrent. Ich weiss nicht wie legal das ist, aber ich waere vorsichtig dabei.
@PaulBaumann-eg8eb
21 күн бұрын
@@mendereskentmen3563 ja, in diesem Internet habe ich es auch gefunden.
@allesdurchprobiert
20 күн бұрын
Gepostete Links werden von KZread irgendwie fast immer sofort gelöscht. Unabhängig vom Thema. Vielleicht hatten dir schon 10 Leute geantwortet.
Die Zahl, die du Random bei 12:40 eingetippt hast, -ist- war mein Passwort. Danke für das Video! :)
@duenyaduenya2056
21 күн бұрын
Echt? 😮
@iamwitchergeraltofrivia9670
21 күн бұрын
Hahahahahhahahhah
@mrcvry
21 күн бұрын
Ja. Ist meine Hausnummer. Sonst total sicher - ich schwör! 😮
Heftig einfach nur heftig
Gibt's die Liste zum checken ob eigene da stehen?🤔
Wie lange würde es denn dauern um diese ganze Liste, bei einem gezielten Account, einmal komplett durchzuprüfen, ob zufällig das Account-Passwort enthalten ist?
@maLvana
18 күн бұрын
Kommt auf deine Hardware an. NVMe im Raid müsste wohl ziemlich schnell gehen, da bräuchts imho nicht mal ne starke CPU.
in welchem editor öffnet man so eine datei die sie dann auch so als liste wieder gibt nicht verschlüsselt oder so ?
@obiwann181
7 күн бұрын
welchen editor benutzt er
8:00 man kann sie nicht zurückrechnen das heißt aber trotzdem nicht das man sie nicht knacken kann. Deshalb Passwörter zusätzlich zum hashen, mit einem salt versehen...
Wenn die benutzte E-Mail Adresse unbekannt ist (und selbst eventuell kompliziert ist) und die bei einer Seite verwendet werden muss zum einloggen (anstatt des Benutzernamens), müsste man eigentlich etwas außer Gefahr sein, selbst wenn eine Passwortliste existiert mit dem richtigen Passwort. Zur Sicherheit sollte man sein Passwort aber dennoch ändern. Das war nicht als Entwarnung gemeint.^^
@Actuarium
21 күн бұрын
Würde dringend davon abraten, die Mailadresse als Sicherheitsfaktor einfließen zu lassen.
@mrcvry
21 күн бұрын
Ich verwende seit ca. 20 Jahren überall eine einzigartige Email Adresse. Proton Pass hat das inzwischen sogar schon eingebaut.
@matthiask.6031
17 күн бұрын
Man muss davon ausgehen, dass der *Ersteller* der Liste auch die zugehörigen Anmeldenamen hat. Warum sollte jemand bei einem gehackten Dienst nur die Passwörter klauen, die Anmeldenamen aber nicht mitkopieren...? Das wäre ja völlig weltfremd. Die Veröffentlichung der reinen Passwortliste ist vermutlich eine Art Marketingkampagne für den Verkauf der vollständigen Daten.
@mrcvry
17 күн бұрын
@@matthiask.6031 So funktioniert das nicht. Wenn du das Passwort für ein Konto suchst, probierst du erst mal die häufig verwendeten Passwörter durch. Jede mögliche Kombination zu probieren, dauert sonst 3.6 fantastilarden Jahre. So viel Zeit hat doch keiner!
Wo kann ich die Datei laden?
@Yadlina
21 күн бұрын
github.
@studioDKislam
21 күн бұрын
magnet:?xt=urn:btih:4e3915a8ecf6bc174687533d93975b1ff0bde38a
So eine Liste kann ich auch mit ein Passwort Generator erstellen da brauch ich kein Hacker sein
@Blob-qo5iq
19 күн бұрын
Er hat ja im Video mehrere Hinweise dazu gezeigt, dass diese eben nicht generiert wurde
Vielen Dank
2:28 Doch das geht mit den richtigen Editors, z.B. mit EmEditor oder BssEditor. Als Informatiker mit Bezug zum High-Performance Computing arbeite ich von Berufs wegen öfters mit noch größeren (automatisch generierten) Textdateien.
Wähle dein Passwort aus dem Ende der Liste und du bist auf der sicheren Seite, was Brute-Force Angriffe betrifft.😁
Aufschlussreiche.
Auch immer wieder spooky, wenn Dienstanbieter bei der Funktion "Passwort vergessen" einem das gesetzte Passwort in plain text zusenden... 😱
2FA!! MFA!
@SchoenbuchKarl
21 күн бұрын
Hat halt nicht jeder
@enginanil5412
20 күн бұрын
Was ist MFA?
@lukaskrutsch
20 күн бұрын
@@enginanil5412 Multi-Faktor-Authentifizierung
Wenn ich das richtig sehe, ist die Datei nicht um Doubletten bereinigt. In den von dir gezeigten Beispielen spielt das keine große Rolle, aber es dürfte einige Passwörter geben, die viele Millionen Doubletten haben. Wie viele Passwörter sind es denn um Doubletten bereinigt?
Schade, dass die Liste vom Herausgeber nicht auf Doubletten geprüft wurde. Ich erkenne bei deinem Auszug schon auf den ersten Blick so einige. Auch die Hashcodes hätte man entfernen können, wie von dir bereits angesprochen.
Mich interessiert, ob es sich einfach nur um 10 Mrd Worte handelt, die da aufgelistet sind oder ob sie auch einzigartig und sortiert sind. Hat das jemand überprüft ?
Man kann sein Passwort ja auf einer der entsprechenden Internetseiten eingeben nachdem man es geändert hat, falls man neugierig ist, ob es dabei war.
Verstehe ich das richtig das man dann alle 10 Milliarden Kombinationen in die Eingabemaske von allen Möglichen Seiten eingeben muss um diese dann aufzumachen? Wer will denn sowas ausprobieren ist das überhaupt erreichbar? Man sollte dann z.B. Bank Konten mit mehreren Eingabemasken ausstatten und die Anzahl an Versuchen das Richtige Passwort einzugeben begrenzen auf etwa drei Versuche niemand wird 10 Milliarden Versuche bei einer Bank ausprobieren wollen...
@mrcvry
21 күн бұрын
Gute Seiten machen das. Schlechte nicht. Ganz schlechte lassen sich die Passwortdatei klauen und man kann die Hashes in Ruhe durchprobieren. Eine gute Grafikkarte schafft dann ein paar Tausend pro Sekunde.
@ytrebiLeurT
21 күн бұрын
@@mrcvry Du meinst mehrere Eingabemasken, ja? Also meine Bank hat natürlich zwei davon, wie alle anderen Seiten auch, aber man kann bei der ersten die Ziffern und Buchstaben sehen warum die nicht auch ausgegraut sind verstehe ich nicht, man sollte wenigstens drei Eingabemasken haben, zur Zusätzlichen Sicherheit meine ich ausserdem sollte man die Versuche automatisch begrenzen um eben Eindringlinge zu enttarnen, was denkst du?
@mrcvry
21 күн бұрын
@@ytrebiLeurT Nein, ich meinte die Begrenzung. Ein Limit von 3 oder 10 Versuchen ist eigentlich normal, bei allen wichtigen Seiten.
@ytrebiLeurT
21 күн бұрын
@@mrcvry Gut, ich verstehe, danke dir :)
@mrcvry
21 күн бұрын
Wenn die Banken oder Firmen etwas schützen wollen, dann ist es ihr Geld! 😉 Nicht unbedingt perfekt. Manche verwenden noch SMS Tans. Die sind nicht sicher.
Dachte, man kann aus einem neueren Hashalgorithmus kein Passwort rekonstruieren, weil ein Hash Daten auch verstümmelt (lossy). Es sei denn, man hat aus einer bekannten Hashfunktion eine Liste der Hashes aller bekannten Passwörter geschrieben (Regenbogentabelle). Liege ich da falsch?
@OpenGL4ever
18 күн бұрын
Hashs sind surjektiv, d.h. aus einem Hash kannst du theoretisch mehrere Lösungen zurückrechnen. Eine dieser Lösungen kann dann das Passwort sein, solange aber nur Hashs verglichen werden, kann eine andere Lösung aber ebenso ausreichen, deswegen gibt es noch das Salt, damit man nicht einfach mit ganzen Hashsammlungen irgendwo reinkommt, das Salt musst du also spezifisch auch noch kennen und damit den Hash kennen bzw. zurückrechnen. Tja und moderne Hashalgorithmen sind sehr teuer in der Zurückrechnung, was dazu führt, dass du nur sehr wenige Lösungen für einen bestimmten Salt pro Zeit berechnen kannst. Außerdem könnte man verschiedene Hashalgorithmen kombinieren und auf dieses eine PW anwenden, dann funktionieren die anderen Lösungen nicht mehr, da die nur bei einem bestimmten Algorithmus das PW ersetzen können, aber nicht bei allen.
@dittikke
18 күн бұрын
@@OpenGL4ever Kommt drauf an. SHA512 zB hat 2^512 mögliche Kombinationen, das sind so ca. 1,3x10¹55, also eine unfassbar große Menge. Damit sind Kollisionen praktisch ausgeschlossen. LMH dagegen hatte 2^16 also 65536 mögliche Kombinationen, für jede gibt's mittlerweile ein passendes Passwort, mit dem man also heute jeden Windows NT-Passwortschutz problemlos knacken kann. Zurückgerechnet wird gar nichts, ich glaube du meinst eher in einer Regenbogentabelle "nachgucken". Für Standardalgorithmen gibt's Regenbogentabellen mit allen bis dato bekannten Passwörtern und deren Hashes. Daher gib't auch Salts (auch damit kein User-Passwort gleich ist). Das geschieht aber alles systemseitig, der User kriegt nichts davon mit. Aber auch andere Techniken gibt's, um Passwörter vorm Hashen zu verschlüsseln, oder auch das Passwort wiederholt zu hashen. Diese Verschlüsselungsalgorithmen sind auch gewollt "langsam". Hat den Vorteil, dass der User kaum Zeitverluste wahrnimmt, aber die Zusammenstellung einer Regenbogentabelle dauert Monate oder Jahre. Sonst kann man gar nichts knacken oder "zurückrechnen". Diese Techniken sind bekannt. die nicht etwa in einer Webseite nicht zu verwenden wäre (ggf grob) fahrlässig.
@dittikke
18 күн бұрын
@@OpenGL4ever Unter "zurückrechnen" meinst du mit Regenbogentabelle zurückverfolgen? Sonst danke für die Erklärung!
Kann man die Datei iwo zu finden
@Actuarium
21 күн бұрын
Natürlich. Mit Google findest du es selbst. Ich bitte um Verständnis, dass ich in diesem Fall keine Anleitung gebe, wie man es runterlädt.
Krass habs mur auch mal runtergeladen und nach meinen Passwörtern durchsucht. Ein älteres Passwort von mir mit einem Wort aus einer sogut wie ausgestorben Sprache (Tscherkessisch) wort+zahlen war auch enthalten 😅
Ist die Liste von der NSA?
Welcher "normale" Hacker oder Spammer, etc. geht eine Liste von 10 Mrd. Passwörtern durch, um ein einfaches Account irgendwo zu hacken, ..?
Ein Künstler Namens Jan Olaf Scholz? In Leipzig gibt's nen Uhrenladen der Oliver Pocher heißt. Nee nee. Nicht der da. Der in Leipzig heißt nur so. Der is ne Spur seriöser.
Naja die Rainbowtabellen könnte man benutzen um die hashs zu vergleichen😅
Gsd haben die keine dazugehörigen benutzernamen geleeakt
@mrcvry
21 күн бұрын
Ein bisschen Spaß muss doch noch bleiben!
Danke
Habe ich das richtig verstanden, die Logins sind keinen Websites zugeordnet? Wer macht sowas? White hats?
Krass
Wenn so n Server aber geknackt wird, ist es dann nicht egal, wie kompliziert ein Passwort ist, wenn dem Hacker eh alles aufm Silvertablet vorliegt...??
Bei den gezeigten Beispielen ist kein einziges dabei, das den Namen "Passwort" verdient. 🙂
👍👍👌👌
Was direkt auffällt, ist das alle recht "kurz" sind. Also verwendet wenn möglich einfach längere passwörter
@roberts386
18 күн бұрын
Wenn die Datenbank eines Anbieters das unverschlüsselt speichert, dann kann dein Passwort bis zum Mond gehen und zurück - es steht später trotzdem in so einer Liste.
Blockchain wird in Zukunft regeln
Mich hat gewundert, dass kein Passwort mit dem Verb «scholzen» vorkommt 🙂
Weis man schon ob die von Windows 11 Spionage Programm geklaut worden ist ?
was hältst Du von Diensten wie „Have I Been Pwned“ - ist sowas sicher und seriös?
Ok, man muss aber festhalten, dass hier sehr oft Passwörter doppelt vorkommen. Würde man die distincten, wäre die Liste vermutlich deutlich kleiner.
Meine Passwörter stehen nicht in der Liste
Wann sperrt man dich eigentlich ein?
Wie kann man denn TEXT von 150GB auf 50GB kriegen? Gepackt müsste das doch viel kleiner sein 🤔
Hashcodes können durch aus knackbar sein. Angeifer nutzen sogenannte Rainbow Tables dazu. Wichtig ist das ein kryptografischer Zusatz mit gehasht wird das sogenannte Salt und Pepper
@Tortuosit
21 күн бұрын
Also Pepper ist mir neu 😂 Ich salte nur.
@arifertugrul6146
21 күн бұрын
Hashstretching ist auch eine Möglichkeit
@AtzeDatze
21 күн бұрын
Hashcodes werden nicht geknackt, sondern es wird in der Rainbowtabelle gesucht, ob dieser Hashcode zu einem der daneben stehendem Passwörter passt. Findet man diesen nicht, kann man noch durch probieren das Passwort versuchen zu erraten, das dauert jedoch je nach Hashverfahren extrem lange. Aus einem Hashwert wieder das ursprüngliche Passwort herzustellen, ist nicht möglich.
@StyleTechnique
20 күн бұрын
@@arifertugrul6146 Hä - irre ich mich oder hatte man durch Hashstretching nicht die Sicherheit erhöht und nicht gesenkt? Ich verstehe deinen Satz so, als sagtest du man könne damit Hashcodes knacken.
Wenn man super starke Passwörter verwendet, und der Server gehackt wird, hilft da auch das krasseste Passwort nicht