@Freebo: Sorry, aber was du schreibst ist bisschen selbstironisch.
Du tust jeden, der angeblich nicht nachdenkt, sofort als "systemkonformen" naiven Idioten dar, während die "Verschwörungstheoretiker" per se intelligent sind und nun Staatsfeind Nr. 1, da sie hinter alles gestiegen sind.
Und Manipulation wird es immer geben. Genauso wie Medien nicht alles darstellen können (und wollen), bist auch du einem confirmation bias unterlegen. Du suchst dir auch nur Beweise raus, die prinzipiell gegen "das System" sprechen, schön basierend auf der Annahme, dass per se alles, was "von da oben" kommt, falsch ist.
Ich will nicht sagen, dass alle Verschwörungstheoretiker Spinner sind, denn das sind sie nicht. Aber leider legen sich einige ihre Beweise oft genug selbst zurecht. Genau das, was sie ihrer "Gegenseite" vorwerfen.
Die Geschichte mit Zwang und Pflicht ist genauso ein Beispiel, das du auch noch selbst lieferst. Dahinter basiert null Empirie.
Viel mehr ist es so, dass wir schon immer mit diesen Wörtern aufgewachsen sind. Und wenn du dann 100 mal Pflichtversicherung gehört hast, ist es halt irgendwann normal. Hätte man das von Beginn an Zwangsversicherung genannt, würdest du genau das Gleiche schreiben, nur eben mit "Pflicht" statt "Zwang".
Und dass auch die Wehrpflicht nicht gut ankam, hat man ja gesehen. Obwohl sie nicht Wehrzwang hieß.
Über Steuern freut sich bekanntlich auch niemand und das mit den Versicherungen ist einfach Sozialstaatsprinzip. Das hat nichts mit "Verschwörung" oder sonst so zu tun. Das ist einfach ein System der Solidarität.
hab TrueCrypt nie wirklich genutzt, da ich keine wirklichen wichtigen Daten auf meinen PC lagere, vielmehr liebe ich die ausgedruckt als Papierkram.
Finde es ein wenig komisch das das TrueCrypt Team so abrupt aufhört und als lächerliche Alternative Bitlocker angibt.
Deswegen könnte die Implikation mit der NSA durchaus richtig sein.
Was mich zu der zu den Fragen führt:
Wann ist den ein Crypto-System überhaupt unknackbar und damit auch 100% sicher?
Kann die NSA alles knacken?
etc ...
... mal eine weitere Frage: für was habt Ihr TC überhaupt genuzt? Was habt Ihr damit verschlüsselt?
Theoretisch kann man alles knacken, mit der entsprechenden Power kommt man hinter jede Verschlüsselung(oder eher hinter das Passwort). So gesehen ist alles knackbar, es stellt sich nur die Frage ob Riesenrechenzentren der NSA dazu benutzt werden meine Warez HDD zu bruten :/
Also 100% sicher gibt es nie, so wie es auch bei Papier ist, gefunden werden kann es immer. Das einzig sichere Archiv ist dein Gehirn, da kommt Wissen(sofern vorhanden) nur raus wenn es soll.
Das ist immerhin meine Auffassung, vlt. seh ich das auch falsch.
Edit: Viele benutzen es aus Prinzip, weil ihre Daten persönlich sind und sie nicht wollen, dass andere sie ohne Recht lesen können. Andere weil ihre Daten aus gutem Grund persönlich sein sollen, außer sie wollen in's Gefängnis
Ich benutze es für alle meine Textdokumente mit wichtigen Daten drin, seien es Adressen und Namen von Freunden oder ein Passwort für eine Seite auf die ich eh fast nie zugreife und es deshalb immer vergesse. 2 mal bearbeitet, zuletzt 31. Mai 2014, 15:34 Uhr
Googlebot schrieb: Wann ist den ein Crypto-System überhaupt unknackbar und damit auch 100% sicher?
100% sicher gibt es nicht. Du kannst immer alle möglichen Schlüssel durchprobieren. Das führt zwangsläufig irgendwann zum Erfolg.
Deshalb gibt es den Begriff computationally secure. Ein Kryptsystem gilt dann als sicher, wenn der Aufwand für das Brechen die Kapazitäten jedes theoretischen Angreifers übersteigt. Mit anderen Worten: Wenn der Wert der gewonnen Informationen den notwendigen Aufwand übersteigt.
Googlebot schrieb: Kann die NSA alles knacken?
Das kann dir nur die NSA beantworten, über wie viele Ressourcen sie tatsächlich verfügen. Selbiges gilt für die Kenntnis von nicht öffentlich bekannten Schwachstellen und Hintertüren.
Fakt ist, dass sie massiv aufgestockt haben und der Stromverbrauch des neuen Rechenzentrums in Utah für reine Datenhaltung krass überdimensioniert ist, d. h. da wird gerechnet.
Googlebot schrieb: ... mal eine weitere Frage: für was habt Ihr TC überhaupt genuzt? Was habt Ihr damit verschlüsselt?
hunzelfunzel schrieb: Also 100% sicher gibt es nie, so wie es auch bei Papier ist, gefunden werden kann es immer. Das einzig sichere Archiv ist dein Gehirn, da kommt Wissen(sofern vorhanden) nur raus wenn es soll.
Na, dann schauen wir mal, wie lange du dieser Daumenschraube wiederstehst
hunzelfunzel schrieb: Andere weil ihre Daten aus gutem Grund persönlich sein sollen, außer sie wollen in's Gefängnis
Da kommst du aber auch hin, wenn du in Beugehaft genommen wirst. Oder in manchen Staaten bist du, entgegen Art. 6 der EMRK und dem Recht auf Aussageverweigerung, in der Pflicht, Passwörter herauszugeben. Bei Verweigerung dessen afair bis zu 5 Jahre Haft. (WzH hat so ein Staat in der EU verloren?!?)
Na, dann schauen wir mal, wie lange du dieser Daumenschraube wiederstehst
Dann willst du die Information aber auch preisgeben. Es geht ja darum, dass keiner rankommt wenn du es NICHT willst Dann ist ja genausowenig eine Verschlüsselung sicher, gefoltert gibt jeder das Passwort raus.
hunzelfunzel schrieb: Dann willst du die Information aber auch preisgeben. Es geht hier darum, dass keiner rankommt wenn du es NICHT willst Wie man dich dazu bringt es zu wollen ist nicht teil der Diskussion gewesen.
Nein, willst du nicht. Du willst den Weg des scheinbar geringeren Übels Aber richtig, wir driften ab und im Grunde sind wir ja einer Meinung
Allerdings habe ich ganz auf den obligatorischen xkcd vergessen, shame on me.
AnyThinG schrieb: 100% sicher gibt es nicht. Du kannst immer alle möglichen Schlüssel durchprobieren. Das führt zwangsläufig irgendwann zum Erfolg.
Also man kann schon sagen 100% sicher gibt es.
Für mein Passwort z.b.welches ich nutze benötigt man 101'561'606'582'455'075'423'904'988 Versuche um es zu knacken das würde dann 1'610'248'709 Jahre bei 2'000'000'000 Tests pro Sekunde dauern. Highend Rechenmaschienen der NSA schaffen wohl sicher mehr versuche pro sekunde, trotzdem bin ich davon überzeugt das es auch die NSA nicht zu meinen Lebzeiten schaffen würde das pw zu knacken. Ergo ist es für mich 100% sicher.
raymth schrieb: Also man kann schon sagen 100% sicher gibt es.
Habe ich doch gerade erläutert, dass man das nicht kann
raymth schrieb: Für mein Passwort z.b.welches ich nutze benötigt man 101'561'606'582'455'075'423'904'988 Versuche um es zu knacken das würde dann 1'610'248'709 Jahre bei 2'000'000'000 Tests pro Sekunde dauern. Highend Rechenmaschienen der NSA schaffen wohl sicher mehr versuche pro sekunde, trotzdem bin ich davon überzeugt das es auch die NSA nicht zu meinen Lebzeiten schaffen würde das pw zu knacken. Ergo ist es für mich 100% sicher.
Bitte verwechsle nicht dein persönliches Empfinden mit dem Stand der Wissenschaft!
Für dich mag das ausreichend erscheinen, wenn dein Passwort erst in vielen Jahren gefunden werden würde. Das wäre dann computationally secure, aber eben nicht 100%
BTW: es gibt auch intelligentere Verfahren zum Passwörter finden als stures Brute-Force von 0 bis 99999999999999999999999. Da kommt es dann auf den Aufbau des Passworts drauf an.
SUPER IDEE!!!!111
Ich gebe mein Passwort auf irgend einer Webseite ein und die sagt mir, wie gut das ist! m(
Immerhin, sie haben eine Systembeschreibung. Aber: wenn ich eine Passwort-Phishing-Seite machen würde, dann würde die genau so aussehen.
SUPER IDEE!!!!111
Ich gebe mein Passwort auf irgend einer Webseite ein und die sagt mir, wie gut das ist! m(
Immerhin, sie haben eine Systembeschreibung. Aber: wenn ich eine Passwort-Phishing-Seite machen würde, dann würde die genau so aussehen.
Wer lesen kann ist klar im Vorteil. Es steht doch auf der Seite das man nicht sein direktes Passwort nehmen soll zum testen sondern eines das dem Aufbau entspricht, trotz der Tatsache das dieses nicht gespeichert wird. aber hauptsache rumflamen.
Alle Verbindungen zu unserem Server erfolgen verschlüsselt. Nach der Analyse werden Ihre Eingaben unverzüglich gelöscht. Es werden nur statistische Daten erfasst. Wir empfehlen Ihnen dennoch dringend, keine echten, produktiven Passwörter einzugeben. Machen Sie Eingaben, deren Aufbau und Struktur Ihrem echten Passwort ähnlich sind.
Passwort Pishing Seite vom Datenschutzbeauftragten der Schweiz na klar. Deswegen auch der Hinweis nicht sein eigenes zu nutzen wer das natürlich macht ist dann auch selbst schuld.
TrueCrypt wird sicherlich nicht aus Lust und Tollerei einfach so von heute auf morgen eingestellt werden - da steckt definitiv mehr dahinter.. da soll doch ganz klar gezielt Panik verbreitet und vorallem - die User zu Alternativen (komisch, dass da direkt BitLocker genannt wird und sogar per Tutorial noch erklärt wird...) getrieben werden...
Ich für meinen Teil würde und werde einfach meine aktuellen TrueCrypt Versionen weiterverwenden, bis da etwas Licht ins Dunkel kommt..
- Ja, steht das auf der Seite [was gut ist], du aber forderst auf, "selbst mal die Sicherheit eurer Passwörter testen" <- da fehlt das mit der Struktur. Und gut die Hälfte der Nutzer geht erstmal her und macht das auch direkt.
- Tatsache ist, dass sie sagen, dass sie diese nicht speichern. Hast du das geprüft, bzw. kann ich das nachprüfen?
- "aber hauptsache rumflamen" <- das kannst du mir gerne per PN vorwerfen, hierher gehört eine rein sachliche Diskussion. Die ohnehin schon abdriftet.
- Als Phisher möchte ich möglichst kompetent auftreten, hierfür ist eine Identität als Datenschutzbeauftragter super. Das TLS-Zertifikat sieht akzeptabel aus, für eine Extended-Validation wurde aber nicht genügend Schutzgeld bezahlt.
- Das Zertifikat würde btW von Thawte ausgesellt, deren Mutter VeriSign, ein US-Unternehmen ist. *hust*National Security Letter*hust*
- Und bei der Methode steht ganz klar auch drin, dass sie z. B. keine leet-Speak einsetzen. Ergo sehen entsprechende Strings als vermeitlich zufällig aus, sind es aber nicht. Und gerade das empfinde ich als wichtig und wird von einigen Crackern auch implementiert.
- Wenn du lesen und verstehen würdest, hättest du bemerkt, dass ich diese Systembeschreibung als positiv gewertet habe.
- Ein Passwort nach dem Check gilt als "stark", wenn die Suche mindestens 10 (zehn) Tage bei 1M/s (nach dem Stand von 2006!) dauert. Gratulation, dein Sample war vor 8 Jahren vermeintlich sicher
Um es für dich deutlich zu machen, was der Check falsch macht: die "Passwörter"/Struktursamples werden als Klartext [schlecht] über eine TLS-Verbindung [gut] an den Server gesendet. Ein Großteil der Überprüfungen lässt sich lokal in Javascript implementieren. Mit dem Gedanken, dass das Passwort den Rechner nie verlassen soll, wäre denkbar, von allen Substrings, die gegen das Dictionary geprüft werden, ein Hashwert zu erstellen und die dann serverseitig gegen das Hash-Dictionary zu matchen. Das ist jetzt nicht zwingend optimal, würde aber eine deutliche Verbesserung darstellen.
Des Weiteren: wie erstellt der Mensch "Struktursamples"? Vermutlich mit System. Anyway, es können im Vergleich zum Originalpasswort (unabsichtlich) sowohl positive als auch negative Eigenschaften hinzukommen/wegfallen. Damit ist der Score des Samples nicht zwingend auch für das Passwort gültig.
Zum Thema: Verwendet eigentlich irgend jemand Keyfiles bei TrueCrypt?
AnyThinG schrieb: Keine Sorge, ich habe gelesen und verstanden
- Ja, steht das auf der Seite [was gut ist], du aber forderst auf, "selbst mal die Sicherheit eurer Passwörter testen" <- da fehlt das mit der Struktur. Und gut die Hälfte der Nutzer geht erstmal her und macht das auch direkt.
Ja und können sie doch auch das ist nicht irgendein Link irgendeiner underground Seite. Stempelst du hier alle User als blöde ab? Selbst wen jemand sein eigenes Passwort testet ist es nicht unsicher auf der Seite sein Passwort zu testen.
dieses steht ja in keinem Zusammenhang zu irgendeiner Seite auf der man angemeldet ist.
Eine Pishing Seite gaukelt dir vor xyz Seitezu sein und du gibts dann dein pw ein.das ist dort aber nicht der Fall.
Schonmal etwas von einem Datenschutzbeauftragten gehört?
du weist schon wozu die da sind?
Die seite dient lediglich dazu rauszufinden ob man ein sicherers oder unsicheres Passwort verwendet. Und wenn du dir mal die stats ansiehst sind es nicht wenige die unsichere Passwörter nutzen.
Die beste verschlüsselung bringt dir nichts wenn dein pw für den a ist.
Und wenn jemand durch diesen simplen test die Sicherheit seines passworts verbessert ist das gut .
Du mit deinem vermeintlich sicher. Selbst nach dem neuesten Stand ist mein Passwort zu lebzeiten nicht knackbar. Und wenn nur mal angenommen die möglichkeit besteht das x mehr operationen durchgeführt werden können wird mein pw einfach um ein paar zeichen erweitert und die menge der Versuche steigt expotentiell an.
Ob die jetzt 1,6 Milliarden Jahre brauchen oder 160 000 oder sogar nur 16 000 ist vollkommen wayne. Zu meinen und deren lebzeiten wird es nicht geknackt.
IBM's Numbercruncher Blue Gene/P z.b. bräuchte 3918 Jahre bei 1.000.000.000.000.000 Rechenoperationen pro Sekunde. Um mal auf den heutigen stand der Technik zu kommen.
Also wenn ein Supercomputer mit über 800 000 Prozessorkernen 4000 Jahre benötigt schafft es kein normalsterblich auch nur ansatzweise solch ein Passwort zu knacken. Selbst wenn er den besten High end Rechner besitzt den otto normal Verbaucher haben kann.
Und wenn wir dann noch ein Passwort mit 20+ Zeichen haben dann schafft es auch IBM's Supercomputer in hundertausend bzw Millionen Jahren nicht.
100% Sicher gibt es, dabei bleibe ich und du wirst mich nicht vom gegenteil überzeugen können.
Ach und wer Truecrypt nutzt sollte definitiv ein sicheres Passwort verwenden , ansonsten kann er sich das prog von vornherein sparen, um zum thema zu kommen.
trotzdem bin ich davon überzeugt das es auch die NSA nicht zu meinen Lebzeiten schaffen würde
Und was wenn sie es beim ersten Versuch per reinem Zufall schaffen?
100% sind das nicht^^
Verwendet eigentlich irgend jemand Keyfiles bei TrueCrypt?
Da ich als Laie nie wusste was das ist und bringt, nein :/
Selbst wen jemand sein eigenes Passwort testet ist es nicht unsicher auf der Seite sein Passwort zu testen.
Es macht dein Passwort unsicherer, doch. Denn wenn die NSA rein "zufällig" deine Übertragungen abhört und dann an da Passwort kommt, sei es nun das richtige oder nur ähnlich, war's das mit der verschlüsselten Festplatte.
Selbst nach dem neuesten Stand ist mein Passwort zu lebzeiten nicht knackbar.
Stichwort Quantencomputer. Der "neueste Stand" verändert sich schneller als du blinzeln kannst.
100% Sicher gibt es, dabei bleibe ich und du wirst mich nicht vom gegenteil überzeugen können.
Na dann... 1+1 = 3. 5 mal bearbeitet, zuletzt 31. Mai 2014, 23:47 Uhr
Password hin password her denkt ihr wirklich nsa brute forcen passworder ... Scheiss drauf ob dein password 6 10 oder 200 Zeichen haben was die rechenzentren machen ist sie gehen an die passworder vorbei und greifen dann auf accs das ist ja das gefährliche an diesen Leuten die Programm programmiert haben auf extra eingebaute sicherheitslucken also spart euch eure 20stelligen passworter die bringen nur was gegen private hacker Gruppen sonst nix sry fur rechtschreibung Handy schreiben ist fail
hunzelfunzel schrieb: Und was wenn sie es beim ersten Versuch per reinem Zufall schaffen?
100% sind das nicht^^
Genau und morgen werd ich 5x vom Blitz getroffen und gewinne die nächsten 50 wochen im Lotto nach dem ich 11 Autounfälle überlebt habe. In etwas so hoch wäre vermutlich die chance ein entsprechend sicheres Passwort per zufall zu knacken.
Wenn wir alle buchstaben, Zahlen und Sonderzeichen zugrunde legen haben wir 108 Zeichen, bei einer Passwortlänge von 20 Zeichen sind das 4.6 609 571 438 493 02e +40 Kombinationsmöglichkeiten und da willst du per zufall die passende kombination finden? Könnte sein ja aber die Chance tendiert zu null.
allein unter dem Gesichtspunkt könnte man evtl sagen 100% sicher gibt es nicht. Aber da die Wahrscheinlicheit so gering ist zufällig das Passwort zu finden ist und bleibt es für "mich" 100% sicher.
hunzelfunzel schrieb:
Stichwort Quantencomputer. Der "neueste Stand" verändert sich schneller als du blinzeln kannst.
.
Stichwort Mathematik - häng ein Zeichen an das PW dran und schon ist der neueste Computer wieder überfordert. Schau dir die Top 500 Liste der Supercomputer an http://www.top500.org/lists/2013/11/#.U4pTK_nV9CA
Mal ganz davon abgesehen was diese rechenleistung kosten würde.
allein unter dem Gesichtspunkt könnte man evtl sagen 100% sicher gibt es nicht. Aber da die Wahrscheinlicheit so gering ist zufällig das Passwort zu finden ist und bleibt es für "mich" 100% sicher.
Es kann ja nicht 100% sein wenn es immerhin eine theoretische chance des knacken gibt
Es kann ja nicht 100% sein wenn es immerhin eine theoretische chance des knacken gibt
Dann les genauer für "mich" ist es 100% Sicher da die Wahrscheinlichkeit es zufällig zu knacken gegen 0 tendiert und kein rechner der welt es per Brute Force knackt. Ich würd all mein Geld verwetten das nicht mal die Hälfte der User hier auch nur ansatzweise ein sicheres Passwort benutzt.
Und wie ich schonmal sagte, ohne sicheres Passwort ist Truecrypt nicht die Bohne wert, auch wenn es kein Hintertürchen hat. 2 mal bearbeitet, zuletzt 1. Juni 2014, 00:32 Uhr
das ist ja das gefährliche an diesen Leuten die Programm programmiert haben auf extra eingebaute sicherheitslucken
Mal was von Open Source gehört? Da war doch was mit Truecrypt wenn ich mich recht erinnere...
Genau und morgen werd ich 5x vom Blitz getroffen und gewinne die nächsten 50 wochen im Lotto nach dem ich 11 Autounfälle überlebt habe. In etwas so hoch wäre vermutlich die chance ein entsprechend sicheres Passwort per zufall zu knacken.
Ja, da hast du Recht. Was auch immer du mir damit sagen willst^^
Könnte sein ja aber die Chance tendiert zu null.
Tendiert? Vorhin warst du dir noch sicher, dass es 100% sind. Entscheide dich doch mal oO
Stichwort Mathematik - häng ein Zeichen an das PW dran und schon ist der neueste Computer wieder überfordert. Schau dir die Top 500 Liste der Supercomputer an
Quantencomputer != Supercomputer auf dieser Liste. Heutige Verschlüsselungen machen dann keinen Sinn mehr.
Mal ganz davon abgesehen was diese rechenleistung kosten würde.
Och du, lies doch bitte mal den Post von AnyThinG. Für alle Fälle aber hier nochmal das Zitat:
Deshalb gibt es den Begriff computationally secure. Ein Kryptsystem gilt dann als sicher, wenn der Aufwand für das Brechen die Kapazitäten jedes theoretischen Angreifers übersteigt. Mit anderen Worten: Wenn der Wert der gewonnen Informationen den notwendigen Aufwand übersteigt.
Googlebot schrieb: hab TrueCrypt nie wirklich genutzt, da ich keine wirklichen wichtigen Daten auf meinen PC lagere, vielmehr liebe ich die ausgedruckt als Papierkram.
... mal eine weitere Frage: für was habt Ihr TC überhaupt genuzt? Was habt Ihr damit verschlüsselt?
TC habe ich auch nie genutzt, lediglich mal zum testen DiskCryptor.
Dieses Tool fand ich sehr angenehm weil es alles kann und doch recht trivial einzurichten war. Zudem ist die Performanz dieser Applikation sehr gut. Vielleicht ist es ja eine mögliche (bessere) Alternative zu TC.
Es grenzt schon an Köperverletzung wie hier mit Halbwissen herumgeworfen wird.
hunzelfunzel schrieb: Mal was von Open Source gehört? Da war doch was mit Truecrypt wenn ich mich recht erinnere...
TrueCrypt ist eine Open Source Software, welche aber eine restriktive Lizenz besitzt, die eine freie Bearbeitung und ein Unterhalten von Modifikationen des Quellcodes stark einschränkt, und deshalb nicht als frei bezeichnet werden kann. Übrige Software mit analoger Funktionalität ist vollständig proprietär, so dass deren Nutzung zum Schutz sensitiver Daten nicht vertretbar ist.
Du tust jeden, der angeblich nicht nachdenkt, sofort als "systemkonformen" naiven Idioten dar, während die "Verschwörungstheoretiker" per se intelligent sind und nun Staatsfeind Nr. 1, da sie hinter alles gestiegen sind.
Und Manipulation wird es immer geben. Genauso wie Medien nicht alles darstellen können (und wollen), bist auch du einem confirmation bias unterlegen. Du suchst dir auch nur Beweise raus, die prinzipiell gegen "das System" sprechen, schön basierend auf der Annahme, dass per se alles, was "von da oben" kommt, falsch ist.
Ich will nicht sagen, dass alle Verschwörungstheoretiker Spinner sind, denn das sind sie nicht. Aber leider legen sich einige ihre Beweise oft genug selbst zurecht. Genau das, was sie ihrer "Gegenseite" vorwerfen.
Die Geschichte mit Zwang und Pflicht ist genauso ein Beispiel, das du auch noch selbst lieferst. Dahinter basiert null Empirie.
Viel mehr ist es so, dass wir schon immer mit diesen Wörtern aufgewachsen sind. Und wenn du dann 100 mal Pflichtversicherung gehört hast, ist es halt irgendwann normal. Hätte man das von Beginn an Zwangsversicherung genannt, würdest du genau das Gleiche schreiben, nur eben mit "Pflicht" statt "Zwang".
Und dass auch die Wehrpflicht nicht gut ankam, hat man ja gesehen. Obwohl sie nicht Wehrzwang hieß.
Über Steuern freut sich bekanntlich auch niemand und das mit den Versicherungen ist einfach Sozialstaatsprinzip. Das hat nichts mit "Verschwörung" oder sonst so zu tun. Das ist einfach ein System der Solidarität.
Naja zurück zum Thema....
#