raymth schrieb: Stempelst du hier alle User als blöde ab?
Nein, tue ich nicht. Die letzten Postings, besonders von hunzelfunzel (thx), zeigen auch, dass das ein großer Fehler wäre. Gut, hier auf xREL ist es vielleicht nicht die Hälfte, die so einer Aufforderung direkt nachgehen würde. Draußen in der Welt der 0815-User allerdings musst du damit rechnen.
Außerdem hat das nichts mit Dummheit zu tun, sondern mit der fehlenden Kompetenz um zu wissen, was genau da überhaupt passiert. Und das müssen die eigentlich auch gar nicht wissen, sondern einfach über eine grundsätzliche Awareness verfügen. Die kommt aber nicht von alleine. Schon einmal eine entsprechende Schulung gehalten?
raymth schrieb: Schonmal etwas von einem Datenschutzbeauftragten gehört?
du weist schon wozu die da sind?
Ja. Und was hält mich davon ab, mich als so einer auszugeben? Den eigentlichen Punkt, auf den ich hinaus wollte, hat hunzelfunzel hier angesprochen: das Passwort/die Struktur wird (unnötigerweise) über das Internet übertragen. Zwar TLS-gesichert, aber das ist ein eigenes Kapitel.
raymth schrieb: Die seite dient lediglich dazu rauszufinden ob man ein sicherers oder unsicheres Passwort verwendet. Und wenn du dir mal die stats ansiehst sind es nicht wenige die unsichere Passwörter nutzen.
Nach dem Stand von 2006!. Glaub mir, dessen bin ich mir bewusst. Und das könnte noch mehr sein, wenn der Test, siehe oben, mehr prüfen würde.
raymth schrieb: Die beste verschlüsselung bringt dir nichts wenn dein pw für den a ist.
So ist es.
Die beste Laufwerksverschlüsselung nützt dir aber auch nichts, wenn dein OS kompromittiert ist. Heißt: ein gutes Passwort alleine reicht nicht, es gibt sehr viele Faktoren, die das beeinflussen. Das macht das Thema nicht gerade einfacher.
raymth schrieb: Du mit deinem vermeintlich sicher.
Das drückt im Wesentlichen aus, dass Experten ein gutes Verständnis der öffentlich bekannten Möglichkeiten haben. Faktisch wissen wir aber nicht, was einzelne Institutionen zusätzlich noch wissen. Auch du nicht. Wenn doch, so lasse die weite Welt bitte davon Teil haben.
raymth schrieb: ...wird mein pw einfach um ein paar zeichen erweitert und die menge der Versuche steigt expotentiell an.
Ob die jetzt 1,6 Milliarden Jahre brauchen oder 160 000 oder sogar nur 16 000 ist vollkommen wayne. Zu meinen und deren lebzeiten wird es nicht geknackt.
Exponentziell ist richtig, aber wie sagte schon Bill Gates: "640 kB ought to be enough for anybody". Aka: du sollst vorsichtig mit solchen Aussagen sein, sie neigen dazu, nicht zu stimmen
Insbesondere darfst du nicht vergessen, dass Brute-Force zwar die Methode ist, die früher oder später immer zum Erfolg führt, aber ein Verfahren reicht, um den Aufwand um ein Vielfaches zu reduzieren. RSA ist hierfür ein großartiges Beispiel.
Ansonsten gibt es hunzelfunzel und scHroTteR nicht mehr viel hinzuzufügen
Um TrueCrypt wäre es insbesondere auch aufgrund der Plausible-Deniability-Funktionalität (Hidden Volume) schade. Es ist schon traurig, dass die Menschheit überhaupt so eine Funktion für notwendig hält, noch bedenklicher fände ich aber das Verschwinden dieser durch die Einstellung eines Projekts wie TrueCrypt.
hunzelfunzel schrieb: Ja, da hast du Recht. Was auch immer du mir damit sagen willst^^
Na ganz einfach, ebensowenig wie mir das glück beschieden sein wird 50 mal im lotto zu gewinnen, 5x vom blitz getrofen zu werden und 11 Unfälle zu überleben, Genauso groß ist Chance ein Passwort zufällig zu finden
hunzelfunzel schrieb:
Tendiert? Vorhin warst du dir noch sicher, dass es 100% sind. Entscheide dich doch mal oO
:
Ich war mir zu 100% sicher das ein Passwort zufällig gefunden wird? Never ever.
Ich sagte die chance ein pw wird zufällig gefunden tendiert zu 0.
Da gibt es nichts zu entscheiden dabei bleibe ich.
Wir können hier gerne ein paar Warscheinlichkeitsberechungen aufstellen Aber das würde womöglich ausufern und evtl den intellekt einiger übersteigen
AnyThinG schrieb:
das Passwort/die Struktur wird (unnötigerweise) über das Internet übertragen. Zwar TLS-gesichert, aber das ist ein eigenes Kapitel.
Was bitte bringt jemand ein passwort ohne bezug? Ist das passwort für den email account, festplatte, ect. von wem ist das Passwort usw.
Keiner hat einen nutzen davon.
Pishing Seite = Fake Seite wo du Benutzername und Passwort eingibst.
Da besteht dann ein bezug den man verwenden kann. Person XY ist Mitglied auf Seite XY und gibt seine nutzerdaten preis
In diesem Fall ist das passwort aber vollkommen unnütz, da ohne bezug.
Und mit einem klick komme ich urplötzlich aus Korea oder Nigeria
Stichwort VPN
Nochmals ich gebe sicher keine unsicheren Links weiter, was die Diskussion schon von vornherein überflüssig macht.
Oder bezweifelst du die Seite ist vom Schweizer Datenschutzbeauftragten des Kanton Zürichs?
Machen wir doch mal eine Whois Abfrage:
[Spoiler: Zum Lesen hier klicken!]
[[Querying whois.nic.ch]
[whois.nic.ch]
whois: This information is subject to an Acceptable Use Policy.
See http://www.nic.ch/terms/aup.html
Domain name:
datenschutz.ch
Holder of domain name:
Datenschutzbeauftragter des Kantons Z?rich
Baeriswyl Bruno
Postfach
CH-8090 Z?rich
Switzerland
Contractual Language: German
Technical contact:
Abraxas Informatik AG
SecSys Auftraege
Security and Support Systems
Waltersbachstrasse 5
CH-8006 Z?rich
Switzerland
DNSSEC:N
Name servers:
ns1.abxsec.com
ns2.abxsec.com
Achja und übrigens sind dort live statistiken. Wenn ein Passwort Stand 2006 unsicher war ist es doch 2014 erst recht unsicher. Oder bestreitest du das?
Ergo, erkennt ein user druch den Test sein pw ist unsicher und er verbessert die Sicherheit ist dieses gut. Das einzige was zwischen 2006 und 2014 sich ändert ist die mögliche anzahl an versuchen pro sekunde. Alles andere ändert nichts an dem test, 6 mal bearbeitet, zuletzt 1. Juni 2014, 11:18 Uhr
TrueCrypt ist eine Open Source Software, welche aber eine restriktive Lizenz besitzt, die eine freie Bearbeitung und ein Unterhalten von Modifikationen des Quellcodes stark einschränkt, und deshalb nicht als frei bezeichnet werden kann. Übrige Software mit analoger Funktionalität ist vollständig proprietär, so dass deren Nutzung zum Schutz sensitiver Daten nicht vertretbar ist.
Trozdem kann man die Source einsehen und damit Backdoors ausschließen, und genau darum ging es.
Ich sagte die chance ein pw wird zufällig gefunden tendiert zu 0.
Und schon wieder... ich zitier dich mal:
100% Sicher gibt es, dabei bleibe ich und du wirst mich nicht vom gegenteil überzeugen können.
Zwischen "tendiert zu 0" und "100% Sicher gibt es", liegt ein kleiner Bereich. Du musst dann schon zu deinen Meinungen stehen wenn du dich nicht vom Gegenteil überzeugen lassen willst.
Machen wir doch mal eine Whois Abfrage:
Verlass dich bitte nicht zu sehr auf Whois Abfragen, eine Website von mir gehört Darth Vader auf dem Todesstern. Ich könnte sie auch auf hunzelfunzel im Schlummerland ändern. Oder Datenschutzbeauftragter der Schweiz.
Es geht hier meines Wissens auch nicht darum, dass diese eine Website eine phishing Website ist. Eher, dass man mehr darauf achten und allgemein auf sein Passwort aufpassen soll anstatt es auf einer x-beliebigen von einem User geposteten "Passwortüberprüfungsseite" einzugeben.
Ist von 2010, mittlerweile wurde die .exe aus der Source compiled und hat auch die richtigen Checksums(oder wie die Dinger auch heißen). Ebenso wurde der 1. Teil des Codes schon überprüft und als fehler- und backdoorfrei bestätigt, aber auch als schlampig, alzu professionell sind die Programmierer also nicht^^ Die Überprüfung des 2. Teils ist dann in den nächsten Monaten wahrscheinlich auch fertig. Sei gespannt, ich bin's auf jeden Fall.
Hier mal das Security Assessment: https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf 12 mal bearbeitet, zuletzt 1. Juni 2014, 13:40 Uhr
raymth schrieb: Was bitte bringt jemand ein passwort ohne bezug? Ist das passwort für den email account, festplatte, ect. von wem ist das Passwort usw.
Keiner hat einen nutzen davon.
Ein guter Punkt, aber auch hier musst du sehr vorsichtig sein. Wenn ich dich jetzt explizit als Target ausgewählt habe, dann werde ich probieren, so viel wie möglich über dich zu sammeln. So ein Passwort bzw. eine Struktur kann sehr nützlich für das Cracken deiner anderen Passwörter sein. Das hängt natürlich von der Qualität und deiner allgmeinen Policy ab. Aber es kann mir sehr nützlich sein.
raymth schrieb: Achja und übrigens sind dort live statistiken. Wenn ein Passwort Stand 2006 unsicher war ist es doch 2014 erst recht unsicher. Oder bestreitest du das?
Keineswegs. Das gefährliche ist doch, dass ein Teil der Passwörter nach dem Stand von 2006 heute nicht mehr als "sicher" gelten können. Also, die Dunkelziffer an vermeintlich "sicheren" Passwörtern.
hunzelfunzel schrieb: Es geht hier meines Wissens auch nicht darum, dass diese eine Website eine phishing Website ist. Eher, dass man mehr darauf achten und allgemein auf sein Passwort aufpassen soll anstatt es auf einer x-beliebigen von einem User geposteten "Passwortüberprüfungsseite" einzugeben.
Danke, genau das ist es.
Auch noch ein Interessanter Punkt zu TrueCrypt: es gab vor einem halben Jahr die Diskussion (zurecht), ob die angebotenen Binaries auch dem Source entsprechen. Ja, das ist aber nicht so einfach zu verifizieren: https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/
Zusammen mit dem derzeitigen Audit halte ich TrueCrypt schon für eine vertrauenswürdige Software, bis das Gegenteil bewiesen ist. Da mache ich mir mehr Sorgen um das darunterliegende OS. Und so eine Standardsoftware darf deshalb nicht einfach so sterben.
Soweit ich mal gelesen habe, müssen alle Hersteller von Verschlüsselungssystemen, ob Hard- oder Software, die Ihre Produkte in den USA herstellen, den Main-Key bei der NSA und anderen Behörden freigeben und hinterlegen.
In dem Artikel ging es darum, dass deutsche und andere Hersteller derzeit einen Boom hätten in Sachen Verschlüsselung, egal ob Hard- oder Softwareseitig, da, wie schon oben geschrieben, die Keys nicht ausgeliefert werden müssen.
Ob das alles so stimmt wie berichtet steht natürlich in Frage.
Um auf TC zurück zu kommen. Habe es früher mal genutzt, aber das ich eh nix geheimnisvolles auf HDD habe, brauch ich das auch nicht mehr. Und wenn ich mal wichtige Files habe, landen diese auf einem USB Stick und der ist sicher verwahrt. Für MP3 und Movies lohnt sich der Aufwand der Verschlüsselung nicht.
In dem Artikel ging es darum, dass deutsche und andere Hersteller derzeit einen Boom hätten in Sachen Verschlüsselung, egal ob Hard- oder Softwareseitig, da, wie schon oben geschrieben, die Keys nicht ausgeliefert werden müssen.
So wie die Merkel grad mit Amerika schmust wird das aber auch nicht mehr lange dauern dürfen...
Für MP3 und Movies lohnt sich der Aufwand der Verschlüsselung nicht.
Einmal verschlüsselt und fertig, ich bin lieber sicher und stecke einmal 4 Stunden(über Nacht) rein.
Also ich kann beweisen das Truecrypt sicher ist. Ein PC von mir wurde beschlagnahmt. Es wurde ein Image meiner SSD erstellt und in ein Labor geschickt. Dieses wurde 4 Monate versucht zu knacken. Ohne Chance. Verfahren eingestellt mangels an Beweisen.
Das "beweist" ehrlich gesagt gar nichts, weil wenn die Regierungen, also die USA zB ein hintertürchen haben werden sie das kaum "verraten" in dem sie deine kopierschutz Verschlüsselung wegen ein paar filmchen knacken...
für die meisten von uns inklusive mir dürfte truecrypt aber wohl ausreichend sein
edit: Verschlüsselung mein ich natürlich 1 mal bearbeitet, zuletzt 14. Juni 2014, 13:39 Uhr
Bei dem Zeug von Sirrix kann man aber auch seine Zweifel haben, ob das wirklich die ultimative Sicherheitslösung ist. Schließlich arbeiten die auf Regierungsebene. Das BSI ist auch nicht mehr das, als was es urpsrünglich gegründet worden ist => IT-Dienstleister vom Öffentlichen Dienst.
grindler23 schrieb: Bei dem Zeug von Sirrix kann man aber auch seine Zweifel haben, ob das wirklich die ultimative Sicherheitslösung ist. Schließlich arbeiten die auf Regierungsebene. Das BSI ist auch nicht mehr das, als was es urpsrünglich gegründet worden ist => IT-Dienstleister vom Öffentlichen Dienst.
Zudem sind in den NSA-Leaks von dieser Woche @ Spiegel auch Andeutungen von einer Zusammenarbeit mit dem deutschen BSI ... -.-
Aber was erzähle ich hier, bin wohl ein wenig vom Thema abgekommen.
Ich finde, du hast den Nagel auf den Kopf getroffen.
Ich war in der Tat ein wenig geschockt, als ich erfahren hatte, dass TrueCrypt nicht mehr sicher sein soll, heute aber wundert es mich nicht mehr, denn bei genauer Betrachtung war es vielmehr nur eine Frage der Zeit, dass "bösen Mächte" gangbare Wege finden, um ihre Interessen/Ziele durchzusetzen.
Stempelst du hier alle User als blöde ab?
Außerdem hat das nichts mit Dummheit zu tun, sondern mit der fehlenden Kompetenz um zu wissen, was genau da überhaupt passiert. Und das müssen die eigentlich auch gar nicht wissen, sondern einfach über eine grundsätzliche Awareness verfügen. Die kommt aber nicht von alleine. Schon einmal eine entsprechende Schulung gehalten?
Schonmal etwas von einem Datenschutzbeauftragten gehört?
du weist schon wozu die da sind?
Die seite dient lediglich dazu rauszufinden ob man ein sicherers oder unsicheres Passwort verwendet. Und wenn du dir mal die stats ansiehst sind es nicht wenige die unsichere Passwörter nutzen.
Die beste verschlüsselung bringt dir nichts wenn dein pw für den a ist.
Die beste Laufwerksverschlüsselung nützt dir aber auch nichts, wenn dein OS kompromittiert ist. Heißt: ein gutes Passwort alleine reicht nicht, es gibt sehr viele Faktoren, die das beeinflussen. Das macht das Thema nicht gerade einfacher.
Du mit deinem vermeintlich sicher.
...wird mein pw einfach um ein paar zeichen erweitert und die menge der Versuche steigt expotentiell an.
Ob die jetzt 1,6 Milliarden Jahre brauchen oder 160 000 oder sogar nur 16 000 ist vollkommen wayne. Zu meinen und deren lebzeiten wird es nicht geknackt.
Insbesondere darfst du nicht vergessen, dass Brute-Force zwar die Methode ist, die früher oder später immer zum Erfolg führt, aber ein Verfahren reicht, um den Aufwand um ein Vielfaches zu reduzieren. RSA ist hierfür ein großartiges Beispiel.
Ansonsten gibt es hunzelfunzel und scHroTteR nicht mehr viel hinzuzufügen
Um TrueCrypt wäre es insbesondere auch aufgrund der Plausible-Deniability-Funktionalität (Hidden Volume) schade. Es ist schon traurig, dass die Menschheit überhaupt so eine Funktion für notwendig hält, noch bedenklicher fände ich aber das Verschwinden dieser durch die Einstellung eines Projekts wie TrueCrypt.
#