Passwortlaenge

  • Dies ist eine vorgefertigte Schablone, die bei der Formulierung von Problemen unterstützen soll. Bitte die folgenden Angaben möglichst vollständig ausfüllen.


    - Welche Version von pd-admin wird eingesetzt?
    - Welche Version der Serverumgebung wird eingesetzt?
    - Welche Fehlermeldung erhalten Sie?
    - Wie sind die problematischen Dienste konfiguriert?
    - Welche Logfile-Einträge (zB. Webserver- oder Mail-Logfile) gibt es?


    Guten tag Forum,


    Ich habe mich vor einigen Tagen bei einem neuen Host angemeldet der als
    Control panel PD-admin anbietet;
    Vorher hatte ich immer Cpanel oder Directadmin und bin gar nicht erst auf die Idee
    gekommen nach der Passwortlaenge zu fragen.


    Offen gestanden war ich ueberrascht !


    Kann mir vielleicht jemand einen guten Grund nennen warum ich nicht beunruhigt
    sein sollte nun mit einem 8-Zeichenpasswort unterwegs zu sein oder gibt es zusaetzliche
    Sicherheits features wie eine Begrenzung der Logins pro Zeiteinheit oder aehnliches ?


    Vielleicht kann mir jemand mit eigener Erfahrung weiterhelfen.


    Gruesse aus Warschau

  • Guten morgen Noxray,


    Also mal grundsaetzlich halte ich 8 Zeichen ,auch mit Sonderzeichen
    die ja ebenfalls erlaubt sind, fuer nicht mehr zeitgemaess;


    Bei Heise schlaegt man mittlerweile Passwortlaengen von 20 Zeichen
    vor , einen Bruteforce Schutz hat das cPanel auch gestattet aber
    trotzdem viel leangere Passworte.

    Andererseits frage ich mich wieso ein modernes Verwaltungspanel sich mit
    so kurzen Passworten zufrieden gibt weil ich annehme das die Entwickler von deren Sicherheit ueberzeugt sind .


    Liegt es vielleicht daran das PD-admin eher fuer den lokalen Einsatz gedacht
    ist und weniger fuer das Internet?


    Ich stelle diese Fragen auch weil ich mich entscheiden muss unser Konto
    wieder zu stornieren oder es zu behalten.


    Gruesse


    Chris (nihilix)

  • Die Anzahl der möglichen Passwörter bei pd-admin beträgt 1.235.736.291.547.681. Mir persönlich scheint das ausreichend sicher zu sein. Es ist mir auch kein Fall bekannt, bei dem ein Passwort, dass nach den von uns empfohlenen Vorgehensweise generiert wurde, per Brute-Force geknackt worden ist.


    Viele Grüße
    Daniel Bradler

  • >> Liegt es vielleicht daran das PD-admin eher fuer den lokalen Einsatz gedacht
    ist und weniger fuer das Internet?


    garantiert nicht



    Gut jeder hat andere Vorstellungen aber 20 Zeichen sind doch etwas übertrieben oder?

    • Offizieller Beitrag

    Hallo,


    Zitat

    Original von Daniel Bradler
    Noch ein Nachtrag zu diesem Thema:


    ftp://ftp.lrz-muenchen.de/loca…uer-unix-admins/tag-1.pdf geht von einer Knack-Dauer von 464 Jahren auf einem Intel Pentium IV mit 1500 MHz aus (siehe Seite 16), wenn das Passwort als Hash vorliegt. Bei einer Brute-Force-Attacke auf einen Serverdienst wie POP3 dürfte es etwas länger dauern - vorausgesetzt, es wurde ein sicheres Passwort gewählt.


    so ein Rechner ist auch noch sehr zeitgemäß ;)


    mfg
    Twilo

  • Derzeit wird an vielen Stellen crypt() zur Erzeugung der Passwort-Hashes verwendet. Hier sind nur die ersten 8 Zeichen signifikant. Eine Änderung des Algorithmus wäre recht aufwendig und einen echten Sicherheitsgewinn sehe ich nicht.


    Viele Grüße
    Daniel Bradler

  • Zitat


    so ein Rechner ist auch noch sehr zeitgemäß ;)


    Das ist letztlich belanglos, da wir hier ja vermutlich über Brute-Force-Angriffe auf einen Serverdienst reden, der unabhängig von der CPU des Angreifers wesentlich zeitaufwendiger ist als ein Brute-Force-Angriff auf einen bekannten Passwort-Hash.


    Viele Grüße
    Daniel Bradler

    • Offizieller Beitrag

    Hallo,


    Zitat

    Original von Daniel Bradler


    Das ist letztlich belanglos, da wir hier ja vermutlich über Brute-Force-Angriffe auf einen Serverdienst reden, der unabhängig von der CPU des Angreifers wesentlich zeitaufwendiger ist als ein Brute-Force-Angriff auf einen bekannten Passwort-Hash.


    wenn die Zugriffe nicht reglementiert werden, ist das nicht belanglos. Ein Server aus dem Jahre 2010 (z.B. Intel® Core™ i7-980X [6*3,33 GHz + HT]) kann wohl deutlich mehr Anfragen beantworten als ein Intel Pentium IV mit 1500 MHz


    mfg
    Twilo

  • Zitat

    Original von Daniel Bradler
    Derzeit wird an vielen Stellen crypt() zur Erzeugung der Passwort-Hashes verwendet. Hier sind nur die ersten 8 Zeichen signifikant. Eine Änderung des Algorithmus wäre recht aufwendig und einen echten Sicherheitsgewinn sehe ich nicht.


    Ja, klar. Deswegen ist auch bei allen aktuellen Linux Distributionen nicht mehr crypt, sondern md5 in Verwendung.....


    Davon ab gibt es gute Gründe für eine Umsetzung:
    a) Hacker suchen mittlerweile immer gezielter nach Schwachstellen
    b) Verteilte Angriffe (auch aufgrund von Clouds) ermöglichen schnelle verteilte Angriffe
    c) Auch wenn die Angriffe wahrscheinlich nicht erfolgreich sind, werden sie den regulären Betrieb allein durch die Last stark beeinträchtigen.
    Daraus resultiert, das man sein System so sicher wie nur irgendmöglich gestalten sollte, um es von vornherein für Angriffe unattraktiv zu gestalten


    Mal ehrlich, dieser Thread ist lächerlich und läßt sich verkürzen:


    a) Viele Kunden möchten gerne diesen sogenannten "echten Sicherheitsgewinn"
    b) Der Hersteller der Software möchte dies nicht, weil es Aufwand bedeutet.


    Punkt. Wenn Herr Bradler nicht will, sehen wir diese Verbesserung auch in 20 Jahren nicht.

  • Zitat

    Original von browsingman
    a) Hacker suchen mittlerweile immer gezielter nach Schwachstellen
    b) Verteilte Angriffe (auch aufgrund von Clouds) ermöglichen schnelle verteilte Angriffe


    Sie kennen sich da anscheinend gut aus. Wieviele Passwort-Tests pro Sekunde können Sie denn in der Praxis erreichen?


    Zitat

    c) Auch wenn die Angriffe wahrscheinlich nicht erfolgreich sind, werden sie den regulären Betrieb allein durch die Last stark beeinträchtigen.


    Inwieweit würde ein längeres Passwort dieses Problem lösen?


    Zitat

    Punkt. Wenn Herr Bradler nicht will, sehen wir diese Verbesserung auch in 20 Jahren nicht


    Da haben Sie allerdings recht :) Die Erweiterung der Passwort-Länge hat derzeit keine Priorität. Ich will aber für die Zukunft nicht ausschließen, dass wir auf MD5 o.ä. umstellen, um längere Passwörter realisieren zu können.



    Viele Grüße
    Daniel Bradler

    • Offizieller Beitrag

    Hallo,

    Zitat

    Original von Daniel Bradler


    Da haben Sie allerdings recht :) Die Erweiterung der Passwort-Länge hat derzeit keine Priorität. Ich will aber für die Zukunft nicht ausschließen, dass wir auf MD5 o.ä. umstellen, um längere Passwörter realisieren zu können.


    ich hoffe mal, dass die Behebung der vorhandenen Bugs eine höhere Priorität hat, ansonsten sind die in >20 Jahren immer noch vorhanden 8o


    mfg
    Twilo

  • Zitat

    Original von Daniel Bradler


    Sie kennen sich da anscheinend gut aus. Wieviele Passwort-Tests pro Sekunde können Sie denn in der Praxis erreichen?


    Sachliche Antwort? Ja, ich arbeite bei der Siemens und führe unter anderem Security Audits durch.


    Ihre Versteifung auf die maximale Anzahl von Passwort-Tests ist zwar sicherlich mathematisch richtig, sofern nur 1 Netzwerkkarte mit 100Mbit zum Einsatz kommt; sie trifft aber schon bei mehreren Netzwerkkarten und/oder höherer Bandbreite nicht mehr zu.


    Davon ab reduziert sich die Anzahl der Passwörter allein durch die Tatsache, das Anwender niemals ausschließlich Zufallspasswörter verwenden, was Hacker durchaus bei ihren Angriffen berücksichtigen.


    Aber wahrscheinlich wollten Sie mit ihrer Spitze eine andere Antwort provozieren :D


    Zitat

    Inwieweit würde ein längeres Passwort dieses Problem lösen?


    Glauben Sie etwa, das Hacker keine Suchmaschinen verwenden? Wie jeder Mensch suchen sie auch im Internet nach Informationen wie z. B. Schwachpunkten, um ihre Ziele daraufhin abzustimmen.


    Und die sind ja in Hinblick auf PD-Admin hier im Forum ausreichend angesprochen ....


    Eine Lösung würde ja wahrscheinlich ebenfalls publiziert und somit einen Angriff unattraktiver machen.


    Last not least:
    Davon abgesehen ist die Verwendung längerer Passwörter nicht nur aus Sicherheitsgründen wünschenswert, sondern wird heutzutage von vielen Anwendern einfach als Komfortfeature erfunden, welches ihnen ermöglicht, die Buchstabenfolgen längerer Sätze zu verwenden (welche zudem für viele als Eselsbrücke leichter merkbar ist)


    Aber mal so als Alternativ-Vorschlag:
    Wenn denn die Unterstützung längerer Passwörter so schwierig ist, wie wäre es denn dann mit Sperren der IP per Firewall Regel bei einer vorgegebenen Anzahl von Fehlversuchen? Ist zwar nicht im Standard-Umfang der Server-Umgebung, ließe sich aber bestimmt als Addon einbinden.

  • Leider sind Sie die Antwort schuldig geblieben, wie viele Passwort-Tests pro Sekunde in der Praxis möglich sind. Ich persönlich glaube, dass es weniger als 1000 pro Sekunde sind. Damit würde sich die Zeit, die nötig ist alle Passwort-Kombinationen durchzutesten, auf ungefähr 40.000 Jahre erhöhen.


    Dass unsicher gewählte Passwörter schneller geknackt werden können, ist richtig. An dieser Tatsache ändert eine größere Passwortlänge nichts.


    Viele Grüße
    Daniel Bradler