Passwort:Grundsätzlich gilt:
Passwörter werden, wenn sie denn "gehacked" werden, mit Masse durch Angriffe mittles Regenbogentabellen und Passwortbibliotheken geknackt.
Das geschieht, bei öfter verwendeten und wenig komplexen Passwörtern, im Millisekundenbereich.
Ein Angriff geschieht in mehreren Stufen.
1.a. Man versucht das Passwort zu erraten. Dazu hat man eine Sammlung von gesichert verwendeten Passwörtern (Sprich: genau diese wurden schon mal als Passwort verwendet).
1.b Danach schaut man sich an, was man denn als Passwort verwenden könnte. D.h. man reichert die Menge der Passwörter um die denkbaren Begriffe an ( indem man einfach jeden irgendwo niedergeschriebenen Begriff hinzu fügt).
2. Man bringt die Passwörter in eine Reihenfolge der Verwendungshäufigkeit (ganz oben: password und 1234, ganz unten irgendwelche Phantasiewörter)
Nun geht man her und probiert aus
Dabei ist es schon wirklich egal, ob dein Passwort nun 4, 12 oder 32 Buchstaben enthält.
Die Reihenfolge in der Bibliothek sagt aus, wann dein Passwort geknackt ist.
MeintollesEbaypasswort ist also deutlich unsicherer als h&5_äKp
Hier kannst du es Passwortknackern erschweren, wenn du ein schweres Passwort benutzt, also z.B. kjgsadSADB/6%.
Das ist ein Wort, dass fast sicher nicht in einem Wörterbuch auftaucht. Und zwar in keinem der Welt.
Das bringt aber alles nichts, wenn dein Passwort in einer Datenbank frei herumliegt, am besten noch mit Zuordnung zu einem konkreten Benutzernamen.
Die Masse der Angriffe passiert eher so:
Man klaut die Passwörter eines konkreten Anbieters und versucht herauszufinden, wie sie genau lauten und zu welchen Usern sie gehören.
Um das zu verstehen, muss man wissen, dass die Passwörter hoffentlich nicht einfach so frei lesbar beim Anbieter herum liegen, sondern nach zwei Verfahren , genannt SALT und PEPPER "verschlüsselt" (genau: gehashed) wurden.
Ausgangssituation
User meldet sich wo an und hinterlegt Passwort beim Anbieter.
Anbieter versieht das Passwort mit einem Zusatz und hashed das Passwort.
Beispiel:
PW: 1234
fester Zusatz durch Anbieter(Salz): HzTr (den nur er kennt)
1234HzTr mit Hashfunktion berechnen
Hashwert: hgit398b3097u9zsflkahf7345jdpeG7 : Dieser liegt nun beim Anbieter als dein Passwort auf der Datenbank.Wenn du dich nun einloggst und 1234 eingibst, hängt der Anbieter HzTr an und hashed das. das Ergebnis vergleicht er mit dem DB Eintrag.
Dieses Verfahren nennt man "Salzen". Ist das Salz bzw. die Hashfunktion gut genug, sind auch geklaute Passwörter (die ja nur als Hashwert vorliegen) sehr sicher.
Ist es schlecht, kann ein Dieb aus einer gestohlenen Passwortdatenbank sehr leicht die ursprünglichen Passwörter zurückrechnen.
Die Diebe versuchen also, das Salz zu erraten und , sollte die hashfunktion schwach sein, damit zurückzurechnen.
Wie das geht ist schwer zu erklären, einfach gesagt versucht man in dem Schlüssel Sequenzen zu erkennen, die man sich gemerkt hat und die auf ein Passwort hindeuten. Das geschieht mithilfe von sogenannten Regenbogentabellen.
Die ursprüngliche Komplexität des Passwortes ist dabei eher nebensächlich.
Um es den Dieben zu erschweren gibt es noch das "Pfeffern". Dort vergibt der Anbieter für jedes Passwort ein neues Salz.
Also bei User 1 das Salz HzTr, beim Nächsten 4711, beim Nächsten 0815 etc. damit hilft mir die Kenntnis
eines Salzes wenig,ich muss
alle kennen und sie den Usern zuordnen können.
FAZIT:
1) Hat der Verwalter der Accounts nicht gesalzen: Nicht hochkomplexe Passwörter sind praktisch sofort geknackt (Beim Linked In leak wurden 150 Millionen Passwörter in 2 Tagen geknackt)
2) Hat der Verwalter gesalzen: Theoretisch kann das Passwort sehr simpel ausfallen, allerdings hängt die Sicherheit von der Güte der Hashfunktion ab. Ist sie schwach, gilt wieder dasselbe wie bei 1)
3) Pfeffert der Anbieter: Auch schwache Hashfunktionen bieten eine gewissen Schutz, weil Regenbogentabellen unnütz sind und der Angreifer brute force anwenden muss.
==> Das Problem ist sehr viel komplexer als es ein CHIP oder COMPUTERBILD Artikel jemals wird erfassen können.
Auch der Verständnishorizont der meisten "Forenexperten" ist deutlich unter dem Problemhorizont.
Empfehlung:
Benutze nur Passwörter, die sicher nicht in einem Buch verwendet werden und sicher nicht schon einmal als Passwort verwendet wurden.
Wenn du dir sicher bist, dass dein Anbieter Passwörter pfeffert und er ein sehr gutes Hashverfahren verwendet, kann dein Passwort auch kurz sein, sonst lang.
Wenn dein Anbieter keinen Wert auf Salz und Pfeffer legt: such dir einen anderen Anbieter.
Benutze bei wichtigen Konten NIE zweimal dasselbe Passwort (also z.B. Onlinebanking und Amazon etc.).
VPN/TOR:Vor wem genau willst du dich schützen?
- Google und Facebook: Dann ist dies keine Lösung, denn die erhalten Daten indem du sie benutzt. Eine VPN Verbindung oder sogat TOR bringt hier wenig bis gar nichts
- Chinesischen Spionen, weil du Vertreter eines deutschen Unternehmens bist: Nimm eine VPN Verbindung, ziemlich egal welche. Beschwere dich aber nicht, weil es so inperformant ist.
- Der NSA oder ähnliches: Bitte VPN aber warum bist du der meinung die NSA interessiert sich für dich?
und TOR: Wenn du willst, dass die NSA mitliest NUTZE TOR. Ein besseres Geschenk kannst du ihnen gar nicht machen. Wer anderer Meinung ist, hat keinerlei Ahnung von Kryptologie / Nachrichtenwesen. Und auch nicht von TOR. Tor hilft vielleicht vor Strafverfolgungsbehörden, aber sicher nicht vor NSA und GHQC.
Betriebssystem:Wer annimmt Windows 10 sei ein großer Haufen Spyware, hat imho keinerlei Ahnung. Punkt.
Ich versuche es trotzdem mal wertneutral zu kommentieren indem ich ein paar Gegenfragen stelle:
Weist du, was ein SSH Tunnel ist? könntest du herausfinden (auf der Shell) ob gerade einer eingerichtet und aktiv ist?
Hast du schon mal eine Firewall auf der Kommandozeile eingerichtet und verwaltet?
Oder kurz gesagt: Weist du was unter Linux passiert, wenn du rm -rf eingibst?
Linux, bzw. die verschiedenen Linux Derivate sind sehr gut (in ihrem Anwendungsgebiet) und auch sehr mächtig.(und haben deshalb bei Servern auch völlig berechtigt einen sehr hohen Marktanteil)
Allerdings sind Linux Instanzen die von Amateuren verwaltet werden sicher deutlich unsicherer als alle Windows der Welt zusammen.
Die User wissen es nur nicht. Überspitzt gesagt sind wohl annähernd alle gejailbreaketen iPhone dieses Planeten offen wie ein Scheunentor, die Superuser wissen es nur nicht.
Ich stolpere eigentlich ständig über Probleme mit Linux Servern, und da sind angeblich Profis am Werk (Die verkonfigurieren sich aber auch bei Windows Servern, nur seltener)
Was ich damit sagen will: Linux ist für Profis. Amateure sind sicher nicht besser dran als Windows User, eher schlechter.
WEBCAM/Mikrofon:Schon mal versucht den Treiber zu deinstallieren? Bzw. das Gerät einfach zu deaktivieren?
15 Sekunden Arbeit und schon ist die Kamera tot.