Passwort, Falsche Richtlinien, genrelle Sicherheitbedenken
6 years ago
Sehr geehrte Damen und Herren,
vor einigen Tagen habe ich meinen alten Vertrag bei der Telekom erneuert. In diesem Zuge habe ich mir ein Benutzerkonto bei der Telekom erstellt. Eigentlich wollte ich das nicht tun, aber um seine neue Sim-Karte zu aktivieren, muss man ein Online Konto bei der Telekom besitzen. Übrigens hat man mich darauf beim Verkauf nicht hingewiesen, ich ging davon aus, dass meine alte Sim-Karte automatisch deaktiviert und die neue automatisch aktiviert wird. Ein Hinweis wäre ganz nett gewesen.
Ich musste mir also ein Benutzerkonto bei der Telekom erstellen. Dabei sind mir zwei grundlegende Sicherheitsprobleme aufgefallen, die ich so eigentlich nicht hinnehmen möchte.
1) Benutzername ist automatisch die angegebene EMail-Adresse und gleichzeitig auch die Handynummer (falls eine Verknüpfung im Konto erstellt wird, was bei mir Aufgrund der Sim-Karten Aktivierung notwendig war)
2) Das Passwort darf ANGEBLICH bis zu 16 Zeichen lang sein und Zahlen, Groß-, Kleinbuchstaben sowie Sonderzeichen enthalten. TATSÄCHLICH, konnte ich nur 12 Zeichen wählen (jedes längere Passwort hat zum Fehler geführt) und wenn man sich in der Magenta TV App einloggen will, geht das nur, wenn das Passwort keine Sonderzeichen enthält (siehe https://telekomhilft.telekom.de/t5/Fernsehen/magenta-tv-login/td-p/3546636).
Zu 1) Benutzername und Email Adressen sind bei fast allen Anbietern zwei VERSCHIEDENE Felder in der Datenbank. Der Grund ist, dass EMail Adressen weitergegeben werden. Ein potentieller Angreifer kommt sehr einfach an den ersten Authentifizierungsfaktor, wenn EMail und Benutzername identisch sind. Seine Handynummer gibt man, genau so wie seine Email Adresse, sehr häufig weiter (oder schreibt sie sogar in die Email Signatur). Mit der Handynummer hat der Angreifer sogar zwei Möglichkeiten den ersten Authentifizierungsfaktor zu knacken. Darüberhinaus sollte man zur Authentifizierung stets Werte/Strings benutzen, die eindeutig (erfüllt) und veränderbar (nicht erfüllt) sind. Meine Handynummer ist nicht veränderbar. Wenn Sie "geklaut" wird, habe ich keine Möglichkeit sie zu ändern (Das ist auch der Grund warum Fingerabdrücke ganz schlechte Passwörter abgeben).
Das sind absolute basics in IT Sicherheit. Ich habe keinen besonderen Hintergrund in IT Sicherheit und weiß das trotzdem. Was ist mit euch los?
Zu 2) Es ist weitläufig akzeptierte Meinung, dass Passwörter mindestens 16 Zeichen haben müssen, um sicher zu sein. Alles darunter ist ein Spiel mit dem Feuer. Aber ich konnte ja nicht Mal 16 Zeichen angeben, obwohl die Passwort-Richtlinien das behauptet haben. Nach schrittweiser Verkleinerung der Passwortlänge, waren 12 Zeichen, das erste was angenommen wurde. Ein Passwort aus 12 Zeichen ist NICHT sicher. Mit einem guten Computer kann man das sogar brute forcen!
Als ich mich vor wenigen Minuten auf dem Handy in die Magenta TV App einloggen wollte und gescheitert bin, fand ich dann den oben verlinkten Artikel. Ich muss jetzt also auch noch Sonderzeichen aus meinem Passwort verbannen. Klasse! Fabelhafte Leistung! Echt talentierte Leute bei euch!
Leute, ihr schafft es nicht mal eine annehmbare Sicherheitsarchitektur für Benutzerkonten zu entwerfen und wollt jetzt in 5G machen? Lernt erstmal die Basics! Hasht ihr die Benutzernamen und Passwörter wenigstens, oder speichert ihr die einfach im Klartext in der Datenbank?
Wie geht es jetzt weiter? Kurzfristig muss ich natürlich eure sehr sehr schlechte IT Sicherheitspolitik hinnehmen. Gibt es mittelfristig für mich einen Hebel die Telekom zu einer vernünftigen Sicherheitspolitik zu zwingen? Vielleicht weiß jemand aus der Community mehr dazu?
Mit freundlichen Grüßen
Johannes
394
13
This could help you too
453
0
5
in
988
0
3
2 years ago
in
206
0
2
6 years ago
Als nächstes redest du von IT Basics?
Okay hast dich selbst disqualifiziert .. hab aufgehört zu lesen.
7
Answer
from
6 years ago
Wie gesagt ich bin kein Experte dafür.
dann tue doch auch nicht so.
Passwörter sollten aus mindestens drei Gruppen von möglichen 4 bestehen.
Kleinbuchstaben
Grossbuchstaben
Ziffern
Sonderzeichen
Der BSI empfiehlt für sichere Passwörter 8 oder mehr Stellen - aber sicherlich spricht er nicht von mindestens 16 Stellen
12 stellige Passwörter aus drei der vier Gruppen
https:/checkdeinpasswort.de/
Ein herkömmlicher PC könnte dein Passwort innerhalb von 1 Millionen Jahren knacken.
Ich denke das langt
und brute force Methoden funktionieren nur, wenn du den Passwort Hash offline hast - hast du aber nicht
Online ist die Verzögerung zwischen zwei Versuchen so, dass es Faktor 10.000 langsamer wird, wenn die Webseite überhaupt mehr als ein paar Fehlversuchen erlaubt ohne das Konto zu sperren.
Ob jetzt länger Passwörter wirklich zum Fehler führen habe ich nicht geprüft - sollte natürlich nicht so sein, wenn da von 16 Stellen gesprochen wird.
Die Mailadressee ist faktisch Standard und üblich für den Benutzernamen bei webbasierten Anmeldungen.
Das muss nicht so sein, bietet aber durchaus den Vorteil, dass ihn sich Benutzer auch merken können.
Ändert sich die Mailadresse, muss man über das Backend natürlich auch den Benutzernamen ändern können.
Ist bei der Telekom gegeben. sie sind lang,komplex und änderbar.
Answer
from
6 years ago
gerade noch mal im Passwortmanger geschaut.
Mein Festnetzkundencenterpasswort ist 16 Stellen lang und enthält Klein-, Grossbuchstaben, Ziffern und Sonderzeichen.
Die Anmeldung in der MagentaTV App war damit absolut unproblematisch - trotz dem anderes lautenden Artikel
Die Webseite von oben meint dazu
Ein herkömmlicher PC könnte dein Passwort innerhalb von 23 Billionen Jahren knacken
Answer
from
6 years ago
@Stefan
jaja, die alten "mOnOwaller" und &, die haben's noch drauf...
Unlogged in user
Answer
from
6 years ago
2
Answer
from
6 years ago
das ist der größte Schwachsinn, denn ich seit einiger Zeit gelesen habe,
irgendeine - zumindest wenigstens erfundene -Begründung dafür, warum dies Wahnsinn ist oder warum es geändert werden muss?
der Durchschnittsuser ist mit 8 stelligen Passwörtern am Limit und passwörter länger als 16 Zeichen ergeben keinen erkennbaren mehrwert.
Answer
from
6 years ago
Die Möglichkeiten verschiedene Passwörter zu generieren, potenziert sich mit der zunehmenden Anzahl von Stellen. Aber es braucht nicht unbedingt 16 Stellen, damit es in Billionenbereiche geht.
Nehmen wir an, für eine beliebige Stelle im Passwort kann man nur lateinische Buchstaben setzen, und dabei wird nach Groß- und Kleinschreibung unterschieden. Dann sind das schon mal 26 mal 2 Möglichkeiten = 52 Möglichkeiten, was an einer Stelle als Zeichen stehen kann. Hinzu kommen die Ziffern 0 bis 9, somit sind es dann 52 + 10 = 62 Möglichkeiten, was an einer Stelle stehen kann. Lassen wir mal die Sonderzeichen weg, welche bei manchen Passwörtern möglich sind.
Bei den folgenden Berechnungen berücksichtige ich somit nur den die oben genannte Zeichenauswahl:
Hat das Passwort nur zwei Stellen dann sind es 62 mal 62 Möglichkeiten, wie die Zeichen an den zwei Stellen kombiniert werden könnten, oder auch 2 hoch 62 = 3.844 verschiedene Passwörter möglich, wenn das Passwort nur 2 Stellen hat. Sind es drei Stellen dann gibt es 62 mal 62 mal 62 Möglichkeiten = 3 hoch 62 = 238.328 verschiedene Passwörter möglich mit nur 3 Stellen.
Nach dieser Vorgehensweise sind bei einem 8-stelligen Passwort so viele verschiedene Passwörter möglich: 62 mal 62 mal 62 mal 62 mal 62 mal 62 mal 62 mal 62 = 8 hoch 62 Die Zahl ist so groß, dass sie mein Taschenrechner mit 55 Stellen vor der Null angibt. Kannst dir selbst ausrechnen, wie viel es dann Möglichkeiten sind, wenn es sogar 12 oder 16 Stellen sind.
Wenn es so viele Versuche gibt zum Einloggen mit Misserfolg, dann sperrt die Telekom den Zugang zum Kundencenter vorübergehend, und zwar schon vorher, bevor es zu dieser Masse kommt.
Unlogged in user
Answer
from
6 years ago
Hey,
@Stefanmeint "Der BSI empfiehlt für sichere Passwörter 8 oder mehr Stellen - aber sicherlich spricht er nicht von mindestens 16 Stellen" und weiter "Ein herkömmlicher PC könnte dein Passwort innerhalb von 23 Billionen Jahren knacken".
Die Aussage über das BSI stimmt (https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html). Sie schreiben dort aber auch, dass zB. WLAN Passwörter gerne 20 Stellen haben dürfen. Wahrscheinlich weil es dort typischerweise keine Maßnahmen gegen wiederholte Fehlversuche gibt. Darauf weist @Stefan auch hin: "Online ist die Verzögerung zwischen zwei Versuchen so, dass es Faktor 10.000 langsamer wird, wenn die Webseite überhaupt mehr als ein paar Fehlversuchen erlaubt ohne das Konto zu sperren". Die 23 Billionen Jahre stimmen vielleicht für 16 Zeichen, aber da ich nur 12 Zeichen durchgekriegt habe und anscheinend die Sonderzeichen rausnehmen muss, sind wir eher bei 5000 Jahren (https://www.1pw.de/brute-force.php). Das mag immer noch viel klingen, aber ich habe es offensichtlich gerne sicher 😃
@Sherlockaund @Stefan giben mir Tipps, wie ich meine Passwörter wählen sollte. Zb sollte ich Passwörter nicht für mehrere Seiten verwenden (eindeutig!), sie sollten nichts mit meinem Namen oder sonstigen Daten von mir zu tun haben (zufällig!) und aus mindestens 3 von vier Zeichengruppen Zeichen enthalten (komplex!).
Ich lasse meine Passwörter von KeyPass offline generieren und anschließend in einer verschlüsselten Datenbank speichern. Die Datenbank ist mit einem Masterpasswort von 25 Zeichen gesichert. Häufig kenne ich die Passwörter zu meinen Accounts selber gar nicht mehr, dafür gibt es auf 2 verschiedenen Datenträgern Backups der Passwortdatenbank. Es wäre alles fein, wenn mir die Telekom erlauben würde sichere Passwörter zu setzen.
Wenn es hier um einen online gaming account oder irgendein blödes Forum gehen würde, hätte ich gar kein Problem. Aber in dem Telekom Account sind mir einfach zu viele persönliche Daten gespeichert. Da würde ich gerne ein sicheres Passwort setzen... was das für mich heißt habe ich beschrieben, das Leute da anderer Meinung sind, habe ich verstanden.
Zurück zu meiner Ausgangsfrage: Gibt es einen Hebel? Steht irgendwo, dass man bei besonders schützenswerten Accounts gewisse Mindeststandards bei den Passwörter ermöglichen muss? Oder lesen in diesem Community Forum auch echte Mitarbeiter der Telekom mit? Fühlt sich jemand von denen jetzt vielleicht berufen sich im Unternehmen für eine stärkere Sicherheitsarchitektur einzusetzen?
1
Answer
from
6 years ago
da ich nur 12 Zeichen durchgekriegt habe und anscheinend die Sonderzeichen rausnehmen muss, sind wir eher bei 5000 Jahren (https://www.1pw.de/brute-force.php). Das mag immer noch viel klingen, aber ich habe es offensichtlich gerne sicher 😃
da ich nur 12 Zeichen durchgekriegt habe und anscheinend die Sonderzeichen rausnehmen muss, sind wir eher bei 5000 Jahren (https://www.1pw.de/brute-force.php). Das mag immer noch viel klingen, aber ich habe es offensichtlich gerne sicher 😃
nein bei einer Million Jahre, wie ich zuvor schon geschrieben habe und du ja gerne Überprüfen kannst.
Wobei es natürlich darauf ankommt was man unter einem üblichen Rechner versteht.
Aber immer noch hast du keinen Passworthash um überhaupt damit anzufangen und den wirst du auch nicht bekommen.
zudem gehen ja 16 Stellen mit Sonderzeichen, habe ich ja auch. Möglicherweise verwendet bei dir KEYPASS aber Sonderzeichen die nicht erlaubt sind
Hacker setzen den Hebel da, wo es am leichtesten ist. Keiner bei Verstand wird ein 12 oder ger 16 stelligen gesalteten Passworthash Brute Force knacken. Da ist ein Angriff auf deinen Passwortmanager mittels Keylogger oder Trojaner sehr viel wahrscheinlicher
wlan Passwörter sollen deshalb 20 Stellen sein, weil das Verschlüsselungsprotokoll murks ist und auch noch per Funk übertragen wird
Unlogged in user
Answer
from
Unlogged in user
Ask
from