Hilfe - Daten plötzlich alle verschlüsselt
- Ersteller ArvidBlixen
- Erstellt am
Starszy
Benutzer
- Mitglied seit
- 13. Feb 2018
- Beiträge
- 79
- Punkte für Reaktionen
- 16
- Punkte
- 64
Mal eine Anmerkung zur Passwortsicherheit:
Mein Admin-Passwort hat 9 Zeichen, voller Zeichensatz (Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben).
Damit komme ich auf 350 Billiarden Kombinationen.
Wenn jemand Brute-Force über's Netz machen will, kann er vielleicht 10 Versuche pro Sekunde erreichen.
Bei 10 Versuchen pro Sekunde bräuchte der Angreifer im schlechtesten Fall (die letzte Kombination ist die Richtige) um die 0,35 Quadrillionen Sekunden entsprechend etwa 1,1 Milliarden Jahre.
Rechnen wir mal realistisch den Faktor 1.000 runter, komme ich immer nioch auf 1 Million Jahre.
Wenn ich das betrachte, kann es eigentlich nur ein erfolgreicher Angriff über eine Sicherheitslücke gewesen sein.
Dagegen hilft die 2FA aber auch nicht ...
Mein Admin-Passwort hat 9 Zeichen, voller Zeichensatz (Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben).
Damit komme ich auf 350 Billiarden Kombinationen.
Wenn jemand Brute-Force über's Netz machen will, kann er vielleicht 10 Versuche pro Sekunde erreichen.
Bei 10 Versuchen pro Sekunde bräuchte der Angreifer im schlechtesten Fall (die letzte Kombination ist die Richtige) um die 0,35 Quadrillionen Sekunden entsprechend etwa 1,1 Milliarden Jahre.
Rechnen wir mal realistisch den Faktor 1.000 runter, komme ich immer nioch auf 1 Million Jahre.
Wenn ich das betrachte, kann es eigentlich nur ein erfolgreicher Angriff über eine Sicherheitslücke gewesen sein.
Dagegen hilft die 2FA aber auch nicht ...
Sequoia
Benutzer
- Mitglied seit
- 14. Dez 2017
- Beiträge
- 1.019
- Punkte für Reaktionen
- 88
- Punkte
- 74
Ich gehe mal davon aus, dass es durchaus hier betroffene User gibt, die kurze Passwörter verwenden (gerade für den Admin, da "man sich das ja in jedem Fall merken muss"), dazu kein 2FA aktiviert haben.
Wäre natürlich toll, wenn sich die betroffenen User hier äußern würden, und ggf. einen solchen Fehler eingestehen würden. Ist ja nicht schlimm, das Kind ist eh schon in den Brunnen gefallen. Aber es wäre eine deutliche Warnung an zukünftige Betroffene.
Wäre natürlich toll, wenn sich die betroffenen User hier äußern würden, und ggf. einen solchen Fehler eingestehen würden. Ist ja nicht schlimm, das Kind ist eh schon in den Brunnen gefallen. Aber es wäre eine deutliche Warnung an zukünftige Betroffene.
- Mitglied seit
- 05. Sep 2012
- Beiträge
- 3.259
- Punkte für Reaktionen
- 600
- Punkte
- 174
Um genau zu sein sind das bei....
- 10 Ziffern (0-9)
- 52 Buchstaben (A-Z und a-z)
- 32 Sonderzeichen (ohne Leerzeichen)
Kurz nachgerechnet ergibt sich hiermit die Anzahl an möglichen Kombinationen zu: 94^9=5,729E17
Bringen wir den Wert auf die Basis von einer Billiarde (10E15) entspricht dies einem Wert von 572,9E15
Somit sind es sogar knapp 573 Billiarden Kombinationen
Leider entspricht dies einer Entropie von gerade mal 59.
Zuletzt bearbeitet:
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.103
- Punkte für Reaktionen
- 545
- Punkte
- 154
Moinsen,
dass es schon einigermaßen sicher zu sein scheint, aber noch Luft nach oben ist:
https://en.wikipedia.org/wiki/Password_strength
Hier unter "required bits of entropy zur Einschätzung...
Und auf deutsch nochmal was zur Rechnung:
https://www.aspectra.ch/blog/passwoerter-je-komplexer-desto-sicherer---oder-etwa-nicht---b695
Und dann kommt es natürlich auch noch auf die Methode an usw.
Ich selber find das ja immer zu viel Mathe (hust hust) und schalte leider oft ab nach wenigen Sätzen...
Und toll wäre es ja eh schon für einen nicht zu kleinen Teil der werten Userschaft, wenn die default Kontonamen und (bei manchen Herstellern immer noch vorhandenen) default PW1234 Passworte geändert werden.
Lang, komplex, nicht für diverse Dienste gleich, dazu möglichst für die wichtigen Konten, die es möglich machen, 2fa und oder public-key Verfahren. Ist gaub ich wichtiger , als ob die Entropy nun bei 51 oder 64 liegt (auch wenn das ein riesen Unterschied wäre).
dass es schon einigermaßen sicher zu sein scheint, aber noch Luft nach oben ist:
https://en.wikipedia.org/wiki/Password_strength
Hier unter "required bits of entropy zur Einschätzung...
Und auf deutsch nochmal was zur Rechnung:
https://www.aspectra.ch/blog/passwoerter-je-komplexer-desto-sicherer---oder-etwa-nicht---b695
Und dann kommt es natürlich auch noch auf die Methode an usw.
Ich selber find das ja immer zu viel Mathe (hust hust) und schalte leider oft ab nach wenigen Sätzen...
Und toll wäre es ja eh schon für einen nicht zu kleinen Teil der werten Userschaft, wenn die default Kontonamen und (bei manchen Herstellern immer noch vorhandenen) default PW1234 Passworte geändert werden.
Lang, komplex, nicht für diverse Dienste gleich, dazu möglichst für die wichtigen Konten, die es möglich machen, 2fa und oder public-key Verfahren. Ist gaub ich wichtiger , als ob die Entropy nun bei 51 oder 64 liegt (auch wenn das ein riesen Unterschied wäre).
- Mitglied seit
- 03. Jan 2022
- Beiträge
- 2.179
- Punkte für Reaktionen
- 1.012
- Punkte
- 224
Und was genau ist denn jetzt die Entropie? Und wird in welcher Einheit gemessen? Die Frage hast du jetzt nicht wirklich beantwortet…
Es muss ja einen mathematischen Unterschied zwischen einer Entropie von 50 und eine Entropie von 60 geben.
Es muss ja einen mathematischen Unterschied zwischen einer Entropie von 50 und eine Entropie von 60 geben.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.065
- Punkte für Reaktionen
- 2.053
- Punkte
- 259
Die Entropie macht unterschiedliche Ansätze, Schlüsselstärke zu bestimmen vergleichbar.
Letzten Endes wird die Komplexität ganz unterschiedlicher Verschlüsselungen in einen Wert zur Basis 2 übertragen. Eine Entropie von 50 entspricht einer Folge von 50x einem bit (0 oder 1). Eine von 60 dementsprechend 60 bits Länge.
Das kann auf unterschiedliche Weise erreicht werden, durch mehr verschiedene Buchstaben und Symbole bei kürzerem Schlüssel, oder weniger Elemente bei längerem Schlüssel. Die verlinkten Artikel sind da doch ganz aussagekräftig, finde ich.
Letzten Endes wird die Komplexität ganz unterschiedlicher Verschlüsselungen in einen Wert zur Basis 2 übertragen. Eine Entropie von 50 entspricht einer Folge von 50x einem bit (0 oder 1). Eine von 60 dementsprechend 60 bits Länge.
Das kann auf unterschiedliche Weise erreicht werden, durch mehr verschiedene Buchstaben und Symbole bei kürzerem Schlüssel, oder weniger Elemente bei längerem Schlüssel. Die verlinkten Artikel sind da doch ganz aussagekräftig, finde ich.
- Mitglied seit
- 05. Sep 2012
- Beiträge
- 3.259
- Punkte für Reaktionen
- 600
- Punkte
- 174
Das steht ja in dem bereits verlinkten Wikipedia Artikel:
Wird in bits angegeben.
Somit gilt allgemein: Entropie
H = Log2(N^L) = Ln(N^L) / Ln(2)Wobei N die Anzahl der möglichen Zeichen und L die Passwortlänge angibt.
Und somit ist eine größere Entropie auch ein Maß für die Schwierigkeit ein Passwort zu erraten.
Wird die Entropie eines Passworts um nur 1 bit erhöht, verdoppelt sich auch die Anzahl an Vermutungen um and das richtige Passwort zu gelangen.
Steht auch bereits in der oben zitierten Textpassage aus Wikipedia.
"Thus, increasing the entropy of the password by one bit doubles the number of guesses required, making an attacker's task twice as difficult."
Also um so höher die Entropie um so schwieriger wird es per Zufall sein, das Passwort zu erraten.
Hallo,
Einspruch! Die Entropie ist eine thermodynamische Zustandsgröße eines Systems und wird in J/K angegeben. Wenn man die Informations-Entropie bzw Entropie der Informationstheorie meint so sollte man das auch so angeben. Dem Ingenieur stehen sonst die Haare zu Berge.
Gruß Götz
Einspruch! Die Entropie ist eine thermodynamische Zustandsgröße eines Systems und wird in J/K angegeben. Wenn man die Informations-Entropie bzw Entropie der Informationstheorie meint so sollte man das auch so angeben. Dem Ingenieur stehen sonst die Haare zu Berge
.Gruß Götz
… jetzt weiss ich wieder, warum auf der Oberstufe Mathe nicht gerade mein Lieblingsfach war… 
Meine Admin-Accounts haben total unlogische Namen und immer über 100 Zeichen-Passwörter mit Gross- und Kleinschreibung sowie Sonderzeichen und Zahlen. Passwortserver sowie SecureSignin machen das problemlos möglich. Persönlich würde ich insbesondere bei den Admin-Accounts jedem dazu raten. Zusätzliche Sicherheit bietet, wenn die Ordner auf der DS, in denen allfällige Backups lagern, nur dem Admin und nicht auch noch per Netzwerkfreigabe auf einem Computer zugänglich sind. So fällt das Risiko, dass diese verschlüsselt werden via PC schon mal weg und sind viel leichter wiederherzustellen. Die 3-2-1 Regel ist auch ein Muss (falls möglich natürlich), wobei es sich auch empfiehlt, dass jede DS einen Admin mit jeweils anderem Passwort hat.
Auf meinen Backup-DS gibt es nur einen Admin-Account, die einzige Verlinkung zwischen den DS besteht über Hyper-Backup. Auf meiner “Haupt-DS“ hat darum auch nur der Admin Zugriff auf Hyper-Backup. Zusätzlich habe ich auch die vorgenannten Firewall-Regeln sowie die automatische Blockierung eingerichtet. Ports sind nur die allernötigsten auf und nicht die offensichtlichen. Und sogar wenn mir mal der PC und die damit verbundenen Netzwerklaufwerken der DS verschlüsselt werden, so kann ich beides dank der vorgenannten Rechteeinstellung via Snapshot, Hyperbackup und AB4B mit dem Admin-Account schnell wiederherstellen.
Weil mich das Thema interessiert habe ich mal spasseshalber auf einer isolierten DS eine Domain installiert, die sowohl einen Nachnamen, wie auch zwei Vornamen enthalten hat. Beide Vornamen habe ich auf der DS als User installiert. Sonst hielt ich die Regeln ein, die ich vorgängig geschildert habe. Zum quasi Anlocken habe ich die Ports 5000 und 5001 nach aussen freigegeben. Hat auch relativ schnell funktioniert und die Bots waren da. Reingekommen sind sie aber nie. Was mir aber aufgefallen ist, und darum ging es mir ja: es gab nie einen Versuch, die Namen zu benutzen, welche die Domain ja enthalten hat. Wäre ja naheliegend. Das hat mir aber auch gezeigt, dass die “automatisierten„ Bots einfach die IP-Adressen „abklappern“ und die gängigen User, sowie Passwortkombinationen durchspielen. Ich nehme an, wirklich mit einem beschäftigen tun sie sich erst, wenn sie reinkommen. Ist ja aus deren Sicht auch nachvollziehbar.
Das all diese Sicherheitsmassnahmen aber unbedingt nötig sind, zeigen mir die Zugriffe auf meine IP, welche ich im Synology-Router bei Firewall sehen kann. Ich habe am letzten Samstag die Regeln neu konfiguriert. Seit dann habe ich aus den Ländern, welche per se keinen Zugriff haben (das sind bei mir ausser Deutschland und die Schweiz alle) bereits über 50000 versuchte Zugriffe gehabt, die von dieser Firewall-Regel abgeblockt worden sind. Das ist schon eine beeindruckende aber auch beunruhigende Zahl.
Ev. bietet das für den einen oder anderen auch Inputs, die helfen.
Meine Admin-Accounts haben total unlogische Namen und immer über 100 Zeichen-Passwörter mit Gross- und Kleinschreibung sowie Sonderzeichen und Zahlen. Passwortserver sowie SecureSignin machen das problemlos möglich. Persönlich würde ich insbesondere bei den Admin-Accounts jedem dazu raten. Zusätzliche Sicherheit bietet, wenn die Ordner auf der DS, in denen allfällige Backups lagern, nur dem Admin und nicht auch noch per Netzwerkfreigabe auf einem Computer zugänglich sind. So fällt das Risiko, dass diese verschlüsselt werden via PC schon mal weg und sind viel leichter wiederherzustellen. Die 3-2-1 Regel ist auch ein Muss (falls möglich natürlich), wobei es sich auch empfiehlt, dass jede DS einen Admin mit jeweils anderem Passwort hat.
Auf meinen Backup-DS gibt es nur einen Admin-Account, die einzige Verlinkung zwischen den DS besteht über Hyper-Backup. Auf meiner “Haupt-DS“ hat darum auch nur der Admin Zugriff auf Hyper-Backup. Zusätzlich habe ich auch die vorgenannten Firewall-Regeln sowie die automatische Blockierung eingerichtet. Ports sind nur die allernötigsten auf und nicht die offensichtlichen. Und sogar wenn mir mal der PC und die damit verbundenen Netzwerklaufwerken der DS verschlüsselt werden, so kann ich beides dank der vorgenannten Rechteeinstellung via Snapshot, Hyperbackup und AB4B mit dem Admin-Account schnell wiederherstellen.
Weil mich das Thema interessiert habe ich mal spasseshalber auf einer isolierten DS eine Domain installiert, die sowohl einen Nachnamen, wie auch zwei Vornamen enthalten hat. Beide Vornamen habe ich auf der DS als User installiert. Sonst hielt ich die Regeln ein, die ich vorgängig geschildert habe. Zum quasi Anlocken habe ich die Ports 5000 und 5001 nach aussen freigegeben. Hat auch relativ schnell funktioniert und die Bots waren da. Reingekommen sind sie aber nie. Was mir aber aufgefallen ist, und darum ging es mir ja: es gab nie einen Versuch, die Namen zu benutzen, welche die Domain ja enthalten hat. Wäre ja naheliegend. Das hat mir aber auch gezeigt, dass die “automatisierten„ Bots einfach die IP-Adressen „abklappern“ und die gängigen User, sowie Passwortkombinationen durchspielen. Ich nehme an, wirklich mit einem beschäftigen tun sie sich erst, wenn sie reinkommen. Ist ja aus deren Sicht auch nachvollziehbar.
Das all diese Sicherheitsmassnahmen aber unbedingt nötig sind, zeigen mir die Zugriffe auf meine IP, welche ich im Synology-Router bei Firewall sehen kann. Ich habe am letzten Samstag die Regeln neu konfiguriert. Seit dann habe ich aus den Ländern, welche per se keinen Zugriff haben (das sind bei mir ausser Deutschland und die Schweiz alle) bereits über 50000 versuchte Zugriffe gehabt, die von dieser Firewall-Regel abgeblockt worden sind. Das ist schon eine beeindruckende aber auch beunruhigende Zahl.
Ev. bietet das für den einen oder anderen auch Inputs, die helfen.
@sky63: Absolut richtig. Darum ist dieses Passwort auch noch auf USB-Sticks zusammen mit den Hyperschlüsseln und an anderen Orten hinterlegt (auch ausserhalb meines Heimes), damit ich im Notfall darauf zugreifen könnte. Die USB-Sticks sind ebenfalls mit einem Passwort verschlüsselt. Ich bin da etwas extrem aber aus Schaden wird man eben klug und vorsichtig.
2FA und auch das APP SecureSignIn braucht eine aktive Internetverbindung um zu funktionieren oder?
Was mache ich dann bei einem Internet Ausfall o.ä.?
Was mache ich dann bei einem Internet Ausfall o.ä.?
- Mitglied seit
- 30. Dez 2012
- Beiträge
- 13.278
- Punkte für Reaktionen
- 5.577
- Punkte
- 524
Kann im schlechtesten Fall Tage dauern, bei ner Fallback Lösung kann ich ja dann auch drauf verzichten, weil die Fallback Lösung ja dann als Angriffsziel dienen kann?
Ernst gemeinte Frage, da ich meine Daten schon sicher haben möchte
Ernst gemeinte Frage, da ich meine Daten schon sicher haben möchte
- Mitglied seit
- 30. Dez 2012
- Beiträge
- 13.278
- Punkte für Reaktionen
- 5.577
- Punkte
- 524
Die Antwort war auch ernst gemeint, wieso soll die Fallback Leitung z.b. UMTS ein Einfallstor sein?
- Mitglied seit
- 04. Jan 2012
- Beiträge
- 5.488
- Punkte für Reaktionen
- 1.325
- Punkte
- 234
Die alt bewährte 2FA geht meines Wissens nach auch offline.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
