Hilfe - Daten plötzlich alle verschlüsselt

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Absolut klasse. Ganz lieben Dank! Werde es jetzt gerade so einstellen!
 

Starszy

Benutzer
Mitglied seit
13. Feb 2018
Beiträge
79
Punkte für Reaktionen
16
Punkte
64
Mal eine Anmerkung zur Passwortsicherheit:

Mein Admin-Passwort hat 9 Zeichen, voller Zeichensatz (Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben).
Damit komme ich auf 350 Billiarden Kombinationen.

Wenn jemand Brute-Force über's Netz machen will, kann er vielleicht 10 Versuche pro Sekunde erreichen.
Bei 10 Versuchen pro Sekunde bräuchte der Angreifer im schlechtesten Fall (die letzte Kombination ist die Richtige) um die 0,35 Quadrillionen Sekunden entsprechend etwa 1,1 Milliarden Jahre.
Rechnen wir mal realistisch den Faktor 1.000 runter, komme ich immer nioch auf 1 Million Jahre.

Wenn ich das betrachte, kann es eigentlich nur ein erfolgreicher Angriff über eine Sicherheitslücke gewesen sein.
Dagegen hilft die 2FA aber auch nicht ...
 
  • Like
Reaktionen: Flessi

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Ich gehe mal davon aus, dass es durchaus hier betroffene User gibt, die kurze Passwörter verwenden (gerade für den Admin, da "man sich das ja in jedem Fall merken muss"), dazu kein 2FA aktiviert haben.

Wäre natürlich toll, wenn sich die betroffenen User hier äußern würden, und ggf. einen solchen Fehler eingestehen würden. Ist ja nicht schlimm, das Kind ist eh schon in den Brunnen gefallen. Aber es wäre eine deutliche Warnung an zukünftige Betroffene.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
600
Punkte
174
Mein Admin-Passwort hat 9 Zeichen, voller Zeichensatz (Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben).
Damit komme ich auf 350 Billiarden Kombinationen.
Um genau zu sein sind das bei....
  • 10 Ziffern (0-9)
  • 52 Buchstaben (A-Z und a-z)
  • 32 Sonderzeichen (ohne Leerzeichen)
in Summe 94 Zeichen die man verwenden kann.

Kurz nachgerechnet ergibt sich hiermit die Anzahl an möglichen Kombinationen zu: 94^9=5,729E17

Bringen wir den Wert auf die Basis von einer Billiarde (10E15) entspricht dies einem Wert von 572,9E15

Somit sind es sogar knapp 573 Billiarden Kombinationen ;)

Leider entspricht dies einer Entropie von gerade mal 59.
 
Zuletzt bearbeitet:

Starszy

Benutzer
Mitglied seit
13. Feb 2018
Beiträge
79
Punkte für Reaktionen
16
Punkte
64
Entrophie - ein Maß für die Gleichverteilung oder Ungleichverteilung.
Was sagt uns ein absoluter Wert - in diesem Fall 59 ?
 
  • Like
Reaktionen: Monacum

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.103
Punkte für Reaktionen
545
Punkte
154
Moinsen,
dass es schon einigermaßen sicher zu sein scheint, aber noch Luft nach oben ist:
https://en.wikipedia.org/wiki/Password_strength
Hier unter "required bits of entropy zur Einschätzung...
Und auf deutsch nochmal was zur Rechnung:
https://www.aspectra.ch/blog/passwoerter-je-komplexer-desto-sicherer---oder-etwa-nicht---b695

Und dann kommt es natürlich auch noch auf die Methode an usw.
Ich selber find das ja immer zu viel Mathe (hust hust) und schalte leider oft ab nach wenigen Sätzen...

Und toll wäre es ja eh schon für einen nicht zu kleinen Teil der werten Userschaft, wenn die default Kontonamen und (bei manchen Herstellern immer noch vorhandenen) default PW1234 Passworte geändert werden.

Lang, komplex, nicht für diverse Dienste gleich, dazu möglichst für die wichtigen Konten, die es möglich machen, 2fa und oder public-key Verfahren. Ist gaub ich wichtiger , als ob die Entropy nun bei 51 oder 64 liegt (auch wenn das ein riesen Unterschied wäre).
:)
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.179
Punkte für Reaktionen
1.012
Punkte
224
Und was genau ist denn jetzt die Entropie? Und wird in welcher Einheit gemessen? Die Frage hast du jetzt nicht wirklich beantwortet…

Es muss ja einen mathematischen Unterschied zwischen einer Entropie von 50 und eine Entropie von 60 geben.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.065
Punkte für Reaktionen
2.053
Punkte
259
Die Entropie macht unterschiedliche Ansätze, Schlüsselstärke zu bestimmen vergleichbar.

Letzten Endes wird die Komplexität ganz unterschiedlicher Verschlüsselungen in einen Wert zur Basis 2 übertragen. Eine Entropie von 50 entspricht einer Folge von 50x einem bit (0 oder 1). Eine von 60 dementsprechend 60 bits Länge.

Das kann auf unterschiedliche Weise erreicht werden, durch mehr verschiedene Buchstaben und Symbole bei kürzerem Schlüssel, oder weniger Elemente bei längerem Schlüssel. Die verlinkten Artikel sind da doch ganz aussagekräftig, finde ich.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
600
Punkte
174
Und was genau ist denn jetzt die Entropie?
Das steht ja in dem bereits verlinkten Wikipedia Artikel:

Entropy as a measure of password strength[edit]​

It is usual in the computer industry to specify password strength in terms of information entropy, which is measured in bits and is a concept from information theory. Instead of the number of guesses needed to find the password with certainty, the base-2 logarithm of that number is given, which is commonly referred to as the number of "entropy bits" in a password, though this is not exactly the same quantity as information entropy.[9] A password with an entropy of 42 bits calculated in this way would be as strong as a string of 42 bits chosen randomly, for example by a fair coin toss. Put another way, a password with an entropy of 42 bits would require 242 (4,398,046,511,104) attempts to exhaust all possibilities during a brute force search. Thus, increasing the entropy of the password by one bit doubles the number of guesses required, making an attacker's task twice as difficult. On average, an attacker will have to try half the possible number of passwords before finding the correct one.[4]

Und wird in welcher Einheit gemessen?
Wird in bits angegeben.

Somit gilt allgemein: Entropie H = Log2(N^L) = Ln(N^L) / Ln(2)
Wobei N die Anzahl der möglichen Zeichen und L die Passwortlänge angibt.

Und somit ist eine größere Entropie auch ein Maß für die Schwierigkeit ein Passwort zu erraten.

Wird die Entropie eines Passworts um nur 1 bit erhöht, verdoppelt sich auch die Anzahl an Vermutungen um and das richtige Passwort zu gelangen.
Steht auch bereits in der oben zitierten Textpassage aus Wikipedia.
"Thus, increasing the entropy of the password by one bit doubles the number of guesses required, making an attacker's task twice as difficult."

Also um so höher die Entropie um so schwieriger wird es per Zufall sein, das Passwort zu erraten.
 
  • Like
Reaktionen: the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.103
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Schön, dass manche auch die links dazu lesen, vor allem, weil es ja nun auch ein komplexes Thema ist.
;)
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.151
Punkte für Reaktionen
396
Punkte
393
Hallo,
Einspruch! Die Entropie ist eine thermodynamische Zustandsgröße eines Systems und wird in J/K angegeben. Wenn man die Informations-Entropie bzw Entropie der Informationstheorie meint so sollte man das auch so angeben. Dem Ingenieur stehen sonst die Haare zu Berge:geek:.

Gruß Götz
 

Heimi75

Benutzer
Mitglied seit
10. Jan 2020
Beiträge
250
Punkte für Reaktionen
80
Punkte
28
… jetzt weiss ich wieder, warum auf der Oberstufe Mathe nicht gerade mein Lieblingsfach war… 😇
Meine Admin-Accounts haben total unlogische Namen und immer über 100 Zeichen-Passwörter mit Gross- und Kleinschreibung sowie Sonderzeichen und Zahlen. Passwortserver sowie SecureSignin machen das problemlos möglich. Persönlich würde ich insbesondere bei den Admin-Accounts jedem dazu raten. Zusätzliche Sicherheit bietet, wenn die Ordner auf der DS, in denen allfällige Backups lagern, nur dem Admin und nicht auch noch per Netzwerkfreigabe auf einem Computer zugänglich sind. So fällt das Risiko, dass diese verschlüsselt werden via PC schon mal weg und sind viel leichter wiederherzustellen. Die 3-2-1 Regel ist auch ein Muss (falls möglich natürlich), wobei es sich auch empfiehlt, dass jede DS einen Admin mit jeweils anderem Passwort hat.
Auf meinen Backup-DS gibt es nur einen Admin-Account, die einzige Verlinkung zwischen den DS besteht über Hyper-Backup. Auf meiner “Haupt-DS“ hat darum auch nur der Admin Zugriff auf Hyper-Backup. Zusätzlich habe ich auch die vorgenannten Firewall-Regeln sowie die automatische Blockierung eingerichtet. Ports sind nur die allernötigsten auf und nicht die offensichtlichen. Und sogar wenn mir mal der PC und die damit verbundenen Netzwerklaufwerken der DS verschlüsselt werden, so kann ich beides dank der vorgenannten Rechteeinstellung via Snapshot, Hyperbackup und AB4B mit dem Admin-Account schnell wiederherstellen.
Weil mich das Thema interessiert habe ich mal spasseshalber auf einer isolierten DS eine Domain installiert, die sowohl einen Nachnamen, wie auch zwei Vornamen enthalten hat. Beide Vornamen habe ich auf der DS als User installiert. Sonst hielt ich die Regeln ein, die ich vorgängig geschildert habe. Zum quasi Anlocken habe ich die Ports 5000 und 5001 nach aussen freigegeben. Hat auch relativ schnell funktioniert und die Bots waren da. Reingekommen sind sie aber nie. Was mir aber aufgefallen ist, und darum ging es mir ja: es gab nie einen Versuch, die Namen zu benutzen, welche die Domain ja enthalten hat. Wäre ja naheliegend. Das hat mir aber auch gezeigt, dass die “automatisierten„ Bots einfach die IP-Adressen „abklappern“ und die gängigen User, sowie Passwortkombinationen durchspielen. Ich nehme an, wirklich mit einem beschäftigen tun sie sich erst, wenn sie reinkommen. Ist ja aus deren Sicht auch nachvollziehbar.
Das all diese Sicherheitsmassnahmen aber unbedingt nötig sind, zeigen mir die Zugriffe auf meine IP, welche ich im Synology-Router bei Firewall sehen kann. Ich habe am letzten Samstag die Regeln neu konfiguriert. Seit dann habe ich aus den Ländern, welche per se keinen Zugriff haben (das sind bei mir ausser Deutschland und die Schweiz alle) bereits über 50000 versuchte Zugriffe gehabt, die von dieser Firewall-Regel abgeblockt worden sind. Das ist schon eine beeindruckende aber auch beunruhigende Zahl.
Ev. bietet das für den einen oder anderen auch Inputs, die helfen.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Kleine Anmerkung noch hierzu @Heimi75.

Wiederherstellung aus dem Backup muss auch funktionieren wenn du keinen funktionierenden Passwortserver mehr hast.

gruss,
sky
 
  • Like
Reaktionen: Heimi75

Heimi75

Benutzer
Mitglied seit
10. Jan 2020
Beiträge
250
Punkte für Reaktionen
80
Punkte
28
@sky63: Absolut richtig. Darum ist dieses Passwort auch noch auf USB-Sticks zusammen mit den Hyperschlüsseln und an anderen Orten hinterlegt (auch ausserhalb meines Heimes), damit ich im Notfall darauf zugreifen könnte. Die USB-Sticks sind ebenfalls mit einem Passwort verschlüsselt. Ich bin da etwas extrem aber aus Schaden wird man eben klug und vorsichtig.
 

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
434
Punkte für Reaktionen
65
Punkte
28
2FA und auch das APP SecureSignIn braucht eine aktive Internetverbindung um zu funktionieren oder?

Was mache ich dann bei einem Internet Ausfall o.ä.?
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.278
Punkte für Reaktionen
5.577
Punkte
524
Warten bis das Internet wieder funktioniert oder auf deine Fallback Lösung zurückgreifen :cool:
 

geheim5000

Benutzer
Mitglied seit
27. Dez 2018
Beiträge
434
Punkte für Reaktionen
65
Punkte
28
Kann im schlechtesten Fall Tage dauern, bei ner Fallback Lösung kann ich ja dann auch drauf verzichten, weil die Fallback Lösung ja dann als Angriffsziel dienen kann?

Ernst gemeinte Frage, da ich meine Daten schon sicher haben möchte
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.278
Punkte für Reaktionen
5.577
Punkte
524
Die Antwort war auch ernst gemeint, wieso soll die Fallback Leitung z.b. UMTS ein Einfallstor sein?
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Und wenn Internetausfall, dann kann doch keiner mehr von außen drauf.
Zudem: mehrere Tage Internetausfall? Wo lebst Du, wenn ich fragen darf?
Hatte ich seit den Anfang-2000ern nicht.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.488
Punkte für Reaktionen
1.325
Punkte
234
  • Like
Reaktionen: DMHas und luddi


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat