"Das Zeitalter des Passworts ist vorbei"

das muss doch CrackerInnen heißen, AngreiferInnen alleine ist nicht konsequent, wenn schon denn schon.

frage: mädchenname meiner mutter
antwort: a%sdo 319u5rj klnw;Lv-602§aesarvghj 480230slkdmSADvf sv.,mwaerß9 u243oinm)uokj3k$MN:

problem gelöst.

Mja, das dachte ich auch immer.
Hatte dann jedoch eine fröhliche Episode:

Mein Account wurde gesperrt (aufgrund "verdächtiger" Zugriffsversuche auf meinen Account). Man konnte sich nicht mehr einloggen.
--> Bitte Passwort zurücksetzen.

Und nun raten Sie mal was ich dafür benötigt habe: Richtig meine Sicherheitsfrage :)
Da habe ich mich aber gefreut. Habe die nämlich ähnlich wie in Ihrem Beispiel beantwortet.

Seitdem notiere ich die Antworten (zufällige Zeichenfolge) zu den Fragen in guter alter Bleistift/Notizbuch-Manier... Schlimm schlimm.

manche menschen sind einfach zu dumm, um sichere systeme zu designen, da kann man gar nichts machen.

aber was will man tun wenn sie einem allen ernstes eine auswahl von 5 fragen anbieten, die jeder beantworten kann der mich kennt?

Wo liegt da das Problem? Geben Sie einfach falsche Antworten an, aber merken Sie sich die falschen Antworten.

Ich setze KeepassX seit Jahren ein, verschlüsselt abgelegt in meiner Wuala-Cloud. Mäßig bequem, aber besser als nix. Zugriff von iPad, Android-Handy, Linux und Windows aus möglich.

Eh, kann man machen. Bei mir ist dann aber schnell der Punkt erreicht wo ich überlege, ob ich jene vertrottelte Site wirklich brauche.

Oder auch nicht kennt.
In der Social-Network Zeit einfach ein Wahnsinn.

Aber die Frage fand ich toll:
"Mit wem hatten Sie Ihren 2ten Kuss?" (oder so ähnlich)

Ist ja schon ein wenig besser als die Mädchenname-Geschichte :D

Antwort: "Mit deiner Mutter du Anfänger" ;-)

Einige hier schreiben wie toll weil sicher Biometrie ist und das ist sie auch allerdings nur in sehr teuren Systemen!

Totz allem arbeitet Biometrie mit Wahrscheinlichkeiten, da unsere biometrischen Merkmale nicht so eindeutig sind wie ein Hashwart eines Passwortes (einen Algorithmus mit möglichst großem Hashwert vorausgesetzt)

Probleme bei der Biometrie ist die Einstellung der notwendigen Ähnlichkeitsgrenze. Ist sie zu hoch hat man eine hohe false rejection rate also User die nicht zugelassen werden obwohl sie es sollten.
Zu nieder ist noch schlimmer da hat man die false acception rate. User die Zugriff bekommen obwohl sie es nicht sollten.

Beides wird es bei der Biometrie immer geben (das eine mehr dann das andere weniger und umgekehrt)

Ja, und genau das ist dann die Standard-Einstellung.
Grund: User, die sich z.B. trotz Scans der eigenen Iris nicht am System anmelden könne, werden sehr schnell sehr verärgert --> hohes Supportaufkommen.

Wenn aber die Hürde niedrig gehalten wird, regt sich nichemand auf, weils eh keiner merkt ... btw. auch nicht die Betrüger ;-)

Absolut korrekt.
Und man kann davon ausgehen, dass bei diesen Lösungen eher mal eine höhere "false acception rate" in Kauf genommen wird (wobei man das bei Mehrfaktor in Kauf nehmen kann).

Irisscan und Fingerprint wird sich wohl sowieso nicht durchsetzen, da die Benutzer-Akzeptanz gering ist.
Da sehe ich eher noch Chancen bei der Handvenenerkennung - da hat man bis dato noch keine so negative Assoziation, meiner Meinung nach.

Wir dürfen ja nicht vergessen, wieso verwenden viele Firmen im Web diese Sicherheitsabfrage? Weil sie billig ist!
Viele User bedeuten auch oft Passworte zurücksetzen. Sowas automatisieren spart geld. Die FAR hochsetzen ebenso, denn durch eine FRR könnte man ja Kunden verlieren. Alles auf Kosten der Sicherheit.

Biometrische Messgeräte sind ja auch nicht billig! Für einen Irisscanner bezahlt man mindestens 600 USD. Das man da gute Qualität bekommt wage ich aber zu bezweifeln!
Au0erdem muss man den dann immer mitschleppen weil man ja auch wo anders mal sein Webservice nutzt.

In Summe unpraktisch und teuer. Wird sich beim Consumer nicht durchsetzen! Sowas leisten sich nur Unternehmen die Wert auf Sicherheit legen

... AUF'S AUG' GEDRÜCKT?!
(C:

Wie sieht es eigentlich mit Authenticatoren aus ala WOW? In Verbindung mit einem guten Passwort macht das Accounts schon ziemlich sicher oder?

Biometrische Daten, DNA-Sequenzen, gehts noch? Wer das dann nutzen wird, ist auch schon klar.

Der sichere Zugang ist ein Hoax. Computer basieren auf dem binären Code, also 0 und 1. Was davor geschalten wird an Hokuspokus spielt überhaupt keine Rolle, denn alle Informationen werden als Nullen und Einsen gespeichert und sind als solche zu hacken und zu stehlen.

"Der sichere Zugang ist ein Hoax. Computer basieren auf dem binären Code, also 0 und 1. Was davor geschalten wird an Hokuspokus spielt überhaupt keine Rolle, denn alle Informationen werden als Nullen und Einsen gespeichert und sind als solche zu hacken und zu stehlen."

Was für ein Unsinn. Unglaublich.
Tipp: Lesen Sie zumindest mal den Artikel über Kryptographie auf Wikipedia, bevor Sie noch solche geistigen Höchstleistungen von sich geben.

es 100% Sicherheit nicht gibt und alles hackbar ist.
Mit dieser Aussage hat er recht!

Der Unterschied zwischen guten und schlechten Systemen bzw. abgesicherter Information ist die Dauer die man benötigt zur Kompromittierung!

Richtig, und wenn die Dauer zur Kompromittierung ausreichend hoch ist (z.B. 100 Jahre), dann ist das Verfahren durchaus als (Hausnummer) 99,99999% sicher anzusehen. Im Falle einer Email-Adresse ausreichend.

Der Hack, auf den der Artikel sich bezieht, hat auch überhaupt nichts damit zu tun, dass der Zugang nicht sicher wäre, sondern, dass der Mensch (Help-Desk) versagt hat.

100% Sicherheit gibt es sowieso nie im Leben, das ist klar. Authentifizierungsprozesse als Hokuspokus zu bezeichnen und von 0en und 1sen zu schwafeln ist jedoch einfach Unsinn.

Also 100 Jahre ist ein extrem schlechter Wert, da ich meine Rechenressourcen ja nur verhundertfachen müsste um akzeptable Werte zu bekommen.

Nur so als Rendbemerkung, 100 Jahre aus heutiger Sicht sind keine 95 Jahre in 5 Jahren in bezug auf Sicherheit!

Warum Sie plötzlich auf den Artikel referenzieren ist mir schleierhaft, da das in der von Prometheus angefangenen Diskussion keine Relevanz hat. Er sagt Sicherheit ist eine Illusion (sofern ich ihn richtig verstehe) und sie antworten auch darauf ohne Bezug zum Honan Hack. Plötzlich kommen Sie damit.

Natürlich gehe ich mit Prometheus Ansicht nicht 100% konform (@Hokuspokus) trotzdem ist es schön, dass sie mir recht geben, es gibt keine 100% Sicherheit.

Ich habe auf den Hack im Artikel verwiesen, da er schön zeigt, dass das Problem meist nicht die Technik, sondern der Faktor Mensch ist.
Das ist in den Kommentaren zu einem Artikel ja wohl erlaubt ;-)

Bzgl. 100% Sicherheit. Das ist ja wohl klar. Die gibt es aber sowieso nirgends. Genauso könnte man argumentieren: Sicherheitsgurt im Auto ist sowieso Unsinn. Sicherheit ist eine Illusion, wozu anschnallen?

Die IT-Sicherheit ist nunmal gar nicht dazu da 100% Sicherheit zu gewährleisten. Viel mehr geht es darum das Risiko für einen Einbruch zu minimieren.

Hoax würde ich das jedoch nicht nennen.

Da kann ich nur 100% zustimmen!

Was ihre Aussage hinsichtlich Risiko betrifft, die ist so nicht richtig. IT Security reduziert nicht Risk, die reduziert Vulnerabilies!

Risk ist die Wahrscheinlichkeit das eine bestehende Vulnerability ausgenutzt wird UND der damit verbundene business impact. Mit Risk beschäftigt sich das Risk Management. Eine Möglichkeit ist Risk zu minimieren durch die Implementierung von Gegenmaßnahmen. Allerdings kann Risk oft auch transferiert werden z.B. Abschluss einer Versicherung!

Bezüglich Risk und IT-Security: Auch wenn ich darauf gar nicht hinaus wollte - da liegen Sie leider falsch.
https://www.unifr.ch/it-securi... definition

Es wäre ziemlicher Unsinn wahllos (und ohne Priorisierung) Schwachstellen ohne Bewertung des Schadenpotentials und der Eintrittswahrscheinlichkeit zu reduzieren.
Aber egal.

Btw: Ihre Erklärung bzgl. Risk Management ist natürlich richtig.

Wenn Sie die in ihrem Link angesprochenen Quellen durchsehen würden ebenso wie z.B.
NIST, ENISA oder das österr. Sicherheitshandbuch würden Sie erkennen, dass meine Aussage richtig ist zumal Sie der sind, der in meine Aussage ein "ohne Bewertung" hineininterpretiert.
Zeigen Sie mir doch wo ich schreibe das man Vulnerabilities ohne eine Risikoanalyse angeht?

Ich kenne ihren Hintergrund nicht, gebe aber zu, dass Sie sich durchaus mit der Thematik beschäftigt haben. Mir zu sagen, dass ich mit meiner Aussage falsch liege, zeigt, dass Sie doch noch viele Punkte des Themas nicht verstanden haben. Vor allem mit dem Link den sie verwenden denn die Uni Freiburg ist bei dem Thema irrelevant den Link haben sie einfach im googel gefunden - stimmts :)

Mit der Aussage "IT Security reduziert nicht Risk, die reduziert Vulnerabilies!" natürlich.

Die ist nämlich quatsch. Da Sie ja bereits das Ö Sicherheitshandbuch erwähnt haben - ich rate Ihnen nicht nur die Überschrift zu lesen, sondern das Dokument zu verstehen.

Bzgl. ohne Bewertung: Da Sie behaupten, IT-Security behandle ausschließlich Schwachstellen. Eine Schwachstelle sagt eben noch nichts über den möglichen Schaden oder das Risiko aus (Dafür müssen nämlich auch die Bedrohungen mitberücksichtig werden).

Bzgl. der Quelle: Irrelevant, da es nur um eine Begriffdefinition ging. Genausogut hätte ich Wikipedia oder besser die ISO 17799 (die jedoch nicht frei zugänglich ist) zitieren können. Die sollten Sie btw auch mal lesen.

Oje...
Die 100 Jahre waren natürlich nur ein Beispiel.
Z.B.: Ein Bruteforce-Angriff auf ein Passwort in einem Web-Portal (Gmail, o. ä. ).
Wobei man für die Berechnung die Anzahl der Möglichkeiten durch die Versuche pro Sekunde dividiert. Bei einem Webportal ist dieser Wert z.B. vollkommen unabhängig von der Rechenleistung, da üblicherweise ab einer gewissen Anzahl an Versuchen der Account für eine Zeitspanne z.B. 1 Minute gesperrt wird.
Somit ist die Anzahl pro Minute unabhängig von der Rechenleistung. Abhängig von der Passwortkomplexität ist die notwendige Zeit für eine Übereinstimmung natürlich höher (wobei auch hier - es handelt sich immer nur um Wahrscheinlichkeiten).