Category Archives: Security

Marketing: Microsoft will einfachste Passwörter unterbinden

Posted on by

Und die Welt ist wieder um eine Lachnummer bereichert worden. Nur gefühlte 10 Jahre nachdem der Rest der Welt Passwörter wie „12345“ „passwort“ „password“ usw. nicht mehr zuläßt, kommt dem selbsternannten Weltmarkführer der Gedanke : „Hey, laßt uns doch einfache Passwörter verbieten.“

Selbst vor 15 Jahren konnte man solche Passwörter bei meinem damaligen Arbeiter schon nicht mehr verwenden, und nur weil LinkedIn mal eben 175 Millionen Passwörter „verloren“ hat, erfaßt Microsoft jetzt auch die Angst, daß man deren Passworttestroutinen, bzw. das Fehlen davon, mal in so einem „Hack“ bloßstellen könnte.

Merke: Passwörter die nur aus Zahlen bestehen, nur aus Buchstaben oder gar aus Wörtern sind schon Anbeginn der Passwortära ein Problem.

Hier mal ein kleines Rechenbeispiel zum Thema Passwortlänge und Zahlen/Groß- und Kleinbuchstaben:

Es gibt 26 Großbuchstaben und Kleinbuchstaben ohne Umlaute und 10 Ziffern, macht 62 mögliche Zeichen.
Wenn man nur Ziffern verwendet kommt man bei 6 Stellen auf 1 Millionen Möglichkeiten, die ein Angreifer durchtesten muß. Das geht relative schnell mit moderner Hardware. Nimmt man die Buchstaben dazu kommt man bei 6 Stellen auf 56.800.235.584 also 56 Milliarden mögliche Kombinationen. Klingt viel, ist es aber nicht. Richtig groß wird es, wenn man statt 6 Stellen 20 Stellen nimmt, denn dann werden es 72 … ja , wie nennt man eine Zahl mit 35! Stellen ? .. wer weiß es, wer weiß es ? na !? nicht spoilern ! …  ok hier ist es   … 72 Quintilliarden und ein paar zerquetschte 😉  Das rechnet auch die NSA nicht mal ebend durch.

Mit jedem zusätzlichen Zeichen wie „. , ; ö ä ü +* “ usw. werden die Zahlen größer und größer und damit dauert es länger und länger es durchzuprobieren. Wer rausbekommt, was eine Zentillion an Stellen so hat, kanns ja mal posten 😉 Aber bitte nur mit Beispiel, wo so eine Zahl auftritt 😉

Beispiel: für 6 Stellen nur Ziffern ( 10 Möglichkeiten )

10^6 = 10 * 10 * 10 * 10 * 10 * 10 = 1.000.000 Möglichkeiten

Beispiel: für 6 Stellen nur Ziffern+Groß+Kleinbuchstaben

62^6 = 56.800.235.584 Möglichkeiten

Beispiel: für 20 Stellen nur Ziffern+Groß+Kleinbuchstaben

62^20 = 70.442.342.554.699.802.296.833.026.461.637.000 Möglichkeiten

Legende:

^3 Tausend
^6 Millionen
^9 Milliarden
^12 Billionen
^15 Billiarden
^18 Trillionen
^21 Trilliarden
^24 Quadrillion
^27 Quadrilliarde
^30 Quintillion
^33 Quintilliarde

Quelle: heise.de

Nicht witzig: Tracking per Audio-Fingerprinting

Posted on by

Forscher der Princeton University haben einer neuen Trackingtechnik auf die Finger geschaut und festgestellt, daß 80% der TOP Webseiten im Netz Ihre User über ein neues Trackingverfahren namens Audio-Fingerprinting verfolgen. Mehr oder minder sind es natürlich die Werbenetzwerke die den User damit tracken.

Benutzt wird dazu die Audio-Context API moderner Browser. Wie man vermuten würde, müßte hier Ton im Spiel sein, aber dazu müßte der Browser die Einwilligung des Benutzers einholen und das würde auffallen, also trackt man den User anhand der Geräte spezifischen Daten wie Signale verarbeitet werden.

A third-party tracker uses the AudioContext API to send low-frequency sounds to a user’s computer and then measures how the computer processes the data, creating a unique fingerprint based on the hardware and software capabilities of the user’s computer.

Meint, er sind ein Signal per API erzeugt, an die Audiohardware geschickt und dann geschaut was zurück kommt. Das wird auch beim Canvas-Fingerprinting benutzt.

Alle diese Methoden setzen aber Javascript voraus und sind damit mit NoScript leicht zu deaktivieren. NoScript bleibt damit das nützlichste Privacytool überhaupt.

Auf der Webseite der Hackernews findet sich auch eine Übersicht, wer trackt und wie. Treibende Kraft dahinter scheint Google zu sein.

Wer das mal live sehen will, klickt hier. Immer dran denken, ohne Javascript funktioniert es nicht.

 

FBI warnt: Kauft nur unsere verbuggten USB Charger

Posted on by

Das FBI warnt im USA derzeit vor verwanzten USB-Ladegeräten. Hintergrund ist, daß ein Hacker letztes Jahr bereits ein äußerlich harmlos erscheinendes USB-Ladegerät gebaut hat, in dem aber noch zusätzlich ein auf einem Arduino basierender WLAN Sniffer verbaut war. Das kleine Gerät war so gut, daß es z.b. kabellose Tastaturen und Mäuse abgehört, das WLAN überwacht und die Ergebnisse per SMS an den Hacker geschickt hat. Selbstverständlich war das ein anständiger Hacker, der seine Ergebnisse veröffentlicht hat 🙂

Diese kleine Wanze haben jetzt aber Kriminelle für sich entdeckt und fluten den Markt mit solchen USB Ladegeräten, die dann alles dem sie habhaft werden können, an den Hersteller schicken. Das dies derzeit weder NSA noch FBI sind, wird vor den Geräten tatsächlich gewarnt.

Logische Konsequenz: Wenn man ein neues Gerät bekommt, muß man es erst in seine Bestandteile zerlegen um nachzusehen, ob da nicht mehr drin ist, als sein sollte.

Das erinnert irgendwie schwer an die Sache mit dem zusätzlichen GSM Modem im EC Terminal vor 3 Jahren.

Quelle: http://thehackernews.com/2016/05/usb-charger-keylogger.html