Sinnhaftigkeit von Passwortschutz

[Amadeus]

Hallo AT-Community!

Wollte kurz eine Erfahrung mit Euch teilen und Eure Meinung dazu wissen.

Ich hatte für ein Excel - Sheet unter OfficeMac 2004 ein Passwort zum Abspeichern benutzt. Es kam wie es kommen musste: Datei ewig lange nicht verwendet, Passwort vergessen.

Ergebnis: :-c

Dann machte ich mich natürlich im WWW auf die Suche, um der Arbeit aus dem Wege zu gehen alles noch einmal mühsam eingeben zu müssen.

Und siehe da: Auf der Website von Decryptum wird jede Word/Excel Datei online entschlüsselt - gegen eine Einmalzahlung von $ 39. Kein Schnäppchen, aber wenn man sich einen Tag Arbeit dafür erspart, kann man schwach werden.

Wurde ich auch. Kredit gekauft, Datei uploaden, 30 Sekunden gewartet, Datei von der Website geknackt wieder downgeloadet, feddisch!

Einerseits erfreulich (für mich! :-D), andererseits möchte ich diese Erfahrung gleichzeitig als Tipp wie auch als Warnung weitergeben -- der Passwortschutz unter Office ist wirklich nur geeignet, um den Gelegenheits-Datendieb abzuschrecken, der sich für 20 Sekunden an den eigenen Rechner setzt.

Sobald jemand die Datei in Kopie hat, kann man den Passwort-Schutz in der Pfeife rauchen...

Schönen Abend noch allerseits!

Grüsse
Amadeus

P.S.: Ich hoffe ich erzähle hier nicht grossspurig "Neuigkeiten", die eh schon jeder AT'ler kennt

 

[Ram]

Ist doch altbekannt dass man Office und Rar Passwörter mit brute Force schnell knacken kann

 

[Amadeus]

Ist doch altbekannt dass man Office und Rar Passwörter mit brute Force schnell knacken kann

Irrtum Ram...das Passwort wird hier überhaupt nicht angetastet.

Bei einem Passwort wie "&Ie34jwe87r6%§&$/53gte%$§(73" ist auch die Brute Force Methode alles andere als schnell, ausser Du hast einen Cray zu Hause stehen.

Stattdessen wird die Datei selber dechiffriert, sozusagen auf Low-Level Ebene. Anders wäre das Knacken des Schutzes (z.B. mit Brute Force) innerhalb von wenigen Sekunden wohl nicht zu erklären.

Also nix mit "altbekannt"

Grüsse
Amadeus

 

[Herr Sin]

@Amadeus: Ds ist mal ein geiles Passwort. Muss ich mir merken. Normalerweise suche ich mir Passwörter nach Sätzen aus. zB "Meine Freundin hat 1999 ihr Abi gemacht." Passwort = MFh1iAg.

 

[Amadeus]

@Amadeus: Ds ist mal ein geiles Passwort. Muss ich mir merken. Normalerweise suche ich mir Passwörter nach Sätzen aus. zB "Meine Freundin hat 1999 ihr Abi gemacht." Passwort = MFh1iAg.

Klar, ist bei meinem Passwort natürlich genauso....mmmmh...wie hiess der Satz doch gleich?


Grüsse
Amadeus

 

[Cyrics]

oha
das passwort ist echt mal einmalig! Und das für ein Excel Sheet *lach* so ein PW hätte ich für meinen Webserver genommen.

ich lass mir die PWs von OSX vorschlagen... oder mache es auch mit Sätzen, wobei ich aber echte Sätze nehme, ohne Leerzeichen... dann werden Vokale etc. durch Zahlen und Sonderzeichen ausgetauscht zwischen drin immer noch ein Ausrufezeichen etc.... und schon hat man ein 20 stelliges PW...

einem Otto-normal Hacker würde das nie auffallen, aber wenn es Möglichkeiten gibt, die die ersten 5-7 Stellen ausgeben, kann man sich den Rest auch zusammen reimen. Aber gibt es ja zum Glück nicht

PS: achja und Gross und Kleinschreibung nicht vergessen... lustig varrieren damit
Am besten in einem fließenden Rhythmus, der sich ergibt wenn man auf der Tastatur tippt...

Beispiel: m3iNeSc4W€sT3r!M4gd4S!

 

[Amadeus]

oha :-D
das passwort ist echt mal einmalig! Und das für ein Excel Sheet *lach* so ein PW hätte ich für meinen Webserver genommen.

ähhm..der Vollständigkeit halber sollte ich vielleicht anmerken, dass meine Beispiel natürlich NICHT das Passwort war, sondern nur irgendeine zufällige Tipperei, um das Problem bzw. das Versagen der Brute Force Methode zu verdeutlichen - sonst glaubt Ihr noch, ich bin total meschugge :-D

Das tatsächliche Passwort habe ich wie gesagt bei dieser Methode nicht erfahren, weil es gar nicht erst geknackt werden musste, sondern durch dechiffrieren des File-Infos umgangen wurde. Das Passwort dürfte ja hier keine echte Verschlüsselung sein, sondern lediglich ein Schutz vor unbefugtem Öffnen der Datei - oder sehe ich das falsch?

Grüsse
Amadeus