OMM Solutions
TECHtalk #7
< OMM Solutions GmbH > 1
www.tech-talks.eu

Einmal im Monat ist TECHtalk Zeit! First come first served!
< OMM Solutions GmbH > 2

Talk: Passwörter lang oder kurz?
Speaker: Malte Horstmann
3< OMM Solutions GmbH >

Drauf
• Was passiert da draußen?
• Verkauf von geklauten Datenbanken
• Wie werden Passwörter eigentlich gehackt?
• Statistiken nutzen
• Durchprobieren
• Und was soll ich nun machen?
• K4/Ui2$-Lo7.3Ad§2ß1P2s oder
KlausBäckt8NackteFlüße.
• Passwort-Manager
• MFA/2FA
Nicht-drauf
• Primzahlen
• RSA, ECC
• KDF
• Kryptographie im Detail
• höhere Mathematik
• Owasp
• SSH
• PGP
• S/Mime
Agenda
< OMM Solutions GmbH > 4

Yes, you‘ve been!
Have you been pwned?
• s***a@****e
• Neteller
• Account balances, Dates of birth, Email addresses, Genders, IP
addresses, Names, Phone numbers, Physical addresses, Security
questions and answers, Website activity
• m*******r@g*****m
• Dropbox, Patreon
• Email addresses, Passwords; Email addresses, Payment histories,
Physical addresses, Private messages, Website activity
• p***h@g*****m
• Dropbox, Adobe, … in total 7 Accounts
• Dates of birth, Email addresses, Genders, IP addresses, Passwords,
Security questions and answers, Usernames, Website activity, Password
hints, Passwords, Usernames, Account balances, Email addresses, IP
addresses
• a****8@****e
• Adobe, Last.fm, moneybookers
• Email addresses, Password hints, Passwords, Usernames, Website
activity, IP addresses, Names, Phone numbers, Physical addresses
erstes Learning: https://haveibeenpwned.com
eintragen und benachrichtigen lassen
< OMM Solutions GmbH > 5

Wo landen meine Passwörter?
• Täglich werden Datenbanken geklaut (und verkauft)
• ….
• Mai 2012 (2016): LinkedIn: 164 Millionen E-Mail Adressen + Passwörter
• Mitte 2012 (2016): Dropbox: 68 Millionen E-Mail Adressen + Passwörter
• Herbst 2016: Exploit.In: 593 Millionen E-Mail Adressen
inkl. verschiedener Passwörter
• Dez 2016: Anti Public Combo List: 458 Millionen E-Mail Adressen + Passwörter
• Aug 2017: Onliner Spambot: 711 Millionen Email-Adressen
zu großen Teilen mit Passwörtern
• Bis heute: 233 Webseiten/Portale
• Statische Daten aus den Datensätzen
• 75% der Passwörter wurde mehr als einmal verwendet
• 306 Millionen Passwörter verfügbar
• 4,7 Milliarden Accounts
Was passiert da draußen?
< OMM Solutions GmbH > 6
Wurden deine Passwörter schon einmal genackt?
 https://haveibeenpwned.com/Passwords
Solche Services nie mit aktuell verwendeten Passwörtern ausprobieren!

Dann kann man sie immer noch erraten…
Wie hackt man Passwörter?
• Grundlage
• Datenbanken speichern Passwörter als Hashes
• asd123 -> 0x428a04b….
• Hash nicht umkehrbar
• Wird die Datenbank geklaut, weiß der Dieb die Passwörter nicht
 Angreifer probieren alle möglichen Passwörter durch
• Online
• Angreifer muss online sein und hat Verzögerungen
• Nach n Versuchen blockiert der Server (hoffentlich)
• Offline
• Angreifer kann so viel versuchen und so schnell wie er möchte
• Hash-Werte (SHA-256) berechnen
• moderner PC: 100.000.000 Hashes/s
• moderne Grafikkarte (~1000€): 4.000.000.000 Hashes/s
• Extreme Optimierung durch Statistiken, Passwort-Muster, und AI
• 42% aller Passwörter verwenden nur Kleinbuchstaben
• Buchstabe ‚e‘ kommt in 50% aller Passwörter vor; ‚f‘ nur in 8%
• Menschen verwenden meistens sehr ähnliche Muster (GkkkkkZZ)
Passwortlänge und Entropie
• 95 druckbare Zeichen
• Beispiel: aA2.-$
• 956 ≈ 240 Möglichkeiten
 40 Bit Entropie
• <5 Minuten auf einer
modernen Grafikkarte
 50 Bit Entropie
• 8 verschiedene Zeichen
• <4 Tagen auf einer
modernen Grafikkarte
 60 Bit Entropie
• 10 verschieden Zeichen
• > 3000 Tage auf einer
modernen Grafikkarte
Und wenn meine Passwörter noch nicht geknackt wurden?
< OMM Solutions GmbH > 7

Es kommt auf die Länge an… und nicht immer auf Bill Burr (NIST) hören.
• 6 zufällig gewählte Zeichen: ≈ 40 Bit Entropie
• Eine (!) Grafikkarte in wenigen Minuten bis Stunden
• 10 und mehr zufällig gewählte Zeichen: > 65 Bit Entropie
• > 3000 Tage auf einer Grafikkarte
• Die Sicherheit reduziert sich drastisch wenn Passwörter keine
Zufallskombinationen sind!
• “B0!58%i+2-” = mehrere Wochen auf Tausenden Rechnern
• Tr0ub4dour0711!” = wenige Minuten auf einer (!) Grafikkarte
• Schlechte Passwörter
• Erratbare Begriffe: “Stuttgart”, “franzxaver”
• Namen oder Stichtage: “Klaus”, “09sep2001”
• Wort aus dem Wörterbuch, auch Verfremdung hilft nicht:
“Lichtgeschwindigkeit”, “Sh3ttl4nd-TerrIer”, “Tr0ub4dour”
• Wortkombinationen: “Adam.2+%;7Eva”
Was soll ich nun machen?
< OMM Solutions GmbH > 8

Nochmal als Tabelle
< OMM Solutions GmbH > 9

maschinelle zufällige Kombinationen sind besser
• Zufällig maschinell generierte Passwörtern mit 12 und mehr
Zeichen “FDaob^^.spNc”
• > 70 Bit Entropie
 Problem: Wie merke ich mir eine solche Kombination?
• Einfacher:
• Kombination aus mind. vier seltenen zufällig gewählten Wörtern
“MagenStockSchereSchlauch”
• > 80 Bit Entropie
• Noch leichter: PassSätze
• komplett absurde Sätze wie:
KlausBäckt8NackteFlüße.
• 120 Bit Entropie
 Problem:
Ich will doch nicht jedes Mal so ein langes Passwort eingeben
Frage:
Warum ist
KlausBäckt8NackteFlüße.
kein gutes Passwort mehr?
Übrigens: Dein Passwort darf
auch Leerzeichen und Emojis
enthalten.
Was soll ich nun machen?
< OMM Solutions GmbH > 10

Die kurze Einarbeitung lohnt sich
Passwortmanager nutzen
• Ein Master-Kennwort schützt die anderen
Kennwörter
• Für jeden Account ein eigenes Passwort
• Je nach Passwortmanager kann man die
Passwörter direkt in Login-Seiten einfüllen
lassen
• Meine Empfehlung
Keepass + KeePassHttp + chromeIPass
• Weitere Passwort-Manager
• 1Password
• LastPass
• …
< OMM Solutions GmbH > 11
Passwortmanager installieren und
nutzen
 http://keepass.info/download.html

OTP und 2FA sind zwei Beispiele davon
Multi-Faktor Authentifizierung
Weitere Gefahren
• Social Engineering
• Phising
• Brute Force Attacken
• Shoulder Surfing
• Key-Logger
• …
Lösungsmöglichkeiten
• Authentifizierung über „wer du bist“
• Biometrie
• Fingerabdruck, Stimme, Retina, DNA(?)
• Authentifizierung über „was du hast“
• Hardware-Token
• Software
• Mobile Phone
• Bekannt: Google Authenticator und Authy
< OMM Solutions GmbH > 12

• Have you been pwned?
• https://haveibeenpwned.com/
• Introducing 306 Million Freely Downloadable Pwned Passwords
• https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/
• How Big is your Haystack …and how well hidden is YOUR needle?
• https://www.grc.com/haystack.htm
• How Artificial Intelligence Can Be Used For Password Guessing
• https://hackernoon.com/how-artificial-intelligence-can-be-used-for-password-guessing-
cf4fd4184a46
• https://arxiv.org/abs/1709.00440
• Make users' passwords 5-6 orders of magnitude harder to crack.
• https://www.korelogic.com/Resources/Presentations/bsidesavl_pathwell_2014-06.pdf
• Die besten Passwort-Manager
• https://www.computerwoche.de/a/die-besten-passwort-manager,2519783
< OMM Solutions GmbH > 13

https://xkcd.com/936/
Xkcd erklärts
< OMM Solutions GmbH > 14

Vielen Dank für Eure Aufmerksamkeit!
15< OMM Solutions GmbH >

Ihr persönlicher Ansprechpartner
Fragen oder Interesse?
< OMM Solutions GmbH > 16
Malte Horstmann
Sales & Processes
OMM Solutions GmbH
Vor dem Lauch 4
70567 Stuttgart
Germany
mh@omm-solutions.de
+49 (0)711 67 47 05 11

17< OMM Solutions GmbH >
www.omm-solutions.de
OMM Solutions GmbH
Vor dem Lauch 4
70567 Stuttgart
Geschäftsführer
Martin Allmendinger
Malte Horstmann
Olaf Horstmann
Kontakt
Telefon: +49 711 6747 051-0
E-Mail: info@omm-solutions.de
Umsatzsteuer-ID: DE295716572
Sitz der Gesellschaft: Stuttgart
Amtsgericht Stuttgart, HRB 749562
Impressum