Mein digitaler SchutzschildTrueCrypt – der Tresor auf der Festplatte

TrueCrypt schützt sensible Daten auf der Festplatte. Aber wer die Stärken der Software ausnutzen will, muss viele Details beachten - und braucht sehr gute Passwörter. von 

Es gibt mehrere Gründe, die eigene Festplatte oder zumindest bestimmte Dateien darauf zu verschlüsseln. Das Flughafen-Szenario, in dem der Zoll den Rechner ohne Aufsicht in Augenschein nimmt, fällt mir als erstes ein. Es ist nicht auszuschließen, allerdings auch nicht sehr wahrscheinlich. Oder wenn mehrere Menschen mit dem Computer arbeiten, zum Beispiel im Büro: dann kann man mit der Verschlüsselung bestimmter Dateien seine Privatsphäre und anderweitig vertrauliche Informationen schützen. Muss der Rechner mal zur Reparatur, empfiehlt sich die Verschlüsselung ebenfalls. Und sollte er gestohlen werden, kann der Dieb zumindest nicht auf die wichtigsten persönlichen Dateien zugreifen.

Anstatt gleich die gesamte Festplatte beim Einrichten von Ubuntu zu verschlüsseln, will ich das nur mit bestimmten Dateien tun. Denn die vollständige Verschlüsselung hätte zur Folge, dass ich bei jedem Systemstart ein langes Passwort eingeben müsste. Und sollte jemand dann Zugriff auf mein ThinkPad haben, wäre die Verschlüsselung bereits ausgehebelt. Allein deshalb halte ich es für schlauer, "unverdächtige" Dateien zu lassen, wie sie sind, und nur ausgewählte Dateien mit einem praktisch nicht zu knackenden Passwort zu schützen.

Anzeige

Die bekannteste kostenlose Software dafür heißt TrueCrypt. Wie sie installiert und verwendet wird, erklärt das CryptoParty Handbook (derzeit in der Version 1.1) sehr ausführlich.

Die Installation

TrueCrypt wird offiziell nicht als Open-Source-Software gewertet. In Ubuntu ist sie auch deshalb nicht über das Software-Center zu finden, stattdessen muss ich die Installationsdatei auf truecrypt.org herunterladen. Ich wähle für mein ThinkPad die Standard-32-Bit-Version für Linux. "Standard" heißt, ich bekomme eine grafische Benutzeroberfläche, "32 Bit" bezieht sich auf die sogenannte Prozessorarchitektur meines Rechners. Ob man 32 oder 64 Bit wählen muss, erfährt man durch die Eingabe der Zeile uname –a ins Terminal. Nachdem man die Enter-Taste betätigt, erscheint entweder eine Zeile, die "x86_64" oder "i686" enthält. Im ersten Fall wählt man die 64-Bit-Version, im zweiten Fall die 32-Bit-Version.

Mein digitaler Schutzschild

Wie schwierig ist es, sich anonym im Internet zu bewegen, E-Mails zu verschlüsseln, die eigene Privatsphäre zu schützen und Daten sicher zu speichern? Wie alltags- und laientauglich sind die entsprechenden Programme?

In der Serie "Mein digitaler Schutzschild" beantwortet ZEIT ONLINE diese Fragen. Digital-Redakteur Patrick Beuth hat ein Notebook mit der nötigen Software ausgerüstet und seine Erfahrungen dokumentiert. Er hat dazu Handbücher gelesen, Wikis und Anleitungen, und er hat Hacker und andere Experten um Rat gebeten.

Das Ergebnis ist eine Schritt-für-Schritt-Anleitung für diejenigen, die noch keine Erfahrung mit Linux, Anonymisierungssoftware oder Verschlüsselung haben – und das ändern möchten.

Inhalte der Serie

Teil 1: Ubuntu (Linux) als Betriebssystem

Teil 2: Anonymes Surfen mit Tor

Teil 3: Anonymes Surfen mit VPN

Teil 4: Ein anonymes E-Mail-Konto Einrichten mit Hushmail und Tor

Teil 5: E-Mails verschlüsseln mit Enigmail / OpenPGP

Teil 6: Daten auf der Festplatte mit TrueCrypt verschlüsseln

ALS E-BOOK

Die Serie Mein digitales Schutzschild gibt es auch als E-Book. Erfahren Sie in dieser für eReader hochwertig aufbereiteten Fassung, wie Sie Ihre Daten auf dem PC und im Internet besser schützen können.

Unser E-Book steht Ihnen dabei als EPUB-Version für Ihren eReader, sowie als MOBI-Version für Ihr Kindle Lesegerät von Amazon zur Verfügung.

Entdecken Sie auch weitere E-Books von ZEIT ONLINE unter www.zeit.de/ebooks.

Die Installation beginnt mit einem Rechtsklick auf die verpackte Datei (die mit der Endung tar.gz) und dann einem Klick auf Hier entpacken. Dann folgt ein Rechtsklick auf die neue, entpackte Datei und ein Klick auf Open. Dann wähle ich Run und im nächsten Fenster abschließend noch Install TrueCrypt und bekomme anschließend ein etwas kryptisch aussehendes, schwarzes Fenster mit der Überschrift TrueCrypt Setup angezeigt. Das kann ich getrost schließen.

Nun suche ich das fertig installierte Programm über die Suchfunktion im Dashboard und ziehe es auf meinen Desktop. (Wie die Installation in Windows und OS X funktioniert, steht im CryptoParty Handbook ab Seite 284.)

Mit TrueCrypt kann ich einen sogenannten Container anlegen, in den ich beliebige Dateien und Ordner stecken kann. Der Container wird dann verschlüsselt und mit einem Passwort geschützt. Ist das Passwort gut genug, ist der Container praktisch nicht aufzubrechen. Eine hübsche Geschichte – zugegebenermaßen schon etwas älter – veranschaulicht das: Die brasilianische Polizei hat einmal fünf Monate lang versucht, die Festplatten eines Verdächtigen zu entschlüsseln und dann Experten vom FBI zur Hilfe geholt, die sich weitere zwölf Monate lang die Zähne an der Verschlüsselung ausbissen.

Das Programm hat aber noch eine Besonderheit. In manchen Ländern, zum Beispiel in Großbritannien, kann ich unter Umständen gezwungen werden, das Passwort für meinen Container preiszugeben. Deshalb gibt es in TrueCrypt eine zweite Ebene, die sogenannten Hidden Volumes. Das sind gesondert verschlüsselte Unterordner eines Containers mit einem eigenen Passwort. Gebe ich also nach und rücke das Passwort für den Container heraus, öffnet sich dieser. Hier sollten dann Dateien zu finden sein, die nahelegen, dass ich sie lieber nicht preisgegeben hätte. Beispiele wären vermeintlich sensible Informationen zu Krankheiten, Pornovideos, die auf ungewöhnliche sexuelle Vorlieben schließen lassen, oder Ratgeber für finanzielle Notlagen. Entscheidend ist, dass diese Dateien hinreichend peinlich oder zumindest privat sind, dass man mir abnimmt, dass ich nur diese schützen wollte.

Die wirklich wichtigen Dateien aber lege ich im Hidden Volume ab, das sich nur öffnet, wenn ich das zweite Passwort eingebe. Nun ist die Existenz solcher Hidden Volumes an sich kein Geheimnis. Aber es ist schwer (wenn auch theoretisch nicht unmöglich), mir nachzuweisen, dass ich eines angelegt habe. Schließlich habe ich ja bereits – vermeintlich – sensible Dateien im ersten Container abgelegt.

Aber zuerst richte ich den Standard-Container ein. Nach dem Start von TrueCrypt klicke ich dazu auf Create Volume und wähle im nächsten sich öffnenden Fenster Create an encrypted file container. Dann entscheide ich mich für Standard TrueCrypt volume.

© Screenshot ZEIT ONLINE

Nun suche ich mir aus, wo der Container liegen soll. Ich wähle einen Bereich meiner Datenpartition, nämlich den Ordner Musik, in dem sich bereits einige Ordner befinden, und nenne den Container der Einfachheit halber "Unsichtbar". Dieser ist aber nur zu Demonstrationszwecken gedacht. Einem Container, den ich wirklich benutzen will, würde ich einen unauffälligen Namen geben. Dazu später mehr. Nur so viel muss man jetzt schon wissen: Ein Container wird wie ein Ordner beziehungsweise ein Verzeichnis genutzt, es ist aber eine Datei. Eine, der ich einen beliebigen Namen und eine beliebige Datei-Endung verpassen kann, so dass sie zwischen anderen Dateien nicht auffällt.

Und noch ein Hinweis: Es reicht nicht, in diesem ersten Schritt eine bereits auf der Festplatte abgelegte Datei auszuwählen, um sie zu verschlüsseln. TrueCrypt verschlüsselt keine bereits vorhandenen Dateien, sondern kreiert zunächst nur einen Container in Form einer Datei, in den dann später die sensiblen Dateien verschoben werden. Wen man eine bereits bestehende Datei auswählt, löscht TrueCrypt diese und ersetzt sie durch einen Container mit gleichem Namen.

Anfänger wie ich bleiben im nächsten Schritt bei den Voreinstellungen zum Verschlüsselungs- und dem sogenannten Hash-Algorithmus.

© Screenshot ZEIT ONLINE

Als nächstes gebe ich an, wie groß der Container sein soll. Das ist natürlich abhängig davon, was hinein soll. Möchte ich ganze Filmdateien darin ablegen, muss der Container groß sein. In meinem Fall soll er groß genug sein, um einige vermeintlich sensible Dateien aufnehmen zu können – sowie das Hidden Volume mit den Inhalten, die ich wirklich schützen will.

Dann überlege ich mir ein langes, starkes Passwort. Um zu verdeutlichen, was ein starkes Passwort ist, hier ein kleiner Exkurs: Der jugendliche Held in Cory Doctorows neuem Roman Pirate Cinema erstellt eines, indem er die Anfangsbuchstaben aller Wörter eines Zitats seines Lieblingsschauspielers als Basis nimmt. Jeden Buchstaben ersetzt er durch den jeweils im Alphabet folgenden. Anschließend tauscht er einige Buchstaben gegen Zahlen aus, die dem Buchstaben ähnlich sehen. Aus einem Z wird zum Beispiel eine 2. Das fertige Passwort lautet 2uuz7,kd2xcu7qn?Bunju24xcuccb.2mt.2dbn,bf2dpun,Jdu7cJk2k. Sich das zu merken, ist allerdings etwas ganz anderes. Dennoch geht dieser Ansatz in die richtige Richtung: Das TrueCrypt-Passwort sollte mindestens 20 Zeichen haben und nicht aus normalen Worten bestehen. Man muss es jedes Mal eingeben, wenn man die Daten im verschlüsselten Container benötigt oder neue hinzufügen möchte. Sicherheit ist also unbequem, weshalb sie häufig vernachlässigt wird.

Dann muss ich festlegen, ob ich einzelne Dateien in den Container legen will, die größer sind als vier Gigabyte – was zum Beispiel bei Spielfilmen der Fall wäre. Danach lege ich das Format des Dateisystems im Container fest. Ich entscheide mich für ext4, das Format meiner Datenpartition.

Danach muss ich angeben, ob ich auch von einem anderen Betriebssystem aus den Container zugreifen möchte. Das kann für diejenigen gelten, die neben Linux auch Windows auf dem Rechner installiert haben, für mich aber nicht.

Anschließend werde ich aufgefordert, den Cursor innerhalb des TrueCrypt-Fensters so zufällig wie möglich zu bewegen, während die Software den Container verschlüsselt. Das erhöht die kryptographische Stärke der Schlüssel. Ich tue das für etwa 30 Sekunden und klicke dann auf Format.

Nun dauert es ein paar Minuten, bis TrueCrypt fertig ist. Ich werde abschließend noch nach dem Passwort meines Ubuntu-Nutzerkontos (nicht dem Container-Passwort) gefragt und bekomme dann eine Bestätigung, dass der Container eingerichtet wurde.

© Screenshot ZEIT ONLINE

In den fertigen Container lege ich nun zunächst einen Ordner mit durchaus privaten Dateien – nämlich mit meinen Steuerunterlagen. Dazu muss ich den Container zugänglich machen, bei TrueCrypt heißt das mounten. Ich öffne TrueCrypt, markiere einen beliebigen Slot und klicke auf Select File.

© Screenshot ZEIT ONLINE

Dann wähle ich im neuen Fenster den soeben erstellten Container aus und klicke anschließend im TrueCrypt-Fenster unten links auf Mount. Nun werde ich nach meinem TrueCrypt-Passwort gefragt – und aus irgendeinem Grund anschließend noch nach meinem Ubuntu-Nutzerpasswort.

Jetzt ist der Container "gemounted". Er erscheint in meinem Dateisystem, sieht aber nicht wie ein klassischer Ordner aus. Alles, was nun dort hinein verschiebe, wird dabei verschlüsselt. In diesem Fall ist das der Ordner mit meinen Steuerunterlagen.

Anschließend ist es wichtig, den Container im TrueCrypt-Fenster wieder zu dismounten. Wenn man den Computer ausschaltet, passiert das aber auch automatisch.

Leserkommentare
    • dth
    • 02. Februar 2013 12:32 Uhr

    Wäre auch nett, wenn Sie argumentieren statt behaupten würden.
    Bei 92 möglichen Zeichen pro Stelle gibt es für 2 Zeichen 8464 Kombinationen, bei 3 778688.
    Damit entspricht ein Wort mathematisch 2-3 Wörtern. Daran ändern auch noch so schnelle Computer nichts.
    Damit sind heute notwendige Passwörter länger, aber der Faktor bleibt der selbe.
    Wenn ihnen 8 Zeichen sprich 4 Wörter zu wenig sind, nehmen Sie halt mehr.

    Antwort auf "Wörterbuchangriffe"
    Reaktionen auf diesen Kommentar anzeigen
    • Bodman
    • 02. Februar 2013 17:40 Uhr

    Ich war der Meinung, dass die von mir angeführten Artikel meinen Standpunkt ausreichend begründen würden. Nichts für ungut!

    Ein Angreifer würde einem von Ihnen empfohlenden Passwort mit einer Mischung aus Wörterbuchangriff und Brute-Force-Attacke zu Leibe rücken: Da er nicht wissen kann, aus wie vielen Worten ihr Passwort zusammengesetzt ist, würde er zuerst alle Wörter des deutschen Wörterbuches durchlaufen lassen, danach alle Zweierkombinationen, dann die Dreierkombinationen und so weiter und so fort.

    Noch im Jahr 2008 betrug die Rechenleistung eines herkömmlichen Computers ca. 25 Mio. Passworteingaben pro Sekunde. Heute schaffen sehr gute, aber für fast jeden erschwingliche Rechner mehr als 1 Mrd. Anfragen. ( Spezielle Crack - Rechner sogar 100 Mrd ! ) Wohlgemerkt: pro Sekunde! Da spielt es auch keine grosse Rolle mehr, ob Ihr Passwort aus vier oder fünf Worten besteht.

    Auch der xkcd-Comic bestätigt meine Sicht. Als Beispiel nimmt er das Wort "correcthorsebatterystaple" und gibt an, man würde 550 Jahre benötigen, um es zu knacken. Allerdings bei nur 1.000 Versuchen pro Sekunde. Wie würde das Ergebnis wohl bei 1 Mrd./Sekunde aussehen? Ich neige dazu, einem Beitrag dieses Threads zuzustimmen, der vermutet, dass es sich bei diesem Comic um einen Scherz handelt.

    Natürlich kann man weiterhin ein Passwort bilden indem man Worte kombiniert. Mischt man eine Menge Zahlen und Satzzeichen hinein, sieht die Sache schon ganz anders aus.

    • Bodman
    • 02. Februar 2013 17:50 Uhr

    Das von einem Leser empfohlene Heft "Die Passwortknacker" der Zeitschrift CT (03/2013) werde ich mir besorgen. Dort wird wohl aufgeführt sein, was der letzte Stand der Dinge ist.

    • Bodman
    • 02. Februar 2013 17:40 Uhr

    Ich war der Meinung, dass die von mir angeführten Artikel meinen Standpunkt ausreichend begründen würden. Nichts für ungut!

    Ein Angreifer würde einem von Ihnen empfohlenden Passwort mit einer Mischung aus Wörterbuchangriff und Brute-Force-Attacke zu Leibe rücken: Da er nicht wissen kann, aus wie vielen Worten ihr Passwort zusammengesetzt ist, würde er zuerst alle Wörter des deutschen Wörterbuches durchlaufen lassen, danach alle Zweierkombinationen, dann die Dreierkombinationen und so weiter und so fort.

    Noch im Jahr 2008 betrug die Rechenleistung eines herkömmlichen Computers ca. 25 Mio. Passworteingaben pro Sekunde. Heute schaffen sehr gute, aber für fast jeden erschwingliche Rechner mehr als 1 Mrd. Anfragen. ( Spezielle Crack - Rechner sogar 100 Mrd ! ) Wohlgemerkt: pro Sekunde! Da spielt es auch keine grosse Rolle mehr, ob Ihr Passwort aus vier oder fünf Worten besteht.

    Auch der xkcd-Comic bestätigt meine Sicht. Als Beispiel nimmt er das Wort "correcthorsebatterystaple" und gibt an, man würde 550 Jahre benötigen, um es zu knacken. Allerdings bei nur 1.000 Versuchen pro Sekunde. Wie würde das Ergebnis wohl bei 1 Mrd./Sekunde aussehen? Ich neige dazu, einem Beitrag dieses Threads zuzustimmen, der vermutet, dass es sich bei diesem Comic um einen Scherz handelt.

    Natürlich kann man weiterhin ein Passwort bilden indem man Worte kombiniert. Mischt man eine Menge Zahlen und Satzzeichen hinein, sieht die Sache schon ganz anders aus.

    Antwort auf "Argumente"
    Reaktionen auf diesen Kommentar anzeigen

    Es gibt deutlich ausgereiftere Methoden als stumpfes Ausprobieren sämtlicher Kombinationen. Dieser Artikel zeigt einige davon auf:

    http://arstechnica.com/security/2012/08/passwords-under-assault/

    Es wird beschrieben, wie Muster in bekannten Passwörtern (davon gibt es Listen mit mehreren Millionen, nach den Einbrüchen bei linkedin und co) mit Wörterbuchattacken kombiniert werden können, um so mit hoher Wahrscheinlichkeit einen Großteil eines neuen Satzes von Passworthashes entschlüsseln zu können. Das können häufige Wortreihenfolgen, Groß- und Kleinschreibungs-varianten, oder L33tspeak sein. Wirklich "sicher" sind demnach wirklich nur Passwörter mit weitgehend zufälligen Zeichen. Allerdings kann man die Sicherheit eines kurzen "zufälligen" Passworts erhöhen, wenn man es mit Wörtern garniert.

    #ö5+Az<

    wäre ein recht schwaches Passwort, weil schnell per Bruteforce geknackt.

    #diesöist5mein+tollesAgeradezausgedachtes<Passwort

    dagegen ist per Bruteforce viel zu lang und dürfte für Wörterbuchattacken schwieriger zu knacken sein, auch wenn die gleichmäßige Verteilung in meinem Beispiel den Suchraum natürlich ebenfalls massiv einschränkt.

    Versuche pro Sekunde hängen nicht zuletzt von der Hash-Methode ab. Ihre erwähnten 1 Mrd. Passwörter pro Sekunde gelten evtl. für SHA1 oder MD5, aber sobald man teure (und vor allem beliebig verteuerbare!) Methoden wie bcrypt oder pbkdf2 nimmt, tuckert auch die modernste GPU mit 10000 Versuchen oder weniger vor sich hin.

    • Bodman
    • 02. Februar 2013 17:50 Uhr

    Das von einem Leser empfohlene Heft "Die Passwortknacker" der Zeitschrift CT (03/2013) werde ich mir besorgen. Dort wird wohl aufgeführt sein, was der letzte Stand der Dinge ist.

    Antwort auf "Argumente"
  1. Es gibt deutlich ausgereiftere Methoden als stumpfes Ausprobieren sämtlicher Kombinationen. Dieser Artikel zeigt einige davon auf:

    http://arstechnica.com/security/2012/08/passwords-under-assault/

    Es wird beschrieben, wie Muster in bekannten Passwörtern (davon gibt es Listen mit mehreren Millionen, nach den Einbrüchen bei linkedin und co) mit Wörterbuchattacken kombiniert werden können, um so mit hoher Wahrscheinlichkeit einen Großteil eines neuen Satzes von Passworthashes entschlüsseln zu können. Das können häufige Wortreihenfolgen, Groß- und Kleinschreibungs-varianten, oder L33tspeak sein. Wirklich "sicher" sind demnach wirklich nur Passwörter mit weitgehend zufälligen Zeichen. Allerdings kann man die Sicherheit eines kurzen "zufälligen" Passworts erhöhen, wenn man es mit Wörtern garniert.

    #ö5+Az<

    wäre ein recht schwaches Passwort, weil schnell per Bruteforce geknackt.

    #diesöist5mein+tollesAgeradezausgedachtes<Passwort

    dagegen ist per Bruteforce viel zu lang und dürfte für Wörterbuchattacken schwieriger zu knacken sein, auch wenn die gleichmäßige Verteilung in meinem Beispiel den Suchraum natürlich ebenfalls massiv einschränkt.

    Versuche pro Sekunde hängen nicht zuletzt von der Hash-Methode ab. Ihre erwähnten 1 Mrd. Passwörter pro Sekunde gelten evtl. für SHA1 oder MD5, aber sobald man teure (und vor allem beliebig verteuerbare!) Methoden wie bcrypt oder pbkdf2 nimmt, tuckert auch die modernste GPU mit 10000 Versuchen oder weniger vor sich hin.

  2. Fortsetzung des letzten Posts (Der Kommentarbereich mag offenbar keine spitzen Klammern mit direkt danach beginnenden Wörtern)

    #diesöist5mein+tollesAgeradezausgedachtes< Passwort
    dagegen ist per Bruteforce viel zu lang und dürfte für Wörterbuchattacken weitgehend schwieriger zu knacken sein, auch wenn die gleichmäßige Verteilung (ein Zufallszeichen, ein Wort usw.) in meinem Beispiel den Suchraum natürlich ebenfalls massiv einschränkt.

    Zu den Versuchen pro Sekunden: Die hängen weitestgehend von der Art der verwendeten Hashfunktion ab. Die von Ihnen erwähnten 1 Mrd. Versuche pro Sekunde gelten evtl. für SHA1- oder MD5-Hashes, aber sobald man teure (und vor allem beliebig verteuerbare!) Methode wie pbkdf2 oder bcrypt verwendet, tuckert auch die modernste GPU mit gemütlichen 10.000 Versuchen pro Sekunde vor sich hin sofern man die Anzahl der Wiederholungen ausreichend hoch gewählt hat.

    Reaktionen auf diesen Kommentar anzeigen
    • Bodman
    • 02. Februar 2013 20:00 Uhr

    Ihr Beitrag ist interessant, für mich aber teilweise "zu hoch".

    Sie schreiben, wirklich "sicher" seien nur Passwörter mit weitgehend zufälligen Zeichen. Dies entspricht auch meinem Wissensstand. Freunden, die mich nach Passwörtern fragen, empfehle ich meistens, sich als Merkhilfe einen möglichst sinnlosen Satz auszudenken ("Mein Pudel fährt im Hühnerstall Motorrad und verzehrt dabei 13 Orangen...... ") und dann die Anfangsbuchstaben und Zahlen zu einem Passwort zusammenzufügen. So weit ich weiss, sollten es schon mindestens 16 Ziffern sein plus Satzzeichen.

    Man kann ja in diesen Satz Worte einbauen, die einem sehr vertraut sind. Auf diese Weise ist dann sowohl der Merkfähigkeit als auch der Zufälligkeit und Sicherheit Genüge getan.

    Beim Thema "Hushfunktionen" muss ich noch passen: mein Wissen ist zu rudimentär als das ich dazu Sinnvolles erwidern könnte. Die oben erwähnte Zeitschrift wird mir da wohl weiterhelfen.

    Für Interessenten hier eine Leseprobe: http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html

    • Bodman
    • 02. Februar 2013 20:00 Uhr

    Ihr Beitrag ist interessant, für mich aber teilweise "zu hoch".

    Sie schreiben, wirklich "sicher" seien nur Passwörter mit weitgehend zufälligen Zeichen. Dies entspricht auch meinem Wissensstand. Freunden, die mich nach Passwörtern fragen, empfehle ich meistens, sich als Merkhilfe einen möglichst sinnlosen Satz auszudenken ("Mein Pudel fährt im Hühnerstall Motorrad und verzehrt dabei 13 Orangen...... ") und dann die Anfangsbuchstaben und Zahlen zu einem Passwort zusammenzufügen. So weit ich weiss, sollten es schon mindestens 16 Ziffern sein plus Satzzeichen.

    Man kann ja in diesen Satz Worte einbauen, die einem sehr vertraut sind. Auf diese Weise ist dann sowohl der Merkfähigkeit als auch der Zufälligkeit und Sicherheit Genüge getan.

    Beim Thema "Hushfunktionen" muss ich noch passen: mein Wissen ist zu rudimentär als das ich dazu Sinnvolles erwidern könnte. Die oben erwähnte Zeitschrift wird mir da wohl weiterhelfen.

    Für Interessenten hier eine Leseprobe: http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html

  3. 10 000 oder wieviel pro Sekunde ?

    Mal kurz die Birne einschalten und zitieren :"..Die Verbindungsgeschwindigkeit des Servers liegt bei 138 ms und die durchschnittliche Ladezeit einer Seite beträgt 1243 milliseconds."
    (Sollte der Redation von -zeit.de- bekannt vorkommen)

    "Internet" hat was mit Telekommunikation zu tun. Grundsätzlich beinhaltet das -senden und empfangen- zu können. Wobei man öffentlich das <strong>und</strong> darin gar nicht fett genug schreiben kann.

    Also, wer mein Passwort her knacken will, bekommt nicht mal 1 Möglichkeit pro Sekunde. Die "Gegensprechstelle" muß doch erst mal antworten. Dann wird nach dem Fehlversuch der Courser bemüht und die Seite erneut aufgebaut, was wiederum mit Antwort- und Reaktionszeit und gewissen Umständen der Handhabung selbst verbunden ist etc..

    Das ist alles so grundlegend, daß es vermutlich in kaum einer Zeitschrift zu finden ist, ist aber so. Auch wenn was mit Gigahertz oder sogar Terahertz in Computern oder so, oder wer weiß......

  4. Oder besser gesagt, wie praxisnahe ist das ?

    Aus irgendwelchen virtuellen System was zu kopieren ist ziemlich uninteressant, weil nur Uninteressantes darin abgelegt wird, und wer Dateien aus einem Server rausbekommt, ist ja bereits in dessen OS.
    Diese Daten dann wo anders zu dekodieren, um sie in Kombination mit anderen Daten, für andere Funktionen zu nutzen, ist plausibel wenn es "Sammeldateien" gibt. Das sind aber gar keine "Konten" sondern Zugangsdaten zu Konten.

    Genau so wenig ist es möglich, über ein Bankkonto, eine Bank zu "plündern".

    Um aber wieder auf's OS zu kommen, das ist prinzipiell auch nicht anders wie die Vorgänge <em>in einer Bank</em> steuern zu können. Wer bräuchte da noch die PINs der Kunden ?

    Antwort auf

Bitte melden Sie sich an, um zu kommentieren

Service