Re: Savernova WebCard

· Juergen P. Meier <nospam-2006@xxxxxxxx>:

Alexander Skwar <alexander@xxxxxxxxxx>:
· Juergen P. Meier <nospam-2006@xxxxxxxx>:

Wilfried Kramer <selten.gelesen@xxxxxxxx>:
Alexander Skwar <alexander@xxxxxxxxxx> wrote:

Apropos blöde Ideen ... kennt ihr schon http://www.savernova.de/cms/ ?

Nein, kenne ich nicht. Kapiere ich irgendwie nicht. Also, die
für mich erzeugte Karte habe ich auf
http://alexander.skwar.name/~askwar/stuff/SaverNova_WebCard.pdf
abgelegt, um eine Diskussionsgrundlage zu haben.

Sehe ich das richtig, das ich mir mit dieser Karte nun nur
die Startspalte und Länge merken soll (auf die Rückseite
der Karte schreiben) um so ein Kennwort zu erhalten?

In deren Beispielen ist es nicht anders gezeigt. Trotzdem interpretiere
ich die Angabe "geheime Lesemethode" eben nicht zwangläufig als
"gegebene Anzahl Zeichen von links nach rechts". Es wäre auch eine
Variante Diagonal, mit Rösselsprung o.ä. Individuelles möglich.

Die Zahl moeglicher "geheimer Lesemethoden" ist begrenzt und laesst
sich vollstaendig evaluieren (sprich einfach mal mit jemandem, der
diese Sorte Kreuzwortraetsel herstellt).

Zusammen mit der Karte ist also der Suchraum fuer einen Brute-Force
Angriff auf das Passwort geradezu laecherlich klein.

Das gilt nicht - der Inhalt der Karte ist unbekannt. Das gilt
aus den von Dir weiter unten aufgeführten Gründen nicht

Doch. S.U.

Schade das unten nichts überzeugendes kam.

(Ein PDA koennte
das vermutlich in weniger als einer Stunde "knacken"). Also
veroeffentlichen darf man diese Karten auf gar keinen Fall,

Ja.

Fuer Leute mit Gedaechtnisschwaeche (so wie ich, ich kann mir
Alphanumerische Kombinationen sehr schlecht Einpraegen, fuer
Passwoerter habe ich jedoch eine andere Methode des Einpraegens
fuer mich gefunden), mag das aber recht Hilfreich sein. Solange man
sich bewusst ist, dass ein Verlust der Vertraulichkeit der Karte
praktisch der Kompromittierung aller Passworte gleich kommt.

Jup.

Könntest Du Dir vorstellen, warum Andreas die Karte als eine
"blöde Idee" bezeichnet?

Die Karte ist *wesentlich* schlechter geschuetzt als z.B. eine
symmeterisch verschluesselte PGP-Passwortdatei mit einer Passphrase,
die >16 alphanumerische Zeichen und Sonderzeichen enthaelt.

Nein, ist sie nicht. Die Karte habe ich immer "am Mann", die
Datei liegt, vorübergehend, zwangsläufig auch mal auf irgendwelchen
Servern.

Wer so eine Datei verliert, verliert auch diese Karte.

Nein, dem ist nicht so. Verlust der Karte bedeutet, das z.B.
Geldbörse geklaut wird. Und dann muss der Dieb auch noch wissen,
was die Karte ist und wo Kennwort 1 verwendet wurde. Im übrigen
fällt es auf, wenn die Karte weg ist - wenn hingegen jemand
nur eine Kopie der Datei hat, dann merkt man das in der Regel
nicht.

Und die Karte bedeutet eine mehr als signifikante Einschraenkung des
Suchraums.

Im Gegensatz zu sonst üblichen Kennwörtern (Geburtstag, Name der
Liebsten oder Ehefrau, ...) sind die Kennwörter erheblich
sicherer, weil komplexer.

Damit wird Passwortraten zu einer Trivialitaet.

Ach, ja? Dann errate mal mein Kennwort für Amazon das ich
mir gerade mit der Karte erzeugt habe. Ist ja Trivial. Viel
Spaß! Tipp: Es steht auf der Karte, deren URL ich schon
gepostet habe. Und um's Dir nicht ganz so schwer zu machen,
verrate ich auch noch, dass das erste Zeichen in Spalte Z
steht. Und es hat 11 Zeichen. Du hast 3 Versuche, denn
danach wird der Zugang gesperrt (ob das bei Amazon auch
so ist, weiß ich nicht, ich behaupte es jetzt mal, wobei
es nichts zur Sache tut, wenn dem nicht so sein sollte).

Bei einer Passwortdatei muss der Angreifer hingegen erstmal eine
starke Verschluesselung knacken.

Zu viele Leute verwenden keine Passwortdateien. Darum sehe
ich die Karte nicht in "Konkurrenz" zu einer gut gesicherten
Passwortdatei, sondern zu dem ansonsten üblichen Vorgehen,
ein leicht erratbares Kennwort (z.B. Name des Kindes) überall
zu verwenden.

Alexander Skwar
--
Wie man sein Kind nicht nennen sollte:
Andi Hundert

.

Relevant Pages

  • Re: Fotos auf SD-Card verschluesseln
    ... Nur mit dieser Kamera (oder einem speziellen Kartenleser und der geeigneten Software; nach Eingabe von username/password) kann man auf die Daten auf der Karte zugreifen. ... dass die Funktion zwei Eingabegroessen hat; der normale SHA1 hat nur eine, naemlich die Daten selbst, das HMAC-Derivat hat als zusaetzlichen Input ein Passwort/Salt/Seed ... ... Passwort aus Bequemlichkeitsgruenden speichert...wenn mir dann ...
    (de.rec.fotografie)
  • Re: Savernova WebCard
    ... das ich mir mit dieser Karte nun nur ... Zusammen mit der Karte ist also der Suchraum fuer einen Brute-Force ... Angriff auf das Passwort geradezu laecherlich klein. ... Alphanumerische Kombinationen sehr schlecht Einpraegen, ...
    (de.comp.security.misc)
  • Re: Savernova WebCard
    ... das ich mir mit dieser Karte nun nur ... Zusammen mit der Karte ist also der Suchraum fuer einen Brute-Force ... Angriff auf das Passwort geradezu laecherlich klein. ... Alphanumerische Kombinationen sehr schlecht Einpraegen, ...
    (de.comp.security.misc)
  • Re: Savernova WebCard
    ... das ich mir mit dieser Karte nun nur ... Zusammen mit der Karte ist also der Suchraum fuer einen Brute-Force ... Angriff auf das Passwort geradezu laecherlich klein. ... Alphanumerische Kombinationen sehr schlecht Einpraegen, ...
    (de.comp.security.misc)
  • Re: Kennwort erschnüffeln
    ... Mirko Schleicher wrote: ... Per Bruteforce lässt sich da dann das Kennwort ... Ist das Passwort in einer der ... Zeichenketten ohne Zahlen mit 5 Zeichen ...
    (microsoft.public.de.german.win2000.networking)