Weekly #139: Neues Heizungsgesetz, Passwörter von der KI

00:00:00: Herzlich willkommen zu Weekly, dem Nachrichten-Podcast der deutschen MIT Technology Review.

00:00:08: Darin wollen wir jede Woche Nachrichten aus Technik

00:00:10: und Wissenschaft einordnen um einfach

00:00:12: besser zu verstehen was hinter der Nachricht steckt.

00:00:15: – jetzt geht es los mit Weekly!

00:00:32: Und Kollegin Stella und Nils war das auch super schnell aufgebaut.

00:00:36: Wir sind ja umgezogen, ähm...und jetzt können wir hier routiniert mit unserer neuen Weekly-Folge loslegen.

00:00:44: Durch unsere Pause hat sich aber ein bisschen was angestaut über dass wir reden müssen.

00:00:50: Mein Kollege Gregor Honsey hat nämlich starke Emotionen gegenüber dem neuen Gebäude Modernisierungsgesetz, das die Koalition vorgestellt hat.

00:00:59: Welche Emotionen das sind?

00:01:00: Erzählte sicher gleich!

00:01:02: Außerdem besprechen wir noch, warum es keine gute Idee ist sich von KI Chatbots seine Passwörter erstellen zu lassen.

00:01:11: Die diversen Schwierigkeiten wird mein Kollege Wolfgang Stila darlegen.

00:01:16: Ein Medientip haben wir auch für euch wer sich näher mit dem größten wahnsinnigen Projektcamp Century auf Grünland beschäftigen will dem sei die Arthedoku die Stadt unter dem Eis empfohlen.

00:01:27: Alle relevanten Links zu den Themen der Sendung findet ihr dann in den Show Notes.

00:01:33: Mein Name ist Jenny Lepis, ich bin Redakteurin für das Magazin MIT Technology Review und einmal pro Woche darf ich diesen gut beheizten Podcast moderieren.

00:01:43: Viel Spaß beim Zuhören!

00:01:46: Ich weiß nicht ob es originär eine Worterfindung der heute Show ist aber die haben in ihrer jüngsten Folge war das glaube groß gemacht, dass das leidige H-Bäcksche Heizungsgesetz nun ein Ende hat.

00:01:58: Stattdessen gibt es nun das Gebäudemodernisierungsgesetz und in der Pressemitteilung des Bundeswirtschaftsministeriums heißt es dazu wir setzen auf Vernunft Freiheit und Tempo statt.

00:02:09: Verbote kriege du nix schon so wo ihr Wissens ja unterstöhnest.

00:02:14: genau wenn wenn mir mal diese möglichen Optionen auseinander dividieren, die man hätte realisieren können.

00:02:25: Was hättest da gegeben?

00:02:29: Fangen wir mal mit dem alten Gebäudeenergiegesetz an... Also das ist natürlich jetzt kein Gebäu... Jetzt haben Sie erstmals umgenannt von Gebäudenergiegesetz ins Gebäudemodernisierungsgesetz.

00:02:40: Na toll!

00:02:40: Herzlichen Glückwunsch!

00:02:41: Schonmal gut ja!

00:02:42: Ja

00:02:42: super!

00:02:45: Das alte Gebäudaen... Ich weiß nicht wie oft ich mich heute versprechen werde.

00:02:49: Ihr wisst wahrscheinlich weil ich dann meine Das alte Gebäude-Energiegesetz hat vorgeschrieben, dass man ab einem bestimmten Zeitpunkt, ich glaube am zwanzigdreißig, sixty-fünf Prozent der Heizenergie aus innererbaren Quellen gewinnen muss.

00:03:08: Punkt!

00:03:09: Also nochmal zur Erinnerung es war keine Vorschrift damit verbunden Wärmepumpen einzubauen.

00:03:16: Es war sowas von Technologie.

00:03:18: offen kriege halt diese sixty fünf Prozent hin egal wie Fertig.

00:03:22: Also ein wunderbar technologieoffenes Konzept.

00:03:27: Abgesehen davon natürlich, ja das war die Pflicht halt man durfte keinen neuen Gas oder Ölheizung einbauen und das neue Gesetz hat jetzt keine Quote mehr mit den sixty fünf Prozent.

00:03:43: Man darf weiterhin auch neue Öl- und Gasheizungen einbauten.

00:03:48: Aber der absolute Klopper dabei finde ich ja, dass eine Beimischung von einer bestimmten Quote, also angeblich Grümelsprit, also Bio-Sprit, Biogas, Synthetisches Gas, Wasserstoff und die ganzen Derivate beimischen muss.

00:04:05: Ach so!

00:04:06: Ja es gibt eine vorgeschriebene... Quote.

00:04:10: Wir erinnern uns Technologieoffenheit hier, Technologie Offenheit da oder das große goldene Kalb der Technologie-Offenheit.

00:04:17: und was machen Sie jetzt?

00:04:19: Ein Gesetzeswahrs... sowas von Nichttechnologie offen ist!

00:04:24: Ich klingst schon fast wie Wolfgang.

00:04:27: Nein es ist

00:04:28: nicht free.

00:04:30: ich kann das ja verstehen.

00:04:36: Wir

00:04:36: färmen aufeinander ab, aber es kann schon immer was passieren.

00:04:46: Es muss eine Quote beigemischt werden wenn du weiterhin Gas oder Flüssige nutzen willst und das ist auf mehreren Ebenen krank und pervers.

00:05:00: Also schon die Verlogenheit, das auch noch als Freiheit und Technologieoffenheit.

00:05:05: Ich ersetze ein tatsächlich technologieoffenes Gesetz gegen einen nicht-technologieoffenen und lasse mich dann für die Technologieaufenheit feiern.

00:05:13: also schon diese rhetorische Verloggenheit Schnauf!

00:05:21: Aber wo ist das Problem?

00:05:22: Das Problem ist jetzt mal ganz sachlich.

00:05:24: was dazu zählt ist Biosprit, also bleib mal bei den Gasförmigen.

00:05:28: oder Öl.

00:05:29: Öl ist die Logi-Analog.

00:05:31: Bleiben wir über Gas, das ist die Möglichkeit.

00:05:34: Wasserstoff oder synthetisches Methan oder eben Biomethane.

00:05:40: All das hat Probleme.

00:05:42: Biomethan braucht halt viel ... ist ja Biogas halt, braucht viel Anbaufläche und hat verschiedene Nachteile, die mit intensiver Landwirtschaft einhergehen.

00:05:55: Man kann nicht beliebig viel Biomettan herstellen Und bei Wasserstoff genauso, man braucht sehr viel Energie dafür.

00:06:04: Bei Synthetischen Methan das gleiche.

00:06:06: also man brauche sehr viel energie.

00:06:08: Man muss weil Methan dann auch noch bei Biosynthetische Methan auch das CO² aus der Luft fischen was auch wieder Energie braucht.

00:06:15: Also die Effizienz ist einfach lausig.

00:06:19: Also vielleicht ein Drittel eine Hälfte je nach Pfad Der eingesetzten Energie kommt an Heizung an Während es bei einer Wärmpumpe das Dreifache sind Mitunter auch das Sechsfache, also muss ihr vorstellen.

00:06:33: Das ist so das Delta der Effizienz, ne?

00:06:35: Ja

00:06:35: genau

00:06:36: Aber Heizungsprobe ist ja doof weil von weil ihrem grüne Erfindung Genau.

00:06:43: Also es wird eine sehr effizient sehr ineffiziente Art der Wärmergewinnung vorgeschrieben und das Problem dabei ist dass alle diese Sachen ganz ganz dringend gebraucht werden bei der Schifffahrt und bei der Luftfahrt.

00:06:58: Aber für andere Sektoren dann?

00:07:00: Genau.

00:07:01: Und zum Teil auch bei der Stromgewinnung, also als Pufferspeicher für Dunkelflauten ist offenbar... ...hab ich mir jetzt davon überzeugen lassen.

00:07:09: Wasserstoff das sinnvollste!

00:07:11: Ich war nie ein großer Wasserstofffan, aber

00:07:13: so richtig

00:07:14: für Richtig wenn es um wirklich mehrere Terawattstunden geht, ist das mit anders glaube ich nicht darzustellen.

00:07:22: Anyway die Sachen werden überall gebraucht.

00:07:26: Bei Luftfahrt heißt das Sustainable Aviation Fuel, was du immer rein kippst.

00:07:31: Es ist halt nicht da.

00:07:34: und jetzt soll das Zeug auch noch

00:07:39: in alten

00:07:40: Gas- und Ölkässen verfeuert werden.

00:07:46: Naja ich sag's nochmal mir fällt kein anderes Vokabular dafür ein.

00:07:49: es ist halt krank und pervers weil im Holzungsbereich hast ja Alternativen Die Wärmepumpe oder auch andere muss ja nicht Wärmpumpe sein.

00:07:58: Wo wollen die Technologie offen sein?

00:08:00: Aber bei Luftfahrt wird es echt schwer, wenn du da halt keine Moleküle hast zum Verbrennen oder das Energieträger.

00:08:08: Und

00:08:08: die haben keinen Ausweich.

00:08:09: Genau und Sachen, die ich schon viel zu knapp sind in dem Bereich werden ist noch viel knapper weil sie auf einmal im Heizungsaktion gebraucht werden.

00:08:18: ein anderer Aspekt ist dass natürlich die Kosten dafür dir wäre natürlich teurer CO-Preise steigen und auch diese, weil sie halt so selten sind.

00:08:29: Und durch diese Pflicht, Quotenpflicht auch heiß umkämpft wird das ganze Zorn natürlich wahnsinnig teuer.

00:08:37: Das bleibt aber auf Mietern hängen.

00:08:41: Weil die müssen ja die Heizstoffe bezahlen während Investitionen in eine Wärmepumpe sagt dass Fermitters ist oder der Fermitterin.

00:08:53: Das heißt, da haben sie auch noch mal so einen kleinen Twist.

00:08:58: Die ganze Last von Vermieterinnen auf die MieterInnen umgewählt.

00:09:04: Und mir auch Herzlichen Glückwunsch!

00:09:05: Also echt sehr viel unvorgenommen einzigen Gesetz gefunden.

00:09:13: Kann man dem Gesetz noch irgendwas Positives abgewinnen?

00:09:16: Doch ein habe ich noch und zwar die Förderung der Wärmepuppe bleibt.

00:09:21: Das hat Katharina Reich ja schon mal angekündigt, dass auch die gestrichen werden soll.

00:09:25: Weil Subvention, hohe Buh.

00:09:28: Aber die soll bleiben auf bisherigen Niveau und nicht mehr.

00:09:34: gut immerhin.

00:09:35: Also theoretisch könnten Bürger immer noch sagen okay egal was das Gesetz jetzt sagt.

00:09:42: Genau

00:09:43: klar wenn du eine Wärmpumpe hast brauchst du halt keine fossilen Gase.

00:09:48: also die Verpflichtung Diese Quote von der ich war, bezog sich nicht darauf.

00:09:51: wenn du weiterhin irgendwas fossiles verbrennst.

00:09:53: Dann soll diese Quote erfüllen, während du probierst natürlich nicht.

00:09:57: Aber wenn man sich jetzt ein neues System installieren würde, hätte es ja immer noch die Option.

00:10:03: Ja gut!

00:10:04: Achja und dann natürlich noch... Ich war schon zu früh fertig.

00:10:09: Ich bin zu früh mit dem abschließenden Lob angefangen für das Zeug.

00:10:13: Brauchst natürlich wenn du's hier herstellen willst sehr viel neuerbare Energien die ja auch gerade top ediert werden.

00:10:22: Wir wollen alle super viel Zündfühl haben, was ist irgendwie technologienoganeutral?

00:10:26: Aber die Wind- und Fotovoltaikraftwerke dafür, die wir verbrauchen, die wollen wir nicht haben weil die sind eher doof das ist grün.

00:10:33: Zündfuels ist konservativ in Ordnung irgendwas was man verbrennt das scheint zu passen politisch.

00:10:40: aber die erneuerbaren die man zu dessen Hersteller braucht Die sind natürlich doof und belastender Stromnetze usw.

00:10:46: Und die gehören halt eingedeckelt, was als Folge davon ist dass wir wieder mehr von Importen abhängig sind Was auch wieder die Abhängigkeit von Importländern woher auch immer steigert.

00:11:03: Wir merken ja gerade fossile Brennstoffe werden durch den iranen Krieg nochmal wieder teurer.

00:11:10: Herzlichen Glückwunsch.

00:11:12: hätte man alles nicht so Mit einer strombasierten Heizung.

00:11:19: Ja, also ein Clusterfuck.

00:11:21: Oha!

00:11:22: Okay das sind harte Worte aber auch für einen Gesetz mit krassen Folgen auf jeden Fall.

00:11:29: Ich hoffe es geht dir jetzt ein bisschen besser, dass du den Kummer von der Seele gesprochen

00:11:33: hast.

00:11:33: Genau ich habe versucht an mich zu halten.

00:11:43: Kann man nochmal nachlesen, du hast es als Kommentar auch noch mal aufgeschrieben und den gibt's im Internet zu lesen.

00:11:49: Danke dir erstmal Gregor.

00:11:50: Jo gerne!

00:11:53: Es mag jetzt zunächst wie eine sinnvolle oder bequeme Idee erscheinen mit KI-Chatbots Passwörter zu erstellen doch Sicherheitsforscher der Firma Irregular waren davor.

00:12:05: solche Passwürter ließen sich nämlich leicht knacken und obwohl sie eigentlich auf den ersten Blick Ja sicher aussehen, weil sie haben eben Sonderzeichen in großem Kleimpuchstaben und Zahlen.

00:12:16: Aber du warst jetzt da nicht überrascht als du von der Meldung gelesen hast von dieser Firma oder Wolfgang dass Sie quasi da Zweifel haben ob das alles so sicher ist?

00:12:28: Na ja dann taten sich bei mir zwei Fragen auf die eine.

00:12:31: also das eine Ding ist natürlich klar wie sicher ist es denn nun genau?

00:12:36: also Die Auskunft zwar in der entsprechenden Meldung, die wir ja auch als News hatten.

00:12:43: Dass die Passwörter zwar auf den ersten Blick sicher aussehen aber nicht sonderlich sicher sind?

00:12:48: Genau!

00:12:48: Das

00:12:49: ist sehr weicher Begriff.

00:12:50: was bedeutet das eigentlich?

00:12:53: und das zweite ist natürlich... Inwiefern ist es überhaupt ein Problem?

00:12:57: Ist das ein Ding wie viele Menschen machen so wie?

00:13:00: wer kommt auf die Idee?

00:13:04: Und diese zweite Frage haben wir dann relativ schnell beantworten können.

00:13:09: Also es tritt noch nicht in der Weile ganz viel auf, man sieht nicht viele offensichtlich von LMMs generierte Passwörter im Internet die dann irgendwie geknackt worden sind.

00:13:25: aber was man schon sieht ist dass einfach sehr viel Chatbots-Agenten etc.

00:13:35: fürs Programmieren eingesetzt werden.

00:13:37: und da hast du dann schon so Sachen wie Schreibt ja mein default Passwort in den Code rein.

00:13:43: Also ich habe auch bei Irregular nochmal nachgefragt, die haben gesagt Ja das kann man schon sehen Das Meer also wenn man jetzt zum mehr von diesen Mustern Die eigentlich typisch sind für Chatbots In-Code zum Beispiel auf GitHub auftauchen Und wenn sich das weiter So fortsetzt dann haben wir da ein großes problem weil ganz oft ist es halt so wissen wir auch schon lange vor irgendwelchen kiezeiten.

00:14:13: Menschen einfach für sich bequem sind was sicher als funktionen angeht und die fortpaar sorter ganz oft einfach so lassen.

00:14:20: ja okay

00:14:23: in der meldung von unserem kollegen bei teera n die haben geschrieben dass Ähm, die KI generierten Passwörter in den Tests von dieser Firma da nur rund siebenundzwanzig Bit erreicht haben.

00:14:34: Wie viel... wie viele Bits hat denn ein sicheres Passwort?

00:14:38: Ist ja immer so.

00:14:39: Ja!

00:14:41: Also das ist auch ein bisschen weich aber dazu würde ich jetzt vielleicht aufgepasst liebe Kinder don't do this at home nochmal kurz erklären wie man eigentlich Passwürder knackt.

00:14:51: Also der Witz bei, ja ganz ernsthaft.

00:14:53: Wir machen jetzt mal einen kleinen Grundkurs in Hacking.

00:14:55: Das ist nämlich immer noch so wie früher.

00:14:58: also Passwörter werden in der Regel auf dem Computer oder auch in der Cloud nur verschlüsselt abgespeichert und Diese Funktion mit der Passworda verschlüsselt werden ist in der Regel so gestrickt, dass man zwar relativ leicht berechnen kann.

00:15:17: Also ich stecke ein Passwort rein und dann kriege ich halt so einen Hash oder irgendwie so eine verschlüsseltes Passwort am Schluss.

00:15:26: Dass es in die eine Richtung relativ leicht geht aber in die andere Richtung.

00:15:29: also wenn ich das Verschlüsselte Passwort habe und das in den Algorithmen stecken würde, kann ich's nicht zurückrechnen.

00:15:33: Das ist so ne Trapdoor Einweg Algorithmus nennt man das So.

00:15:40: Wenn ich jetzt überhaupt nichts weiß über dieses Passwort, dann ist eine Möglichkeit einfach zu raten.

00:15:47: Jedes einzelne Zeichen dieses Passworts zu ratten und das bedeutet die Sicherheit von einem Passwort kann man theoretisch ausrechnen in der sogenannten Entropie indem man sich überlegt wie viele Zeichen hat dieses Password und aus Wie groß ist der Zeichenvorrat für jede einzelne Stelle?

00:16:04: Dann gibt es eine Formel und dann kriegst du am Schluss ne Zahl raus dass sie so nennt entropie.

00:16:09: also die nehmen dann den Den Logarithmus davon, also zwei hoch so eine Zahl.

00:16:15: Und wenn du zum Beispiel so ein Entropie von Äntropieh von forty-two hast heißt das, dass du zwei hoch forty völlig blinde zufällige Versuche machen müsstest um garantiert das Passwort zu erwischen.

00:16:29: und es funktioniert dann tatsächlich genau so.

00:16:31: Also Passwort Cracker arbeiten so, dass sie entweder online arbeiten, einfach die sich den Zugang nehmen, den sie knacken wollen und da einfach ein zufälliges Passwort generieren.

00:16:43: Und dann gucken funktioniert es oder funktioniert es nicht?

00:16:46: Das hat natürlich den großen Nachteil dass man auf diese Weise sehr schnell Alarm auslöst und irgendeine Sperre.

00:16:51: so drei falsche Versuche und der Account ist gesperrt.

00:16:54: außerdem hast du Bandbreiten Limits bei der gehen jede Menge rote Lampen an.

00:16:58: viel besser ist es Tatsächlich die Datei mit den verschlüsselten Passwörtern, weil da sind dann auch alle anderen zu klauen.

00:17:05: Wenn man das schafft, kann man das offline machen und kann in Ruhe ein Passwortkrecker darauf loslassen und halt sämtliche Kombinationen durchlaufen lassen.

00:17:16: Einfach nur blindsämtige Kombination durchlauchen zu lassen nennt man halt so einen Brutforce-Angriff einfach mit purer Rechenkraft.

00:17:23: Das kann man jetzt nochmal verfeinern indem man zum Beispiel Standard Wörter aus dem Wörtherbuch nimmt, Namen, Daten.

00:17:32: Wenn man weiß, User hat Geburtstag am nächsten vielleicht ist da sowas drin und so je mehr Informationen du vorab hast, desto kleiner wird der Suchraum für dich.

00:17:45: Aber jedenfalls so ein Standardmaß... ...ist halt dann diese Entropie.

00:17:50: Und eine Entropied von Achtzig gelten Passwürde eigentlich als ziemlich sicher unter der Voraussetzung, dass da kein offensichtliches Muster drin ist wie QWERTY oder irgend so was in der Art.

00:18:06: Eins zwei drei

00:18:06: vier

00:18:09: und keine Wiederholung.

00:18:11: Na ja!

00:18:13: Ja die KI Chatbots gehen aber anders vor.

00:18:17: also...

00:18:18: Die gehen da offensichtlich anders vor?

00:18:20: Wie genau sie davor gehen wissen wir nicht.

00:18:22: Aber naja wir wissen halt das Sprachmodelle einfach mit einem Haufen Beispiel trainiert worden sind.

00:18:30: Und das heißt, es gibt einfach Texte, wo drin stand ein gutes Passwort ist zum Beispiel Blah oder Programm Code mit Default-Passwörtern oder sonst irgendwas.

00:18:43: aber jedenfalls ein Haufen Beispiele.

00:18:46: und aus diesem Beispielvorrat nehmen sie was und improvisieren nochmal bisschen und verändern das so.

00:18:52: Ich habe dann halt mal so ein kleines Experiment

00:18:54: gemacht

00:18:55: und hab dann halt ChatGPT gefragt mit einem aktuellen Pro-Zugang, das ist dann irgendwie das GPT-Fünf oder so.

00:19:06: Und hab dann gesagt, ich möchte gerne ein sicheres Passwort haben.

00:19:10: Ich traue dem Online-Passwordmanager von Google nicht.

00:19:14: Da ist ja in Chrome so ein Ding eingebaut und die Antwort von Chatchi Pity war... Die automatisch generierten Google Passwörter sind kryptografisch sehr stark und in der Regel absolut sicher.

00:19:30: Wenn du Google Password Manager nutzt, ist das sicherheitstechnisch völlig in Ordnung.

00:19:36: aber wenn du dich damit wohler fühlst kann ich dir natürlich ein sehr starkes Passwort geringen.

00:19:41: Und dann kam halt ein Passwort also auf den ersten nicht tatsächlich gut aussieht Und wo ich dann halt mir die Atropie hat von berechnen lassen.

00:19:52: Also es gibt so online Security Checker, die sagen aber in der Regel nur ist das Passwort gut oder nicht gut?

00:20:00: Ist das sicher oder nicht sicher?

00:20:02: und ich bin mir da auch nicht ganz im Klaren drüber.

00:20:07: Ich kann mich nicht beurteilen wie vertrauensvolle sie sind jeweils.

00:20:13: Und deswegen habe ich mir einfach mal dann von Perplexity Die entropie ausrechnen lassen nach der klassischen formel und verwechselt das gemacht und ist auch eine entropied von.

00:20:24: Ich glaube hundertdreißig einfach hundred dreißig gekommen, das ist schon ziemlich gut.

00:20:29: Das sieht sehr gut aus.

00:20:31: Und ich habe noch mal gefragt wie sicher dieses passwort ist.

00:20:39: Da kam raus, da sind keine Erkennbaren Wörter oder Namen drin.

00:20:42: Keine Symptome Sequenz in den ein zwei drei vier ABCD und so weiter.

00:20:46: Keiner offensichtlich Wiederholung oder klaren Teilstücke.

00:20:49: das ist alles prima.

00:20:50: Das ist ein sicheres Passwort.

00:20:52: Ja.

00:20:53: Prima der das große Problem war eben auch die Sicherheitsforschung von Irregular in ihrem Bericht dann geschrieben haben, taucht erst dann auf wenn du eine große Zahl von Passwörtern erzeugen lässt.

00:21:10: Weil die dann offensichtlich Muster aufweisen.

00:21:13: Also habe ich genau das gemacht, hab' dann halt Chat-Dibbidi gefragt, kannst du mir noch fünfzig solcher Passwürter mal ausgeben?

00:21:22: und habt dann in einem anderen Chatfenster also im anderen Kontext gesagt okay ich zapp hier fünfzig passwörter.

00:21:30: kannst du bitte prüfen ob da irgendwelche Schwächen drin sind.

00:21:34: Ja und?

00:21:35: Die Antwort war, na klar!

00:21:39: Ach krass

00:21:40: okay ja schön!

00:21:41: Also das zwanzig Zeichenlangen bestehen aus einer Mischung von Großbuchstaben, Kleinbuchstabenzahlen und Sonntagzeichen.

00:21:46: Das ist super keine offensichtlichen Wiederholungen und so formal betrachtet sehr stark.

00:21:54: Aber wenn man sich das anguckt, sieht man sehr schnell dass es eigentlich ein für sich wiederholendes Muster gibt.

00:21:59: Nämlich Großbuchstabezahl, Sonnla-Zeichenkleidungsstabe usw.. Also das sind nicht... Das wiederholt sich nach weniger als zwanzig Zeichen und ist ganz klar immer dieselbe Struktur.

00:22:11: Und es war noch viel schlimmer der Zeichenvorrat Der ja auch für diese Berechnung der Entropie zuständig ist.

00:22:18: Der war halt sehr viel kleiner mögliche Zeichenvorrat.

00:22:22: Das heißt aus den Buchstaben, aus den Sonderzeichen und aus den Zahlen hat JetGPT beim Erzeugen dieser Pathfinder offensichtlich immer nur ein kleines Tante genommen und auch das immer nur durchgetauscht.

00:22:35: also du hast nur zwei vier sieben acht und neun gehabt als Zahlen zum Beispiel.

00:22:39: Du hast nur drei verschiedene Sonder Zeichen gehabt von einem möglichen Sonder zeichen.

00:22:46: Und ja, das Ergebnis ist ganz einfach.

00:22:50: Wenn man auch nur wenige dieser Passwörter kennt kann man sehr schnell ein Passwort konstruieren, dass diesem Muster entspricht und das heißt der Suchraum ist sehr viel kleiner.

00:23:03: Der nächste logische Schritt wäre gewesen bisschen Code erzeugen zu lassen um diese Passwürder zu knacken, das habe ich dann nicht ausprobiert.

00:23:10: Aber ich glaube es einfach!

00:23:11: Weil der Search Space... Der Suchraum ist einfach extrem klein gewesen.

00:23:19: Das ist also lustig.

00:23:19: Also der Chatchi Bitti hat in einem anderen Chat sozusagen seine eigenen selbstgenerierten Passwörter quasi gehackt.

00:23:27: Es war nur noch ein kleiner Schritt nachzuvollziehen.

00:23:31: aber ja das war so gut wie...

00:23:35: Ja immerhin ehrlich

00:23:37: Das Urteil war vernichtend.

00:23:40: Wer drei bis fünf, die am Passwort erkennt kann leicht das zugrunde liegende Set rekonstruieren und automatisiert weitere Varianten davon generieren und die dann eben ausprobieren.

00:23:52: Hast du auch nochmal Sicherheitsexperten dazu gefragt wie wir es einschätzen?

00:23:56: Genau, ja.

00:23:57: Ich habe Christian Dörr gefragt und das ist insofern interessant.

00:24:00: Christian Döhr ist am Hasoplatner-Institut und das Hasopatner-institut betreibt seit über zehn Jahren den sogenannten Identity League Checker.

00:24:09: Der Identity Leak Checker ist so eine Website wo du... Also es ist ähnlich wie Heverbin Pond.

00:24:14: Es ist so ne Website, wo du deine E-Mail Adresse angibst und prüfen kannst ob Passwörter von dir im Darknet irgendwo aufgetaucht sind.

00:24:26: Und die gucken halt auch immer, was für Passwörter im Darknet auf den Schwarzmarkt-Plätzen so kursieren und wie sie aussehen.

00:24:38: Und machen dann auch Statistiken da drüber.

00:24:41: Den habe ich gefragt, so kann man diesen Effekt schon sehen, geknackte von Chatbots generierte Passworte.

00:24:48: Dann sagt er ne, kann man nicht... Was man aber sehen kann ist, dass User schon gute Passwörter erzeugen lassen.

00:25:02: Zum Beispiel von Passwordmanagern, weil die haben in der Regel diese eingebaute Funktion ein Password davor zu schlagen, das sie diese Passworte aber mehrfach verwinnen!

00:25:13: Also Sie lassen ein starkes Passwort anzeugen und benutzen es dann für zehn verschiedene Accounts.

00:25:20: Das würde ich

00:25:23: niemals machen, nein.

00:25:24: Es ist auch gar keine gute Idee.

00:25:32: Ich habe ja vorhin schon gesagt Irregular selber sagt eben wir sehen schon Muster in Computer Generals Code.

00:25:40: das ist aber eine Entwicklung die jetzt gerade erst so richtig anläuft.

00:25:44: eigentlich alle, alle jetzt irgendwelche Bots und Agenda zum Koden verändern.

00:25:50: Das wird sich also noch verschärfen dieses Rücken glaube ich.

00:25:53: Aber du würdest jetzt privat auch bei den Passwort-Managern bleiben die?

00:25:57: Ja das mit dem Passwort Managern ist so eine Sache.

00:26:00: da gab es eben auch erst vor nicht allzu langer Zeit zur Meldung.

00:26:04: Eine Studie von Sicherheitsvorstand unter anderem der ETH Zürich populären Passwort-Manager wie beteuern und so sich angeguckt.

00:26:13: Und haben da eben auch Schwachstellen gefunden, also das Problem ist halt dass Password Manager in der Regel ja eben auch diesen Tresor mit den Passwörtern der User enthalten und damit natürlich auch ein wunderbares Angriffsziel sind.

00:26:31: Also du hast eine zentrale Stellung.

00:26:34: ganz viele gute Passworter sind.

00:26:37: Natürlich ist das eine große Versuchung In diese Passwörter zu stehlen und in dem Test, den sie da gemacht haben.

00:26:44: Sie hat zur Standard-Angriffsmethoden verwendet um die Passwortdateien zu stehn.

00:26:49: Die müssen sich dann immer noch knacken aber sie haben zumindest Password Dateien zum Teil gestohlen von Passwordmanagern.

00:26:58: Trotzdem ist es halt so... Für mich eine Lehre daraus ist, es eben nicht so zu machen wie der Professor Dörr gesagt hat.

00:27:07: Nämlich ein gutes Passwort zu erzeugen und das dann immer wieder zum benutzen sondern einfach ganz viele starke Passwörter zu benutzen.

00:27:16: Und ja dadurch halt die Chance für einen flächendeckenden Angriff eben zu minimieren.

00:27:25: also das heißt selbst wenn ein Account von mir geknackt wird bedeutet das nicht, dass alle meine Accounts geknackt werden.

00:27:33: Es sei denn irgendjemand klaut mein Masterpasswort von meinem Passwort-Tresorin?

00:27:38: Das wäre dann richtig

00:27:39: blöd.

00:27:40: Für solche Fälle würde ich aber nach wie vor auch einfach empfehlen, wichtige Accounts dann nochmal mit einer Zwei-Faktor-Authentifizierung abzusichern.

00:27:49: Also das habe ich dann eben auch also zum Beispiel meinen Google Account oder so und er läuft halt relativ viel drüber.

00:27:54: da musst du einfach noch mal einen zweiten Faktor haben damit nicht jemand, der einen Passort hat einfach sich damit irgendwo anwählen kann und alles Mögliche damit machen.

00:28:06: Ja dann kleinen Crash Course im Hacking hast du auch noch mal aufgeschrieben damit man es nochmal nachlesen kann.

00:28:12: Witzigweise

00:28:14: warum

00:28:14: das

00:28:14: wichtigste zusammengefasst?

00:28:16: Das war auch schon ein ganz schön langer Text.

00:28:18: diesen kleinen Crash course in Hacking gab's jetzt exklusiv in diesem Podcast

00:28:25: Genau, dann kann man es da aber nochmal nachlesen.

00:28:28: Warum das alles eine schlechte Idee ist?

00:28:30: Das so zu machen.

00:28:32: Vielen Dank erst mal!

00:28:35: Unser Medien-Tipp jetzt zum Abschluss passt noch einmal zur politischen Lage der vergangenen Woche.

00:28:43: Es geht nämlich um Grönland und warum die Insel so attraktiv für den USA ist.

00:28:48: Und da wirft die Doku kalter Krieg auf Grönlands Ein Blick ja in die Vergangenheit auf dieses Mega-Projekt Camp Century.

00:28:57: Die Doku läuft auf der Arte Mediathek oder in der Artenmediatheke, und die USA hatten da einen riesige geheimen Militärstadt unter dem Eis im Nord von Grünland aufzubauen.

00:29:11: Atomraketen sollten dort untergebracht werden um im Notfall dieser Weltunion ins Schacht zu halten.

00:29:18: Sechs Jahre lang wurde daran gearbeitet und die Doku hat er echt gutes Filmmaterial, auch so Farbaufnahmen einfach.

00:29:25: Weil sie extra ein Filmteam vor Ort hatten um das später für Werbezwecke alles zu dokumentieren wie attraktiv dieser Arbeitsplatz da ist.

00:29:35: denn natürlich wollte da nicht so mit jeder hin zum Arbeiten von der Armee weil dass da recht ungemütlich werden kann.

00:29:44: wenn du jetzt bei minus dreißig Grad nachts aufs Klo musst dann musst du dich erst mal anziehen und keine Ahnung was.

00:29:51: Insgesamt hatten die da aber eine recht gute Infrastruktur, wie man in der Doku sieht.

00:29:54: Du hast eine gute Küche, warme Duschen und so Sporträume und alles was man so zur Unterhaltung braucht.

00:30:01: Und wahrscheinlich auch warme Klos?

00:30:03: Wahrscheinlich ja.

00:30:04: Ich glaube das Problem ist der Weg dahin zu den Klos oder so.

00:30:08: Das war schon nicht sehr angenehm glaub ich.

00:30:13: Und den Strom haben sie praktischerweise von einem Atomreaktor bekommen, der da extrahin verbrachte wurde.

00:30:19: Und in dessen ihr konnten eben die Stationierten auch nicht so gut schlafen.

00:30:23: Sie hatten ein bisschen Probleme und Strahlungsprobleme auch genau.

00:30:27: Ich muss dazu sagen dass Sidoku nicht ganz neu ist, von zwei tausend neunzehn.

00:30:31: Gregor du meinst du hast sie auch schon gesehen wahrscheinlich?

00:30:35: Ist denn der Atom-Reaktor noch da?

00:30:38: Ja das weiß ich nicht genau.

00:30:39: also...

00:30:40: Also was ich noch im... Ich war schon länger hier, als ich die gesehen habe.

00:30:42: Was ich mich noch erinnere ist das alles so echt wahnsinnig inszeniert ist.

00:30:47: So Aufenthaltsräume wo dann so lauschig irgendwelche Leute in T-Shirt rum sitzen, Pfeifchen rauchen und in Magazinen blättern.

00:30:55: In einem Sessel mit so einer Stehlampe daneben also so

00:31:00: ein richtig

00:31:00: spießiges afrikanisches fünfter Jahre Wohnzimmer Mit entspannten Leuten und ja, es war schon krass.

00:31:11: Das

00:31:11: inszeniert das Ganze.

00:31:13: Die wollten das eben als ein Gegenpropaganda zur Wettunion irgendwie schön machen und auch so das gute Essen, die sollten da immer gut versorgt sein für die harte Arbeit, also schon ganz annehmlich in dem Kontext.

00:31:30: Den ganzen Kram haben sie aber wieder ausgebuddelt.

00:31:32: Also ich glaube, da kommen jetzt... Es waren ja so Blechröhren die dann

00:31:34: immer kollabiert sind, die dann aber auch quasi archäologisch auch wieder ausgebuddelt worden sind.

00:31:39: Ich glaube es kommt jetzt eh alles zum Vorschein mit dem Klimawandel.

00:31:42: über alles schmilzt?

00:31:43: Ja genau das wird später.

00:31:46: Kann man da wieder einziehen!

00:31:47: Oh ja, das ist ein normal kleines Update quasi machen.

00:31:52: Und ich hatte mal überlegt es ist jetzt eigentlich damals ein Mega-Projekt.

00:31:56: aber heute würde man vielleicht sagen also wenn man sich vergleicht mit The Lion aus so einem Mega-Bau Projekt weiß nicht, ist vielleicht gar nicht mehr so groß.

00:32:06: Aber immerhin da haben wir auch Leute gewohnt?

00:32:09: Also Leinen müssen wir einfach abwarten.

00:32:11: Stimmt, da hat bisher glaube ich keine gewohnen.

00:32:14: Richtig.

00:32:15: Auf jeden Fall.

00:32:15: auch, wenn man das Sitz noch nicht kennt kann die Doku gerne mal anschauen um sich da weitere Informationen zu holen.

00:32:23: Ja damit sind wir auch schon am Ende dieser Folge.

00:32:26: Wir hören uns voraussichtlich in der nächsten Woche wieder.

00:32:28: Bis dahin macht's gut Tschüss!

00:32:36: Mit unseren Infos kannst du die Zukunft mitgestalten.

00:32:40: Dafür bekommst Du immer Mittwochs im neuen KI-Newsletter von T-IIIN, alle relevanten News und Trends rund um künstliche Intelligenz, KI-Agenten und vieles mehr – direkt in Deine Inbox!

00:32:52: Abonnier den Newsletter kostenlos, Den Link findest Du hier in den Show Notes.