| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
jagy
Herb Derpington III.
Anmeldungsdatum: 26.11.2006
Beiträge: 7275
|
 (#1632966) Verfasst am: 30.04.2011, 20:50 Titel: Passwort-Sicherheit - Kompliziertheit überschätzt? |
 |
|
Ich bin gerade dabei zu überlegen, was ich mit meinen Passwörtern mache. Ich habe zwar nicht abcd1234, aber ich habe auch kein 20-stelliges Passwort mit Sonderzeichen, Asci-Codes etc.
Hinweise, was man machen sollte und was man besser machen sollte, gibt es viele Mnemonische Systeme, Passwort-Manager, etc pp
Jetzt bin ich auf diesen Artikel gestoßen:
http://www.baekdal.com/tips/password-security-usability
| Zitat: | | Security companies and IT people constantly tells us that we should use complex and difficult passwords. This is bad advice, because you can actually make usable, easy to remember and highly secure passwords. In fact, usable passwords are often far better than complex ones. |
| Zitat: | | You cannot protect against "asking" and "guessing", but you can protect yourself from the other forms of attacks. |
| Zitat: | The measure of security must then be "how many password requests can the automated program make - e.g. per second". The actual number varies, but most web applications would not be capable of handling more than 100 sign-in requests per second.
|
| Zitat: |
This means it takes the following time to hack a simple password like "sun":
Brute-force: 3 minutes
Common Word: 3 minutes
Dictionary: 1 hour 20 minutes |
| Zitat: |
Using more than one simple word as your password increases you security substantially (from 3 minutes to 2 months). But, by simply using 3 words instead of two, you suddenly got an extremely secure password. |
Beispiel: "this is fun"
| Zitat: |
It takes:
1,163,859 years using a brute-force method
2,537 years using a common word attack
39,637,240 years using a dictionary attack
It is 10 times more secure to use "this is fun" as your password, than "J4fS<2". |
Kann jemand mit Ahnung dazu mal was sagen?
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!
|
|
| Nach oben |
|
 |
jagy
Herb Derpington III.
Anmeldungsdatum: 26.11.2006
Beiträge: 7275
|
| (#1632971) Verfasst am: 30.04.2011, 20:56 Titel: |
|
|
edit: Hier ist seine Antwort auf Kritik: http://www.baekdal.com/tips/usable-security-reply-to-security-now/ habs noch nicht gelesen.
| Zitat: | | But I am not saying you should use "this is fun", that was just an example. I am urging you to use 3+ words, preferably uncommon words - like "fluffy is puffy". Using that password, the hacker would not be able to use the 1,000 words dictionary. He would instead need to use a much bigger one. |
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!
|
|
| Nach oben |
|
|
esme
lebt ohne schützende Gänsefüßchen.
Anmeldungsdatum: 12.06.2005
Beiträge: 5667
|
| (#1633040) Verfasst am: 30.04.2011, 23:24 Titel: |
|
|
Das ist doch nicht das große Problem, ein absurdes Passwort im Kopf zu behalten. Das Problem ist doch, dass man an allen Ecken und Enden Passwörter braucht und entweder ein Passwort mehrfach verwendet oder die Passwörter notiert oder einen Passwortmanager hat, der dazu führt, dass man alles gleichzeitig verliert, wenn es damit ein Problem gibt. Alle Möglichkeiten sind irgendwo unschön.
Für mich ist das Thema auch sehr aktuell, weil unser Computernetzwerk gehackt und abgehört wurde und wir den Hinweis bekommen haben, dass *jedes* Passwort, das wir in den letzten Wochen eingetippt haben, aufgezeichnet sein könnte. Ich bin dann mit meiner Browserhistory dagesessen und habe Passwörter versucht zu ändern, an die ich mich gar nicht erinnert habe, weil sie seit Jahren im Cookie leben.
_________________
Gunkl über Intelligent Design:
Da hat sich die Kirche beim Rückzugsgefecht noch einmal grandios verstolpert und jetzt wollen sie auch noch Haltungsnoten für die argumentative Brez'n, die sie da gerissen haben.
|
|
| Nach oben |
|
|
vrolijke
Bekennender Pantheist
Anmeldungsdatum: 15.03.2007
Beiträge: 46732
Wohnort: Stuttgart
|
| (#1633042) Verfasst am: 30.04.2011, 23:32 Titel: |
|
|
Auf der Arbeit habe ich allein schon 6 Passwörter. Davon sind vier, die jede drei Monate erneuert werden müssen. bei zwei davon reicht es aus, wenn man eine Stelle ändert. Die beiden andere Passwörter müßen so sein, daß kein Buchstabe an der gleiche Stelle stehen darf wie beim vorhergehende.
Und sowas soll man sich nicht aufschreiben dürfen? 
Die einzigen Passwörter, die ich nicht aufschreibe, sind die von der Bank.
Wenn jemand hier im FGH fälschlicherweise meine Eingangsdaten nehmen würde. Würde es wahrscheinlich nicht lange dauern, bis er auffliegt, und der Schaden, den er damit anrichtet hällt sich nun wirklich in Grenzen.
_________________
Glück ist kein Geschenk der Götter; es ist die Frucht der inneren Einstellung.
Erich Fromm
Sich stets als unschuldiges Opfer äußerer Umstände oder anderer Menschen anzusehen ist die perfekte Strategie für lebenslanges Unglücklichsein.
Grenzen geben einem die Illusion, das Böse kommt von draußen
|
|
| Nach oben |
|
|
Rolandroid
Zum Unglauben Bekehrter
Anmeldungsdatum: 05.05.2011
Beiträge: 26
Wohnort: Bonn
|
| (#1634593) Verfasst am: 05.05.2011, 21:15 Titel: |
|
|
| esme hat folgendes geschrieben: | | oder einen Passwortmanager hat, der dazu führt, dass man alles gleichzeitig verliert, wenn es damit ein Problem gibt. |
Ich verwende derzeit Keepass und frage mich schon seit Längerem, ob es ausreichend ist, Backups der Passwortdatei zu machen. Welche Verlust-Szenarien sind noch denkbar, die mit einem Plattencrash oder Rechnerklau nicht abgedeckt sind?
Es nützt beispielsweise nichts, wenn z.B. Keepass oder Windows die Datei unlesbar macht und ich die nun unbrauchbar gewordene Datei per Dropbox auf mein Smartphone ziehe. Dann überschreibt die kaputte Datei das Backup der gesunden.
Also besser noch in einem ganz anderen Format woanders sichern? Wie geht Ihr mit dem Passwortmanager um (so Ihr einen benutzt)?
LG, Roland (neu hier, und gleich mit Fragen nervend)
|
|
| Nach oben |
|
|
zelig
Kultürlich
Anmeldungsdatum: 31.03.2004
Beiträge: 25405
|
| (#1634596) Verfasst am: 05.05.2011, 21:26 Titel: |
|
|
| Ich verwende eine normale Tabelle auf einem verschlüsselten Laufwerk an verschiedenen Orten. Eins hat den Masterstand.
|
|
| Nach oben |
|
|
Navigator2
unbefristet gesperrt
Anmeldungsdatum: 12.06.2008
Beiträge: 2546
|
| (#1635073) Verfasst am: 07.05.2011, 02:19 Titel: Re: Passwort-Sicherheit - Kompliziertheit überschätzt? |
|
|
| jagy hat folgendes geschrieben: | Ich bin gerade dabei zu überlegen, was ich mit meinen Passwörtern mache. Ich habe zwar nicht abcd1234, aber ich habe auch kein 20-stelliges Passwort mit Sonderzeichen, Asci-Codes etc.
|
Ja - Sonderzeichen werden allgemein überschätzt. Statt *eines* Sonderzeichens kannst du auch zwei Standardzeichen verwenden, das hat ungefähr den gleichen Multiplikationseffekt.
Ich hatte es mal irgendwann ausgerechnet, weil ich vor der gleichen Frage stand. So ab 14 Zeichen fängt es an, sicher zu werden. Alles was darunter ist, das kannst du mehr oder weniger vergessen, da hier mit einem Brute-Force-Angriff in absehbarer Zeit alle möglichen Kombinationen durchprobiert sind. Das kann bei Passwörtern unter 10 Zeichen eine Sache von wenigen Minuten sein. Wenn du aber 16 Zeichen und mehr verwendest, dann dauert es Jahre oder gar Kilojahre.
Und was das "notieren" von Passwörtern angeht - am besten hat man die wichtigen Passwörter im Kopf - so eignet sich dazu irgend etwas, was verschlüsselt - evtl. auf einem separaten Gerät (SmartPhone?). Und Software, die verschlüsseln kann, gibt es wie Sand am Meer, da suchst du dir am besten aus, was dir am besten liegt...
... ach, und nicht vergessen, auch die verschlüsselte Passwortdatei auf separatem Datenträger sichern. 
HTH
nv.
|
|
| Nach oben |
|
|
jagy
Herb Derpington III.
Anmeldungsdatum: 26.11.2006
Beiträge: 7275
|
| (#1635075) Verfasst am: 07.05.2011, 07:55 Titel: Re: Passwort-Sicherheit - Kompliziertheit überschätzt? |
|
|
| Navigator2 hat folgendes geschrieben: |
Ich hatte es mal irgendwann ausgerechnet, weil ich vor der gleichen Frage stand. So ab 14 Zeichen fängt es an, sicher zu werden. Alles was darunter ist, das kannst du mehr oder weniger vergessen, da hier mit einem Brute-Force-Angriff in absehbarer Zeit alle möglichen Kombinationen durchprobiert sind. Das kann bei Passwörtern unter 10 Zeichen eine Sache von wenigen Minuten sein. Wenn du aber 16 Zeichen und mehr verwendest, dann dauert es Jahre oder gar Kilojahre.
|
Danke erst mal, aber zu dem Punkt: Gilt das auch für Passwörter zu Webseiten? Das ist ja gerade, um was es in dem Artikel geht. Ich meine, dass das, was Du sagst zB für verschlüsselte Dateien, Festplatten etc gilt, leuchtet mir ein. Aber kann ein Brute-Force-Angriff auf eine Webanwendung so schnell durchgeführt werden, dass Deine Rechnung noch gilt?
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!
|
|
| Nach oben |
|
|
DerBernd
auf Wunsch deaktiviert
Anmeldungsdatum: 16.10.2010
Beiträge: 1043
|
| (#1635082) Verfasst am: 07.05.2011, 09:11 Titel: Re: Passwort-Sicherheit - Kompliziertheit überschätzt? |
|
|
| jagy hat folgendes geschrieben: | | Aber kann ein Brute-Force-Angriff auf eine Webanwendung so schnell durchgeführt werden, dass Deine Rechnung noch gilt? |
Bei einer halbwegs-vernünftig erstellten Webanwendung funktioniert keine Brute-Force-Attacken.
Die sperrt einfach die IP-Adresse/den Account, zeigt Captchas oder leitet andere Maßnahmen ein, wenn -zig mal hintereinander ein falsches Passwort eingegeben wurde.
Bei Webanwendungen sind neben trivialsten Passwörter andere Dinge ein Problem: teilweise unverschlüsselte Übertragung, Abgriff der Passwörter durch Admins oder andere, etc.
Nach Möglichkeit sollte man daher für jeden noch so blöden Account ein anderes Passwort verwenden.
|
|
| Nach oben |
|
|
Navigator2
unbefristet gesperrt
Anmeldungsdatum: 12.06.2008
Beiträge: 2546
|
| (#1635103) Verfasst am: 07.05.2011, 11:19 Titel: Re: Passwort-Sicherheit - Kompliziertheit überschätzt? |
|
|
| jagy hat folgendes geschrieben: | | Navigator2 hat folgendes geschrieben: |
Ich hatte es mal irgendwann ausgerechnet, weil ich vor der gleichen Frage stand. So ab 14 Zeichen fängt es an, sicher zu werden. Alles was darunter ist, das kannst du mehr oder weniger vergessen, da hier mit einem Brute-Force-Angriff in absehbarer Zeit alle möglichen Kombinationen durchprobiert sind. Das kann bei Passwörtern unter 10 Zeichen eine Sache von wenigen Minuten sein. Wenn du aber 16 Zeichen und mehr verwendest, dann dauert es Jahre oder gar Kilojahre.
|
Danke erst mal, aber zu dem Punkt: Gilt das auch für Passwörter zu Webseiten? Das ist ja gerade, um was es in dem Artikel geht. Ich meine, dass das, was Du sagst zB für verschlüsselte Dateien, Festplatten etc gilt, leuchtet mir ein. Aber kann ein Brute-Force-Angriff auf eine Webanwendung so schnell durchgeführt werden, dass Deine Rechnung noch gilt? |
Nun, meine Rechnung ging zunächst einmal von der ungünstigsten Möglichkeit aus, also einem schnellen Rechner der nur wenige Mikrosekunden pro Abfrage braucht.
Bei Webanwendungen sind zwar häufig Mechanismen eingebaut, die so einen BF-Angriff erschweren sollen, aber.... wenn es ein Hacker schafft, einen Server zu kompromitieren, dann können auch diese Mechanismen (Zeitverzögerung, Begrenzug der Anzahl der Versuche) ausgehebelt werden. Von daher würde ich sagen... sicher ist sicher, und als jemand, der sehr flott blind mit 10 Fingern schreiben kann, nehme ich lieber 2 bis 3 Zeichen mehr als zu wenig.
Auch kommt es letztendlich auf die Webseite an. Also mein Passwort für mein Konto ist um einiges länger und komplexer als beispielsweise hier für das Freigeisterhaus .
HTH
nv.
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1635116) Verfasst am: 07.05.2011, 11:55 Titel: Re: Passwort-Sicherheit - Kompliziertheit überschätzt? |
|
|
| jagy hat folgendes geschrieben: | | Navigator2 hat folgendes geschrieben: |
Ich hatte es mal irgendwann ausgerechnet, weil ich vor der gleichen Frage stand. So ab 14 Zeichen fängt es an, sicher zu werden. Alles was darunter ist, das kannst du mehr oder weniger vergessen, da hier mit einem Brute-Force-Angriff in absehbarer Zeit alle möglichen Kombinationen durchprobiert sind. Das kann bei Passwörtern unter 10 Zeichen eine Sache von wenigen Minuten sein. Wenn du aber 16 Zeichen und mehr verwendest, dann dauert es Jahre oder gar Kilojahre.
|
Danke erst mal, aber zu dem Punkt: Gilt das auch für Passwörter zu Webseiten? Das ist ja gerade, um was es in dem Artikel geht. Ich meine, dass das, was Du sagst zB für verschlüsselte Dateien, Festplatten etc gilt, leuchtet mir ein. Aber kann ein Brute-Force-Angriff auf eine Webanwendung so schnell durchgeführt werden, dass Deine Rechnung noch gilt? |
Nein. Der Artikel macht eine Reihe von Fehlern (oder zumindest ist er in einigen Punkten ungenau und/oder unvollständig) aber in dem Punkt hat er recht.
Ein Brute Force-Angriff auf Webseiten kann nicht in der gleichen Schlagzahl erfolgen als bei lokalen Anwendungen. Bei lokalen Anwendungen liegt die z. Zt. bei etwa 2,8 Millionen Versuchen pro Sekunde, d. h. dass heutzutage 6-Stellige Passwörter mit Zahlen und Sonderzeichen in ca. 2 Tagen geknackt sind.
Bei Passwörtern sollte man einige Sachen bedenken: Auf den Privatanwender kommen idR keine gezielten Attacken in frage; wenn es zu einem Brute Force-Angriff auf dessen Passwörter kommt, dann werden da nur ein paar häufig verwendete Passwörter durchprobiert und wenn das keinen Erfolg zeigt geht man halt weiter zum nächsten potentiellen Opfer.
Bei Privatanwendern ist das Standardszenario in etwa das: Man gibt ein Passwort bei z. B. Sony an und dort als Hashwert gespeichert. Bei Sony werden nun unglücklicherweise 25 Millionen Datensätze gestohlen; und auch wenn da keine Kreditkartendaten bei sein sollten, dann gleicht man die 25 Millionen Hashwerte mit Rainbow Tables ab, das sind vorberechnete Kombinationen aus Zeichenketten und deren Passwörtern. Dieser Abgleich kann ja lokal laufen, keine Notwendigkeit, per Brute Force auf eine Passworteingabemaske zugreifen zu müssen
Damit sind die "100 Versuche pro sekunde", die der Artikel erwähnt obsolet.
Bei Personen, die simple Passwörter verwenden ist damit das Passwort in Minuten geknackt.
Bei 25 Millionen Passwörtern gibt es sicherlich 5 Millionen Treffer. Bei diesen 5 Millionen gehe ich jetzt hin und probiere die Kombination aus Usernamen + Passwort auf allen möglichen anderen bekannten Seiten durch und schaue, ob ich da an Geld komme, weil Menschen faul sind und das gleiche Passwort auf X verschiedenen Seiten verwenden. Entweder, dass dort Kreditkartendaten hinterlegt sind oder whatever.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
Navigator2
unbefristet gesperrt
Anmeldungsdatum: 12.06.2008
Beiträge: 2546
|
| (#1635148) Verfasst am: 07.05.2011, 14:14 Titel: |
|
|
| Rolandroid hat folgendes geschrieben: | | esme hat folgendes geschrieben: | | oder einen Passwortmanager hat, der dazu führt, dass man alles gleichzeitig verliert, wenn es damit ein Problem gibt. |
Ich verwende derzeit Keepass und frage mich schon seit Längerem, ob es ausreichend ist, Backups der Passwortdatei zu machen. Welche Verlust-Szenarien sind noch denkbar, die mit einem Plattencrash oder Rechnerklau nicht abgedeckt sind?
|
Hm... nun ja, z.B. die, dass deine Backupdatei nicht funktioniert. Soll gar nicht so selten vorkommen. Insbesondere wenn es sich um dubiose Programme handelt, welche ihre Backupdateien selbst herstellen.
Berühmter Administratoren Witz nach einen erfolglosen Versuch, ein Backup wieder zurückzuladen: Beim das Backup hat bei uns immer geklappt. (...weil er nie ausprobiert hat, ob und wie man die Backups zurückspielt...)
Und auch das soll gar nicht so sehr selten vorkommen, dass Leute irgendwelche verschlüsselte Backupdateien haben, aber nicht mehr wissen, wie denn dieses Programm hies, mit dem sie es erstellt haben.....
Und natürlich die allgeminen Risiken, wie z.B. dass Passwörter unverschlüsselt übermittelt werden und abgefangen werden, oder dass ein Keylogger auf dem Rechner einfach alle Tastaturanschläge mitliest und das Ergebnis einem kriminellen Hacker mailt.
Nun ja - unverschlüsselte Passwortübermittlung sollten bei https-Verbindungen wie z.B. bei Banken nicht möglich sein, na ja, und gegen Trojaner sichert man sich, in dem man nicht auf alles Klickt, was nicht bei drei auf den Bäumen ist und sich auf vertrauenswürdige verläst. Am besten, wenn man sich für sensibele Dinge einen extra Rechner anschafft, den man sauber hält, oder was auch eine gute Alternative sein kann, wenn z.B. Linux (Knoppix) von CD/DVD bootet - in dem Fall sollte es wohl nahzu ausgeschossen sein, das ein Trojaner mitliest....vorausgesetzt, die Tastatur ist _direkt_ mit dem Rechner verbunden, und niemand hat die Tastatur oder den Rechner aufgeschraubt, und einen hardwaremäßigen Spion eingebaut.
Solche Spione als Zwischenstecker sind ja schon länger bekannt, aber unsere Geheimdienste wären wohl auch in der Lage, jemandem so einen Zwischenstecker in den Rechner einzubauen.
Also lieber noch alle Schrauben von Tastatur und Computer mit Wachs versiegel
| Zitat: |
Es nützt beispielsweise nichts, wenn z.B. Keepass oder Windows die Datei unlesbar macht und ich die nun unbrauchbar gewordene Datei per Dropbox auf mein Smartphone ziehe. Dann überschreibt die kaputte Datei das Backup der gesunden.
|
Deshalb hat man ja für Dinge, die wirklich sicher sind, mehr als ein Passwort. Vor allem probiert man auch hin und wieder aus, ob die gesicherten Passwortdateien auch wirklich funktionieren, und man hat zusätzich auch noch das Programm, welches die Passwortdateien gesichert.
Es nützt dir beispielsweise gar nichts, wenn dir irgendwann dein SmartPhone das zeitliche segnet und du gar nicht mehr weißt, wie dein Keepass denn jetzt hies, oder welche Versionsnummer dieses hatte.
Noch schlimmer, wenn dein KeePass evtl auf den Betriebssystemen neumodischer Betriebssystem nicht mehr laufen.... und es auf ebay ein SmartPhone mit deinem Betriebssystem nicht mehr gibt, weil es dir gelungen ist, über 5 und mehr Jahre dein SmartPhone zu verwenden, und ein 128-bid Andorid-Hyperfluide-Betriebssystem mit den Anwendungen von vor 5 Jahren nix mehr anfangen kann.
| Zitat: |
Also besser noch in einem ganz anderen Format woanders sichern? Wie geht Ihr mit dem Passwortmanager um (so Ihr einen benutzt)?
LG, Roland (neu hier, und gleich mit Fragen nervend) |
Ich benutze keinen Passwortmanager - ich verwende ganz normal unter Windows ein Programm, welches Textdateien verschlüsselt und hierarchisch anordnet. Das Verzeichnis mit diesen Textdateien wird dann auf USB-Platte und diverse andere Rechner gespiegelt.
Ganz wichtig bei deinem Passwortmanager ist, dass du sicherstellst, dass diese Passwortdatei auch dann noch funktioniert, wenn du sie wieder zurückspielst.
HTH
nv.
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1635152) Verfasst am: 07.05.2011, 14:29 Titel: |
|
|
Vielleicht nochmal etwas zur Komplexität:
Der Artikel hat natürlich recht in dem Punkt, dass Sonderzeichen nicht nötig sind.
Gewöhnlich wird für sowas der informationstechnische Entropiebegriff verwendet, um die Komplexität eines Passworts anzugeben. Seit über 20 Jahren wird schon immer eine Entropie von 30 als „sicher“ angegeben, obwohl einerseits die Rechenleistung in dieser zeit dramatisch angestiegen ist und andererseits die Entropie nicht unbedingt aussagekräftig ist.
Kurz gesagt bedeutet eine Entropie von H = 30, dass es 2<sup>30</sup> Kombinationsmöglichkeiten bei der Länge des Passworts und dem Zeichenvorrat gibt.
Beispiel A: Passwortlänge 8 Zeichen, nur Zahlen (0-9)
Da ist es klar, dass es für jede Stelle des Passworts 10 Möglichkeiten gibt, bei nur einer Stelle gibt es 10 Kombinationsmöglichkeiten, bei zwei Stellen 10 * 10 = 100, bei drei Stellen 10 * 10 * 10 = 1000 usw., also jeweils ‹Zeichenvorrat›<sup>‹Länge›</sup>, in diesem Fall also 10<sup>8</sup> = 100.000.000 Möglichkeiten.
Bei Brute Force-Angriffen hat man statistisch gesehen das Passwort nach der Hälfte der Versuche geknackt, hier also nach 50.000.000.
Ein heutiger handelsüblicher Rechner hat so ein Passwort unter optimalen Bedingungen nach ca. 17 Sekunden geknackt.
Die Formel ‹Zeichenvorrat›<sup>‹Länge›</sup> macht schon deutlich, dass die Länge wichtiger ist als der Zeichenvorrat, weil die Entropie mit der Länge viel schneller ansteigt als mit dem verwendeten Zeichenvorrat.
Wenn ich nur Kleinbuchstaben verwende habe ich einen Zeichenvorrat von 26, wenn ich Großbuchstaben mit dazunehme 52. Kommen Zahlen dazu 62 und bei den gebräuchliche Sonderzeichen sind es insgesamt 95.
Wenn ich ein 8-stelliges Passwort aus Kleinbuchstaben verwende habe ich 26<sup>8</sup> = 208.827.064.576 Kombinationsmöglichkeiten, bei einem 8-stelligen Passwort aus Klein- und Großbuchstaben 52<sup>8</sup> = 53.459.728.531.456.
Verwende ich nun zwar nur Kleinbuchstaben, aber erhöhe die Länge des Passworts auf 12 Stellen habe ich schon 26<sup>10</sup> = 141.167.095.653.376 Möglichkeiten, man sieht also, dass dieses 12-stellige Passwort aus Kleinbuchstaben deutlich „sicherer“ ist als eines, das zwar auch Großbuchstaben verwendet, dafür aber nur 8 Zeichen lang ist.
All das ist aber graue Theorie, die in der Praxis kaum eine Rolle spielt. Wenn ich nicht gerade einen Betrieb habe, dessen Geschäftsgeheimnisse für irgendjemanden interessant sind, gibt es kaum einen Grund, warum ich einem gezielten Angriff ausgesetzt sein sollte, für den irgendwer mehr als ein paar wenige Sekunden aufwendet.
Das „sicher“ habe ich oben in Anführungszeichen gesetzt, weil sich diese Theorie eben nur auf Brute Force-Angriffe anwenden läßt, die beim Privatanwender praktisch keine Rolle spielen.
Das, was für den Privatanwender eine Rolle spielt ist eben das Szenario, was gerade bei Sony akut ist. Als Hacker konzentriere ich meine Arbeit nicht auf einzelne Privatanwender bei denen ich nichtmal sicher weiß, ob es bei denen etwas lohnendes zu holen gibt. Das wäre entsetzlich ineffizient. Ich konentriere stattdessen meine Arbeit auf Punkte von denen ich weiß, dass es dort große Mengen an Daten auf einmal zu holen gibt, basierend auf zwei Annahmen:
Menschen sind faul und verwenden gerne die gleiche Kombination aus Passwort und Usernamen an zig verschiedenen Stellen und Menschen sind faul und wollen sich nicht gerne komplizierte Passwörter merken sondern verwenden lieber Kombinationen wie „Passwort1234“, „17081977“ oder dergleichen.
Geburtsdaten als Passwörter sind so ein Klassiker, weil man immer gesagt bekommt, man solle keine Geburtsdaten als Passwörter verwenden und sich dann jeder User denkt „Haha, wie sollte denn irgendwer Wildfremdes in China das Geburtsdatum meiner Freundin kennen?”.
Einfache Antwort: braucht er nicht. Er braucht sich nur zu denken: Geburtsdaten sind nur 6- bis 8-stellige Zahlen und dazu noch vorhersagbar aufgebaut: an erster Stelle kann ich nur Zahlen von 0 bis 3 haben, Stelle 3 kann nur „0“ oder „1“ sein, Stellen 5 und 6 sind vermutlich „1“ und „9“ usw. All diese Überlegungen reduzieren die Anzahl an Kombinationen, die ich durchprobieren muss ganz erheblich, einfach weil es nur wenige Menschen gibt, die am 45.13.2065 geboren wurden. Für diese Erhebliche Reduzierung kann ich locker noch verschiedene Notationen durchprobieren, z. B. „17081977“, „17.08.1977“, „17.8.1977“, „08/17/1977“, „08171977“, usw. usf.
Nun werden diese Kombinationen aber wie oben angedeutet gar nicht in der Passworteingabemaske einer Webseite durchprobiert. In diesem Punkt ist der von jagy verlinkte Artikel schlicht naiv.
Passwörter müssen gespeichert werden. Wenn nur eine Webseite ein Passwort im Klartext speichert und ich dieses Passwort auf 50 verschiedenen Seiten verwende, dann bin ich sowieso am Arsch, auch wenn mein Passwort „7{oiO0]Ð@lö7&ø-Q” lautet.
Daher werden Passwörter in der Regel als Hashwert abgespeichert, dass läßt sich vergleichen mit einer Quersumme bei Zahlen. Eine bestimme Zeichenkombination ergibt in jedem Hashalgorithmus immer die gleiche Kette, aus dieser läßt sich aber das Passwort nicht berechnen, daher geht man den umgekehrten Weg: Man berechnet für alle möglichen Zeichenkombinationen schonmal die Hashwerte und legt die in einer gewaltigen Tabelle ab.
Wenn man dann in den Besitz eines Hashwertes gelangt durchsucht man seine Tabelle einfach nur nach diesem Wert und schon hat man ggf. das Passwort.
_________________
In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
| Nach oben |
|
|
jagy
Herb Derpington III.
Anmeldungsdatum: 26.11.2006
Beiträge: 7275
|
| (#1635153) Verfasst am: 07.05.2011, 14:47 Titel: |
|
|
Danke für die lange Antwort noc!
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!
|
|
| Nach oben |
|
|
Ragmaanir
Fieser Necessitator
Anmeldungsdatum: 12.06.2005
Beiträge: 833
Wohnort: Hamburg
|
| (#1635155) Verfasst am: 07.05.2011, 14:51 Titel: |
|
|
Ich verwende KeePassX als Passwort-Manager. Als Backup kopiere ich einfach nur die Passwort-DB auf meine zweite Festplatte, meine Externe und auf meinen USB stick. Meine Passwörter sind verschieden. Für unwichtige Accounts verwende ich einfache und ähnliche Passwörter. Für alles was irgendwie wichtig ist generiere ich zufällige Passwörter.
_________________
Dieser Post enthält die unumstößliche, objektive Wahrheit.
|
|
| Nach oben |
|
|
jagy
Herb Derpington III.
Anmeldungsdatum: 26.11.2006
Beiträge: 7275
|
| (#1673972) Verfasst am: 11.08.2011, 09:01 Titel: |
|
|
xkcd schein das gleiche zu denken mit den normalen wörtern und leerzeichen:
https://www.xkcd.com/936/
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!
|
|
| Nach oben |
|
|
Arashi
registrierter User
Anmeldungsdatum: 18.05.2011
Beiträge: 185
Wohnort: Mainz
|
| (#1674014) Verfasst am: 11.08.2011, 11:29 Titel: |
|
|
Für PWs, die ich öfter wechseln muss benutze ich seit langem eine Passwort-karte und zwar die von hier:
http://de.savernova.com/index.php?id=32
Gibt es auch von anderen Anbietern, auch in anderen Größen.
Das ist quasi die gute Version von PWs aufschreiben - man kann den Zettel im Geldbeutel rumtragen o.ä. und wenn man in verliert hilft er dem Finder nicht wirklich weiter.
Und wenn man ein paar mal gewechselt hat lädt man sich einfach eine neue runter und druckt die aus (am besten mehrmals, falls man sie verliert).
Falls ein Mathe-Ass hier meint, die Dinger taugen nichts ... bitte Bescheid sagen 
|
|
| Nach oben |
|
|
Woici
ist vollkommen humorlos
Anmeldungsdatum: 16.07.2003
Beiträge: 7437
Wohnort: Em Schwobaländle
|
| (#1674059) Verfasst am: 11.08.2011, 15:06 Titel: Re: Passwort-Sicherheit - Kompliziertheit überschätzt? |
|
|
| Navigator2 hat folgendes geschrieben: | Auch kommt es letztendlich auf die Webseite an. Also mein Passwort für mein Konto ist um einiges länger und komplexer als beispielsweise hier für das Freigeisterhaus .
|
wie das? das passwort beim onlinebanking sparkasse ist z.b. nur 5 stellen lang... mehr zeichen kann ich gar nicht verwenden da das feld nur 5 stellen hat....
_________________
eigentlich bin ich ein ganz netter... und wenn ich freunde hätte, könnten die das auch bestätigen.
|
|
| Nach oben |
|
|
Navigator2
unbefristet gesperrt
Anmeldungsdatum: 12.06.2008
Beiträge: 2546
|
| (#1674070) Verfasst am: 11.08.2011, 15:20 Titel: Re: Passwort-Sicherheit - Kompliziertheit überschätzt? |
|
|
| Woici hat folgendes geschrieben: | | Navigator2 hat folgendes geschrieben: | Auch kommt es letztendlich auf die Webseite an. Also mein Passwort für mein Konto ist um einiges länger und komplexer als beispielsweise hier für das Freigeisterhaus .
|
wie das? das passwort beim onlinebanking sparkasse ist z.b. nur 5 stellen lang... mehr zeichen kann ich gar nicht verwenden da das feld nur 5 stellen hat.... |
Bei meiner Bank ist das eben anders als bei der Spaßkasse
nv.
|
|
| Nach oben |
|
|
Ahriman
Tattergreis
Anmeldungsdatum: 31.03.2006
Beiträge: 17976
Wohnort: 89250 Senden
|
| (#1674191) Verfasst am: 11.08.2011, 19:12 Titel: Re: Passwort-Sicherheit - Kompliziertheit überschätzt? |
|
|
| Woici hat folgendes geschrieben: | | Navigator2 hat folgendes geschrieben: | Auch kommt es letztendlich auf die Webseite an. Also mein Passwort für mein Konto ist um einiges länger und komplexer als beispielsweise hier für das Freigeisterhaus .
|
wie das? das passwort beim onlinebanking sparkasse ist z.b. nur 5 stellen lang... mehr zeichen kann ich gar nicht verwenden da das feld nur 5 stellen hat.... |
Fürs Konto hab ich gar kein Paßwort. Da gehe ich rüber in die Spaka-Filiale. Das ist immer noch am sichersten. Ja, wirklich, online-banking, davor habe ich noch mehr Angst als vorm Fliegen. Einfach zu riskant.
|
|
| Nach oben |
|
|
jagy
Herb Derpington III.
Anmeldungsdatum: 26.11.2006
Beiträge: 7275
|
| (#1674231) Verfasst am: 11.08.2011, 20:55 Titel: |
|
|
pfffff
_________________
INGLIP HAS BEEN SUMMONED - IT HAS BEGUN!
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1674240) Verfasst am: 11.08.2011, 21:13 Titel: |
|
|
| jagy hat folgendes geschrieben: | | xkcd schein das gleiche zu denken mit den normalen wörtern und leerzeichen: |
Denkfehler: "four random common words" sind ca. 100.000<sup>4</sup> = 10<sup>20</sup> Optionen. Man muss nur ein Wörterbuch hernehmen und alle darin enthaltenen Wörter permutieren.
Das entspricht einem Passwort zwischen 10 und 11 Zeichen aus dem 95-Zeichen-Satz.
Praktisch erhöhe ich quasi den Zeichenvorrat auf "Umfang eines guten Wörterbuchs", die Passwortlänge verringere ich aber gewaltig, eben auf "Anzahl der Wörter".
Und wie ja eingangs erwähnt wurde ist die Länge entscheidender als der Zeichenumfang. Es gilt ja Zeichenumfang<sup>Passwortlänge</sup>
Es ist keine schlechte Option, weil einfacher zu erinnern, man sollte aber nicht darauf hereinfallen, dass eine halbe handvoll Wörter den Trick schon perfekt macht.
Zuletzt bearbeitet von nocquae am 11.08.2011, 21:20, insgesamt einmal bearbeitet |
|
| Nach oben |
|
|
LingLing
registrierter User
Anmeldungsdatum: 25.04.2007
Beiträge: 2720
|
| (#1674245) Verfasst am: 11.08.2011, 21:19 Titel: |
|
|
Für wichtige Sachen wie den Netzwerkschlüssel des Wlan nehme ich einen Passwortgenerator (pwgen) mit maximaler Länge (63 Zeichen), dass sieht dann so aus.
xjdS0Arl5puOCUG4fDGjaktMI2ZDHYZFZXmzZf8VdO5YOyicMCxMOgroGynXLbv
|
|
| Nach oben |
|
|
Navigator2
unbefristet gesperrt
Anmeldungsdatum: 12.06.2008
Beiträge: 2546
|
| (#1674318) Verfasst am: 12.08.2011, 00:03 Titel: |
|
|
| nocquae hat folgendes geschrieben: | | jagy hat folgendes geschrieben: | | xkcd schein das gleiche zu denken mit den normalen wörtern und leerzeichen: |
Denkfehler: "four random common words" sind ca. 100.000<sup>4</sup> = 10<sup>20</sup> Optionen. Man muss nur ein Wörterbuch hernehmen und alle darin enthaltenen Wörter permutieren.
Das entspricht einem Passwort zwischen 10 und 11 Zeichen aus dem 95-Zeichen-Satz.
Praktisch erhöhe ich quasi den Zeichenvorrat auf "Umfang eines guten Wörterbuchs", die Passwortlänge verringere ich aber gewaltig, eben auf "Anzahl der Wörter".
Und wie ja eingangs erwähnt wurde ist die Länge entscheidender als der Zeichenumfang. Es gilt ja Zeichenumfang<sup>Passwortlänge</sup>
Es ist keine schlechte Option, weil einfacher zu erinnern, man sollte aber nicht darauf hereinfallen, dass eine halbe handvoll Wörter den Trick schon perfekt macht. |
Fünf Wörter sollten wohl reichen.... Ich hatte mal ausgerechnet (festgelegt), dass 16 Stellen aus 26 Zeichen sicher genug sind, das sind 26^16= 4,63e22; bei 5 Wörtern sind es 100.000^5=1e25...obwohl, wenn man den Basiswortschatz mit 1000 Wörtern zugrunde legt, dann reichen auch 5 Worte nicht ... Bildzeitungsleser mit restringiertem Wortschatz sollten also 8 Wörter verwenden....vielleicht: meinkleinerhundistkerngesundundbellt ....oder.... meinaltesautorostetstinktundsäuftspritt ... sollte sich gut merken lassen für 10-Fingerakrobaten problemlos eingeben lassen und ausreichend sicher sein.... ...na ja, diese Wörter sind jetzt verbrannt )...aber es gibt ja noch genug andere
nv
|
|
| Nach oben |
|
|
Navigator2
unbefristet gesperrt
Anmeldungsdatum: 12.06.2008
Beiträge: 2546
|
| (#1674321) Verfasst am: 12.08.2011, 00:06 Titel: |
|
|
| LingLing hat folgendes geschrieben: | Für wichtige Sachen wie den Netzwerkschlüssel des Wlan nehme ich einen Passwortgenerator (pwgen) mit maximaler Länge (63 Zeichen), dass sieht dann so aus.
xjdS0Arl5puOCUG4fDGjaktMI2ZDHYZFZXmzZf8VdO5YOyicMCxMOgroGynXLbv |
...und wie merkst du dir so ein Monster? Auf dem Klebezettel neben dem Monitor?
nv.
|
|
| Nach oben |
|
|
Arashi
registrierter User
Anmeldungsdatum: 18.05.2011
Beiträge: 185
Wohnort: Mainz
|
| (#1674713) Verfasst am: 13.08.2011, 13:55 Titel: |
|
|
| nocquae hat folgendes geschrieben: |
Praktisch erhöhe ich quasi den Zeichenvorrat auf "Umfang eines guten Wörterbuchs", die Passwortlänge verringere ich aber gewaltig, eben auf "Anzahl der Wörter".
Und wie ja eingangs erwähnt wurde ist die Länge entscheidender als der Zeichenumfang. Es gilt ja Zeichenumfang<sup>Passwortlänge</sup> |
Was meinst du dazu, wenn man Wörter aus verschiedenen Sprachen nehmen würde, zB. "Blaupause_Papillon_Kuruma" ?
Ich denke, für jemanden, der einen Angriff über ein nur Deutsch enthaltendes Dictionary startet, sind das Französische und das Japanisch nur noch zufällige Zeichenketten und damit nicht zu knacken.
Ein Dictionary mit allen Wörtern der wichtigsten Sprachen dagegen dürfte schnell so groß werden, dass es nicht mehr sinnvoll abzuarbeiten ist, da dem Angreifer nicht bekannt ist, aus welchen Sprachen man Wörter nimmt.
Und gegen Brute Force hilft dann wieder die schiere Länge des PWs aus hier immerhin 21 Zeichen.
Habe ich etwas übersehen?
|
|
| Nach oben |
|
|
nocquae
diskriminiert nazis
Anmeldungsdatum: 16.07.2003
Beiträge: 18183
|
| (#1674727) Verfasst am: 13.08.2011, 14:42 Titel: |
|
|
| Arashi hat folgendes geschrieben: | | nocquae hat folgendes geschrieben: |
Praktisch erhöhe ich quasi den Zeichenvorrat auf "Umfang eines guten Wörterbuchs", die Passwortlänge verringere ich aber gewaltig, eben auf "Anzahl der Wörter".
Und wie ja eingangs erwähnt wurde ist die Länge entscheidender als der Zeichenumfang. Es gilt ja Zeichenumfang<sup>Passwortlänge</sup> |
Was meinst du dazu, wenn man Wörter aus verschiedenen Sprachen nehmen würde, zB. "Blaupause_Papillon_Kuruma" ?
Ich denke, für jemanden, der einen Angriff über ein nur Deutsch enthaltendes Dictionary startet, sind das Französische und das Japanisch nur noch zufällige Zeichenketten und damit nicht zu knacken.
Ein Dictionary mit allen Wörtern der wichtigsten Sprachen dagegen dürfte schnell so groß werden, dass es nicht mehr sinnvoll abzuarbeiten ist, da dem Angreifer nicht bekannt ist, aus welchen Sprachen man Wörter nimmt.
Und gegen Brute Force hilft dann wieder die schiere Länge des PWs aus hier immerhin 21 Zeichen.
Habe ich etwas übersehen? |
Eine schwere Fehlkonzeption ist es, sich auf die Anzahl der möglichen Kombinationen zu beschränken und damit die Dauer, die es brauchen würde, die mit brute-force durchzuprobieren.
Wie weiter oben schon geschrieben werden Accounts normaler User eher nicht mit brute-force angegriffen. Da steht der Aufwand in gar keinem Verhältnis zum möglichen Gewinn.
Der normale Weg wäre es, den Server direkt anzugreifen um dann gleich an die Passwortlisten aller registrierten User auf einmal zu kommen; die sind dort idR als Hashwerte gespeichert; wenn die dort im Klartext gespeichert sind, dann hast du auch mit dem Passwort j6M2bj}C**IjWy[<?s31tsGv0D#[${=C$qGr{&@``1Gw!?^Oj{o0G^N?<&-dJod( sowieso verloren.
d. h. im Normalfall ist dein Passwort "Passwort" nicht im Klartext als "Passwort" auf dem Server hinterlegt, sondern z. B. als "f6e04d6e87ef69d67207bc32030717dd". Aus diesem Hash kann ich dein Passwort nicht wiederherstellen. Es gibt aber den umgekehrten Weg, ich mache mir im Voraus eine Liste, in der ich die Paarung Zeichenkette - Hashwert
ablege. Wenn ich dann in den Besitz eines hashes gerate, durchsuche ich meine Liste einfach nach "f6e04d6e87ef69d67207bc32030717dd" und finde dann dazu den Eintrag "Passwort". Solche Listen nennen sich rainbow table.
In der Theorie knacke ich damit jedes Passwort beliebiger Komplexität. In der Praxis ist das durch den Speicherplatz begrenzt, den ich zur Ablage von Hashwerten benötige. Es gibt nicht nur einen Hashalgorithmus, sondern dutzende; dementsprechend muss ich für "Passwort" nicht nur "f6e04d6e87ef69d67207bc32030717dd" ablegen, sondern auch "a4722c7e39b6c2138189c39494223b3446ffdde4d82241036a101bc2ab52c86f" usw. Dazu kommt noch die Verwendung von sog. Salt-Werten, die zwar im Klartext mit deinem Passwort Hash gespeichert werden (idR. 2 Zeichen alphanummerisch + "." + "/" = 64 Zeichen.) Damit muss ich dann in einem rainbow table für jede Zeichenkette und jeden gebräuchlichen Hashalgorithmus bereits 4096 Werte ablegen.
Dadurch wird so ein rainbow table schnell viele, viele Terabyte groß, d. h. jemand, der ein Rainbow table anlegt muss irgendwo eine Grenze ziehen bei den Einträgen, die er aufnimmt. Sämtliche 8-Zeichen-Kombinationen sind wohl heute machbar (was bedeutet, dass ich zum Knacken des Passworts "i[H+61W<" nicht etwa durchschnittlich 3,317102156×10<sup>15</sup> Optionen durchprobieren muss, sondern den einfach innerhalb einiger Sekunden aus meinem rainbow table heraussuchen lasse.)
Ziel ist es also nicht etwa, ein Passwort zu finden, dass möglichst viele Kombinationsmöglichkeiten umfasst, sondern eines, dass sich nicht in den heute verfügbaren rainbow tables findet. Eine nicht-triviale Zeichenkette von mehr als z. B. 12 Zeichen erfüllt das wohl, der Vorteil bei der Verkettung von Wörtern besteht vor allem darin, dass die sich leicht erinnern läßt.
|
|
| Nach oben |
|
|
Arashi
registrierter User
Anmeldungsdatum: 18.05.2011
Beiträge: 185
Wohnort: Mainz
|
| (#1674916) Verfasst am: 13.08.2011, 22:05 Titel: |
|
|
Wenn ich dich recht verstehe, ist bei webanwendungen also ein besonders sicheres PWs mehr oder weniger sowieso für die Katz, während bei anderen Sachen wie z.B. dem PW eines Truecryptcontainers mit sensiblen Daten drin gilt: möglichst lang + Zeichenketten die in keiner Sprache ein Wort bilden?
Oder so? 
|
|
| Nach oben |
|
|
LingLing
registrierter User
Anmeldungsdatum: 25.04.2007
Beiträge: 2720
|
| (#1674935) Verfasst am: 13.08.2011, 22:37 Titel: |
|
|
| Navigator2 hat folgendes geschrieben: | | LingLing hat folgendes geschrieben: | Für wichtige Sachen wie den Netzwerkschlüssel des Wlan nehme ich einen Passwortgenerator (pwgen) mit maximaler Länge (63 Zeichen), dass sieht dann so aus.
xjdS0Arl5puOCUG4fDGjaktMI2ZDHYZFZXmzZf8VdO5YOyicMCxMOgroGynXLbv |
...und wie merkst du dir so ein Monster? Auf dem Klebezettel neben dem Monitor?
nv. |
Gar nicht. Den Netzwerkschlüssel gibt man nur einmal ein.
|
|
| Nach oben |
|
|
beefy
Be Vieh
Anmeldungsdatum: 24.09.2008
Beiträge: 5590
Wohnort: Land der abgehärteten Seelen
|
| (#1674987) Verfasst am: 14.08.2011, 08:14 Titel: |
|
|
| LingLing hat folgendes geschrieben: | | Navigator2 hat folgendes geschrieben: | | LingLing hat folgendes geschrieben: | Für wichtige Sachen wie den Netzwerkschlüssel des Wlan nehme ich einen Passwortgenerator (pwgen) mit maximaler Länge (63 Zeichen), dass sieht dann so aus.
xjdS0Arl5puOCUG4fDGjaktMI2ZDHYZFZXmzZf8VdO5YOyicMCxMOgroGynXLbv |
...und wie merkst du dir so ein Monster? Auf dem Klebezettel neben dem Monitor?
nv. |
Gar nicht. Den Netzwerkschlüssel gibt man nur einmal ein. |
Hab ich auch mal gedacht.
Dann kam der Erste I Phone Jünger der unbedingt im i Net gucken mußte,wie das Wetter ist.....
(Mein Klebezettel ist unter der Fritzbox )
_________________
Wenn der Berg nicht zum Propheten kommt, tanzen die Mäuse auf dem Tisch.
|
|
| Nach oben |
|
|
|
FAQ 
Suchen 
Mitgliederliste 
Nutzungsbedingungen 
Benutzergruppen 
Links
Registrieren
Profil 
Einloggen, um private Nachrichten zu lesen 
Login 
