Ergebnisse einer Passwortanalyse bei ZDNet
- Ersteller Megalodon
- Erstellt am
supertux
Active member
- Registriert
- 11 Juli 2012
- Beiträge
- 5.288
Wichtig ist aber hierzu anzumerken, dass es sich um keine bekannten Sprichwörter oder deren Anfangsbuchstaben handeln darf (der Satz muss für einen außenstehenden kompletter Schwachsinn sein 
auch hier wieder der Hinweis: Lautmalerei und Umgangssprache erschwert auch bei dieser Methode Wörterbuchattacken (Brute force Attacken heutzutage gehen kaum noch wie im Comic angenommen buchstabenweise vor)
Um dein Beispiel aufzugreifen: 2KastlVoiMidSchwoazeTostn1roudaNipplCombjuddas
auch hier wieder der Hinweis: Lautmalerei und Umgangssprache erschwert auch bei dieser Methode Wörterbuchattacken (Brute force Attacken heutzutage gehen kaum noch wie im Comic angenommen buchstabenweise vor)
Um dein Beispiel aufzugreifen: 2KastlVoiMidSchwoazeTostn1roudaNipplCombjuddas
supertux
Active member
- Registriert
- 11 Juli 2012
- Beiträge
- 5.288
Der Comic vergisst allerdings, dass Brute Force Attacken heutzutage kaum noch mit einzelnen Zeichen gefüttert werden, sondern eher mit Wörterbüchern, die aus Duden und den Beliebtesten Passwort-sicherermach-Variationen(0 statt O, 4 statt A)gefüttert werden!
Mit lautmalerischer Schreibweise gewinnt man da deutlich mehr, insbeaondere, wenn man dieses Vorgehen mit den Fantasiesätzen verbindet
ThinkpadFrisst43Pferde ist beispielsweise schneller geknackt als SinkpätFrisst3avierzgPferdl
btw: ich kann leider nur bayrischen Dialekt, daher kann ich leider kaum Beispiele bringen, die von norddeutschen auf Anhieb verstanden werden.
Zuletzt bearbeitet:
Und man hat vielleicht 100 Zeichen, mit denen man eine Brute-Force-Attacke startet. Bei einer Wörtberbuchattacke, um einen Satz zu knacken, hat man vielleicht 1.000.000 Wörter. Vorausgesetzt, man kennt die Sprache - sonst gilt das nochmals pro Sprache. Da sind 4 stinknormale Wörter schnell sicherer als 10 Zeichen inkl. Zahlen und Sonderzeichen.
seit jahren wird immer und immer wieder auf die passwörter_sicherheit aufmerksam gemacht.
dabei werden uns jusern ja noch nicht mal flächendeckend endlich passwörter via ascii code erlaubt.
ein PW mit einem leerschlag via ascii code der noch nicht mal angezeigt wird, dann darf man sogar sein passwort verraten oder doch nicht
zeichen deren bedeutung ein ganzes wort sind, ... viel glück beim "buchstabieren"
beim ehemaligen arbeitsgeber wurde mal aus sicherheitsgründen, von einer externen firma, die passwörter geprüfft.
nach wenigen sekunden hatten die schon einige, nach wenigen stunden fast die hälfte, am zweiten tag alle bis auf eines.
nach dreieinhalb tagen blieb das eine (meins) mit sonderzeichen, recht kurz, 6 zeichen.
soll heissen mit den richigen zeichen ist länge nicht alles, beim täglichen gebrauch kommt es eben doch auf die länge an :
je kürzer desto besser. :thumbup:
dabei werden uns jusern ja noch nicht mal flächendeckend endlich passwörter via ascii code erlaubt.
ein PW mit einem leerschlag via ascii code der noch nicht mal angezeigt wird, dann darf man sogar sein passwort verraten oder doch nicht
zeichen deren bedeutung ein ganzes wort sind, ... viel glück beim "buchstabieren"
beim ehemaligen arbeitsgeber wurde mal aus sicherheitsgründen, von einer externen firma, die passwörter geprüfft.
nach wenigen sekunden hatten die schon einige, nach wenigen stunden fast die hälfte, am zweiten tag alle bis auf eines.
nach dreieinhalb tagen blieb das eine (meins) mit sonderzeichen, recht kurz, 6 zeichen.
soll heissen mit den richigen zeichen ist länge nicht alles, beim täglichen gebrauch kommt es eben doch auf die länge an :
je kürzer desto besser. :thumbup:
Lpz3sn
Active member
- Registriert
- 30 Dez. 2006
- Beiträge
- 3.476
Da aber ein Wort das Äquivalent eines Zeichens besitzt, ist das Passwort eigentlich kürzer... Da selbst ein passwortsatz die 10 Wörter kaum über steigen dürfte...
Bzw wenn ich per Brute force blind das Alphabet durchprobiere, sind die ganzen Sätze auch mit abgedeckt... Der unterschied ist nur, dass man sich das pw besser merken kann
Zuletzt bearbeitet:
Ja, ein Wort ist dann äquivalent mit einem Zeichen. Aber es gibt nur grob 100 unterschiedliche Zeichen. Aber grob 1.000.000 unterschiedliche Wörter - pro Sprache.
Bei 10 Zeichen Passwort mit 100 unterschiedlichen Zeichen gibt es also 100^10=100.000.000.000.000.000.000=1e20 Möglichkeiten. Bei 4 Wörtern mit 1.000.000 unterschiedlichen Wörtern sind es 1.000.000^4=1.000.000.000.000.000.000.000.000=1e24 Möglichkeiten.
LinsenSchifffahrtRauchenVogel ist damit also 10.000x "sicherer" als 10 Zeichen quer Beet wie BzC5h*r%T2.
Bei 10 Zeichen Passwort mit 100 unterschiedlichen Zeichen gibt es also 100^10=100.000.000.000.000.000.000=1e20 Möglichkeiten. Bei 4 Wörtern mit 1.000.000 unterschiedlichen Wörtern sind es 1.000.000^4=1.000.000.000.000.000.000.000.000=1e24 Möglichkeiten.
LinsenSchifffahrtRauchenVogel ist damit also 10.000x "sicherer" als 10 Zeichen quer Beet wie BzC5h*r%T2.
supertux
Active member
- Registriert
- 11 Juli 2012
- Beiträge
- 5.288
Der Duden umfasst ca.135.000 Wörter, davon kannst du fast die Hälfte wegschmeißen, da sie selbst in solchen Unsinnssätzen quasi nie vorkommen.
Dazu noch 1.000 Begriffe, die nicht im Duden vorkommen (12345 oder die Zahlen von 1950-2000(=(Kinder)geburtsjahre), qwertz, asdf, abcdef und qwerty, häufige Namen wie Hans, Maria, Huber und Maier, usw) und schon ist ein primitives kompaktes Wörterbuch fertig.
Ob man jetzt solch ein Wörterbuch auf bis zu 10 Wörter(mehr als 20 Zeichen lassen viele Logins garnicht zu) ansetzt, oder eine ASCII basierte Brute-Force auf bis zu 20 Zeichen ist vom Aufwand her ziemlich gleichwertig
Ob man jetzt solch ein Wörterbuch auf bis zu 10 Wörter(mehr als 20 Zeichen lassen viele Logins garnicht zu) ansetzt, oder eine ASCII basierte Brute-Force auf bis zu 20 Zeichen ist vom Aufwand her ziemlich gleichwertig
Der Aufwand ist je nach Hashfunktion extrem gering:
http://hashcat.net/oclhashcat/ (Unten bei Performance)
Ansonsten wäre die Diskussion hier wohl im neuen Unterforum besser aufgehoben.
Ob man jetzt solch ein Wörterbuch auf bis zu 10 Wörter(mehr als 20 Zeichen lassen viele Logins garnicht zu) ansetzt, oder eine ASCII basierte Brute-Force auf bis zu 20 Zeichen ist vom Aufwand her ziemlich gleichwertig
Nö. Definitiv nicht. Wenn wir mal deine Rechnung annehmen (135.000/2+1.000 Wörter oder 95 druckbare ASCII-Zeichen), dann gibt es bei 20 Zeichen aus dem ASCII-Satz 95^20 Möglichkeiten. Bei 10 Wörtern sind es 68.500^10. Ersteres ergibt 3,58e+39 Möglichkeiten, letzteres sind 2,27e+48 Möglichkeiten. Ist also um ein vielfaches sicherer. Und ich behaupte, dass deutlich mehr als 68.500 Wörter in Frage kommen. Zur Not mischt man halt noch Englisch, Spanisch, Französisch und Deutsch und baut noch einen Rechtschreibfehler ein. Das ganze ist verdammt schnell zu erweitern. Den ASCII-Zeichensatz erweitert man dagegen nicht so schnell
Koile
Active member
- Registriert
- 7 Feb. 2010
- Beiträge
- 2.676
Was hier gerne vergessen wird: Woher sollte der Angreifer denn wissen, ob eine Wörterbuchattacke mit einem oder n+1 Wörtern oder eine Brute-Force-Attacke mit zufälliger Zeichenfolge das erfolgbringendste ist?
Wie gesagt: Die meisten Passwörter bestehen entweder aus primitiven Zahlenfolgen oder ein bis zwei primitiven Wörtern. Evtl. noch mal ein paar Zahlen zwischengemischt (V011 1337, D1gg4!). Letzteres selten länger als ein bis zwei Wörter. Macht
*Daumen den Großteil der Passwörter mit einer Wörterbuchattacke mit ein bis zwei Wörtern und einer Bruteforce-Attacke bis 16 Zeichen zum Erfolgsversprechendsten Ansatz.
Programmieraufwand hin oder her, Zeitaufwand zum Hacken darf nicht außer acht gelassen werden, da ja irgendwann evtl. auch mal der Server oder der Admin merkt: "Hmmm, irgendwie hat der Kerl/die Kerline aber echt hartnäckig seit 48h ihr Passwort vergessen!", zumal ja bei vielen Systemen nach weniger als zehn Fehleingaben nur noch über eine E-Mail mit Passwortzurücksetzung das Konto reaktiviert werden kann.
Wie gesagt: Die meisten Passwörter bestehen entweder aus primitiven Zahlenfolgen oder ein bis zwei primitiven Wörtern. Evtl. noch mal ein paar Zahlen zwischengemischt (V011 1337, D1gg4!). Letzteres selten länger als ein bis zwei Wörter. Macht
Programmieraufwand hin oder her, Zeitaufwand zum Hacken darf nicht außer acht gelassen werden, da ja irgendwann evtl. auch mal der Server oder der Admin merkt: "Hmmm, irgendwie hat der Kerl/die Kerline aber echt hartnäckig seit 48h ihr Passwort vergessen!", zumal ja bei vielen Systemen nach weniger als zehn Fehleingaben nur noch über eine E-Mail mit Passwortzurücksetzung das Konto reaktiviert werden kann.
Remote Brute-Force kannst du sowieso vergessen.
Lpz3sn
Active member
- Registriert
- 30 Dez. 2006
- Beiträge
- 3.476
aber wer knackt heut noch einzelne konten, wenn man den ganzen server samt datenbank haben kann ^^
die disskussion fand ich damals auf dlf so erheiternd... da ging es um die gesundheitskarten und der zentralen datenbank... und einer der gegner, ein Dr. med., argumentierte doch tatsächlich, er habe die daten lieber bei sich in der praxis denn da hätte er die datenhoheit ...
der denkfehler offenbar sich, wenn man bedenkt, wie gut so eine durchschnittliche praxis gegen einbruch gesichert ist (im gegensatz zu einem rechenzentrum). zumal das it-know-how hoffentlich unter dem medizinischen liegt... wenn der ganze computer weg ist, hat sichs auch mit der datenhoheit ^^
die disskussion fand ich damals auf dlf so erheiternd... da ging es um die gesundheitskarten und der zentralen datenbank... und einer der gegner, ein Dr. med., argumentierte doch tatsächlich, er habe die daten lieber bei sich in der praxis denn da hätte er die datenhoheit ...
der denkfehler offenbar sich, wenn man bedenkt, wie gut so eine durchschnittliche praxis gegen einbruch gesichert ist (im gegensatz zu einem rechenzentrum). zumal das it-know-how hoffentlich unter dem medizinischen liegt... wenn der ganze computer weg ist, hat sichs auch mit der datenhoheit ^^
Aus vielen einzelnen Wörtern ein Passwort erstellen mag in der Theorie schön sein, aber supertux hat schon angemerkt, das oftmals bei 20 Zeichen ende ist.
Und bei 20 Zeichen nutze ich lieber 20 Zeichen mit Sonderzeichen außerhalb des ASCII als nur Wörter. Denn die Wortkette kann man mit den Zeichen des ASCII knacken.
Bevor ich 2-4 Wörter aneinander reihe, wäre es besser, aus den Buchstaben, oder Silben, dieser Wörter ein Passwort zu erstellen und dann noch Sonderzeichen einbauen.
Zudem kann ich aus Erfahrung sagen selbst wenn man ein langes Passwort (deutlich über 10 Zeichen) nur aus Zeichen hat, gewöhnt man sich mit der Zeit an die Eingabe und sie geht recht schnell von der Hand. Übung macht den Meister.
Und bei 20 Zeichen nutze ich lieber 20 Zeichen mit Sonderzeichen außerhalb des ASCII als nur Wörter. Denn die Wortkette kann man mit den Zeichen des ASCII knacken.
Bevor ich 2-4 Wörter aneinander reihe, wäre es besser, aus den Buchstaben, oder Silben, dieser Wörter ein Passwort zu erstellen und dann noch Sonderzeichen einbauen.
Zudem kann ich aus Erfahrung sagen selbst wenn man ein langes Passwort (deutlich über 10 Zeichen) nur aus Zeichen hat, gewöhnt man sich mit der Zeit an die Eingabe und sie geht recht schnell von der Hand. Übung macht den Meister.
Koile
Active member
- Registriert
- 7 Feb. 2010
- Beiträge
- 2.676
Ich tu mich schwer, von Nerds wie uns auf die Allgemeinheit zu schließen. Ich habe ausschließlich Alphanumerische/Groß/Klein/Sonderzeichen-Passwörter, die mir KeePass verwaltet (von denen ich die wichtigsten dennoch auswendig kann). Aber so Leute wie meine Partnerin oder meine Eltern, die nicht so die Muße haben, sich in sowas reinzufuchsen, für die ist der Tipp mit den zwei/drei Wörtern plus Zahlen und/oder Satzzeichen m.E. ein durchaus sinniger, vor allem, da sie dann nicht so leicht in die Falle tappen, ein Passwort für alle Accounts zu nutzen. Denn dann nützt das (für Menschen...) komplizierteste Passwort auch nix mehr.
