lange Zahlenkette als Passwort verwenden

Rock Lobster

Rock Lobster

Member
Themenstarter
Registriert
9 Mai 2007
Beiträge
889
Servus,

hab mir grad Gedanken um sichere Passwoerter gemacht. Waere es nicht ziemlich bombensicher, einfach eine sehr lange Zahlenkette zu verwenden? Damit sind ja eigentlich alle Dictionary-Attacken ausgeschlossen. Und die Anzahl der notwendigen Versuche, um das Passwort zu knacken, kann man sich eigentlich auch ziemlich leicht ausrechnen. Zudem laesst sich so ein Passwort z.B. auf nem Numblock extrem schnell tippen.

Klar, man muss sich die Zahlenkette erstmal merken koennen, aber auch das ist ja eigentlich kein Problem, ich kann ja z.B. einfach 3-4 mir wohlbekannte Telefonnummern verwenden oder aehnliches, und diese aneinanderreihen.

Gibt es irgendwas, was aus eurer Sicht gegen spricht? Bin mit den ganzen Attackierungs-Verfahren nicht so vertraut, aber ich habe z.B. auch schon einen Artikel auf arstechnica gelesen, in dem z.B. stand, dass das Aneinanderreihen von Woertern usw oder das Austauschen von bestimmten Buchstaben durch aehnlich aussehende Ziffern gar nicht so sicher ist, wie viele annehmen, weil diejenigen, die die Passwoerter zu knacken versuchen, solche Tricks natuerlich auch beruecksichtigen. Aber bei langen Zahlenketten faellt mir persoenlich jetzt grad nichts ein, was man tun koennte, um das Knacken zu beschleunigen (zumal die meisten Leute momentan wahrscheinlich sowieso andere "typische" Passwoerter verwenden, wodurch eine lange Zahlenkette auch noch Seltenheitswert haben duerfte und vielleicht gerade deshalb keiner alle Zahlenkombinationen testet).
 
also bei einer Brute-Force Attacke hättest du aber schlechte Karten, weil du das Zeichenvorrat auf 10 beschränkst und somit die Anzahl der Kombinationen stark reduzierst
 
Schlussendlich ist es ziemlich egal wie sich dein Passwort zusammensetzt (Buchstaben/Zahlen/Sonderzeichen/...), solange es ausreichend lang ist und in keinem "Wörterbuch" steht. Ein fremder Angreifer kann im Normalfall schließlich nicht wissen welchen Zeichenvorrat du verwendet hast.

Dir sollte jedoch klar sein, dass wenn die Information "Passwort besteht nur aus Zahlen" einem Angreifer bekannt wird, die Sicherheit deines Passworts deutlich geringer ist als wenn du z.B. eine Reihe zufälliger Buchstaben verwendet hättest oder Zahlen/Buchstaben mischen würdest.


Weitaus wichtiger für die Passwortsicherheit ist es aber in jedem Fall für unterschiedliche Dienste unterschiedliche Passwörter zu verwenden. Wenn du immer das gleiche Passwort verwendest (und wenn dieses aus 256 unterschiedlichen Sonderzeichen besteht) und dieses durch einen Einbruch auf einem Server von nur einem Dienst den du nutzt erbeutet wird, dann hat der Angreifer automatisch auch Zugang zu allen anderen Diensten die du nutzt.


Edit: Ein paar xkcd Comics passen hervorragend zum Thema:
Password Strength, Password Reuse und brandaktuell Encryptic.
 
Zuletzt bearbeitet:
Also wie gesagt, hier ein Artikel den ich vor einiger Zeit mal gelesen habe. Da wird auch die Idee des einen xkcd-Comics aufgegriffen und gesagt dass dies auch nicht unbedingt ein Problem darstellen muss, weil eben bei einigen Attacken die Woerter aus dem Dictionary einfach kombiniert werden koennen: http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Mein Gedanke war halt, weil ja eben viele Attacken mit Dictionaries als Grundlage arbeiten, waere es doch sicherlich keine schlechte Idee, einfach ausschliesslich Ziffern (oder meinetwegen auch Sonderzeichen) zu verwenden, weil es hierfuer im Prinzip keine Dictionaries geben kann.

@ Ede_123: Das stimmt schon, ueberall das gleiche zu verwenden ist ein sehr grosses Sicherheitsproblem. Andererseits ist es halt auch schwierig, sich fuer jede Seite ein individuelles Passwort zu merken, und wenn man dann anfaengt ein System zu verwenden, kann wahrscheinlich auch dieses System wieder einfach durchschaut werden :D
 
Zu dem Thema gibts in der c't 3/2013 einen mehrseitigen Artikel mit beschriebenen Methoden zum Passwortknacken und wie man sein Passwort stattdessen wählen sollte.
Demnach werden zum Passwörter-Probieren hauptsächlich bekannte Passwörter verwendet, die durch komplette kopierte Datenbanken unverschlüsselter Passwörter oder dem "Nachbau" von Hashes gewonnen wurden.. Mit diesen Passwortlisten und Dictionaries werden dann Passwörter probiert. Dabei werden noch weitere Methoden angewandt, z.B. eben die 1337-Sprache. Aus solchen langen Passwortlisten werden auch Verhaltensmuster und Wahrscheinlichkeiten errechnet, für zukünftige Passwortlisten/Rainbowtables. Ein Beispiel hierfür wäre, dass es sehr unwahrscheinlich ist, dass nach einem q kein u kommt.
 
Und es kommt auch drauf an, um welchen Dienst es sich handelt, bei dem man sich anmeldet und wie oft man das Passwort verwendet.
So kann ein schlechtes Passwort besser sein, als ein gutes, welches man aber bei jedem Dienst wieder verwendet. Knackt man dann einen Dienst und bekommt das Passwort raus, kann man gleich auf alle anderen Dienste auch zugreifen. Bei einem schlechten Passwort, bei dem man aber überall ein anderes verwendet, sieht es da besser aus. Da ist es vielleicht leichter, einen einzelnen Account zu übernehmen - hat dann aber noch keinen Zugriff auf den Rest.
Und es gibt auch durchaus die Praktik des Wegwerfpassworts. Wenn einem der Twitter-Account unwichtig ist, kann man auch durchaus ein Passwort wie 123456 verwenden (das häufigste Passwort, welches in der Datenbank mit mehreren Millionen Einträgen vorkommt, die bei Adobe geklaut wurde). Wenn dann jemand den Account mal "knackt" oder das Passwort richtig rät: Who cares? Dafür kann man es schnell eintippen und es sich gut merken. Wichtige Sachen wie den Mailaccount oder den Zugang zum Onlinebanking sichert man dann aber mit sicheren Passwörtern ab.
Und 123456 ist vielleicht ein schlechtes Beispiel. Es sollte besser nicht unter den häufigsten 10 Passwörtern sein, damit ein Angreifer nicht nach spätestens 10 Versuchen schon den Account genkackt hat. Dann hätte man sich n Passwort auch sparen können ;)

Der angesprochene c't Artikel ist übrigens wirklich wirklich gut und wirklich wirklich zu empfehlende Lektüre, wenn man sich mit der Sicherheit von Passwörtern beschäftigt.
 
Als kleinen Hinweis von meiner Seite:

Passwörter in Abhängigkeit der Webseite auswählen, dann kann man sie sich wenigstens merken.

Bsp: Google Mail -> G00gle Mai1

Und nein, ich nutze ein anderes System als in dem Beispiel :rolleyes:

"o" durch "0" zu ersetzen ist wohl eben so einfach zu merken, wie zu knacken...

Aber seid kreativ!
 
cuco schrieb:
Und es gibt auch durchaus die Praktik des Wegwerfpassworts. Wenn einem der Twitter-Account unwichtig ist, kann man auch durchaus ein Passwort wie 123456 verwenden (das häufigste Passwort, welches in der Datenbank mit mehreren Millionen Einträgen vorkommt, die bei Adobe geklaut wurde). Wenn dann jemand den Account mal "knackt" oder das Passwort richtig rät: Who cares? Dafür kann man es schnell eintippen und es sich gut merken. Wichtige Sachen wie den Mailaccount oder den Zugang zum Onlinebanking sichert man dann aber mit sicheren Passwörtern ab.
Und 123456 ist vielleicht ein schlechtes Beispiel. Es sollte besser nicht unter den häufigsten 10 Passwörtern sein, damit ein Angreifer nicht nach spätestens 10 Versuchen schon den Account genkackt hat. Dann hätte man sich n Passwort auch sparen können ;)
Zum Vergrößern anklicken....

Mach ich auch so. Alle unwichtigen Seiten kriegen ein normales überall gleich lautendes Passwort. Für mich ist eine Seite dann wichtig wenn Geld im Spiel ist.
 
Etwas, das ich auch nie verstanden habe ist, wieso solche Bruteforce Attacken überhaupt möglich sind wo z. B. eine Mrd. Abfragen pro Sekunde durchgeführt werden. Die meisten Seiten oder sonstige Passworteingaben haben doch ein typisches Limit im Bereich 3-10 Versuche, bevor es einen Timeout gibt. Und auch die Übertragung / Verarbeitung der Eingabe dauert ja.

Gut, wenn ich den Klartext zu einem MD5 Hash möchte kann ich das noch nachvollziehen, aber abgesehen davon? Vielleicht kann mir das mal einer erklären.
 
DiViCe schrieb:
Etwas, das ich auch nie verstanden habe ist, wieso solche Bruteforce Attacken überhaupt möglich sind wo z. B. eine Mrd. Abfragen pro Sekunde durchgeführt werden. Die meisten Seiten oder sonstige Passworteingaben haben doch ein typisches Limit im Bereich 3-10 Versuche, bevor es einen Timeout gibt. Und auch die Übertragung / Verarbeitung der Eingabe dauert ja.

Gut, wenn ich den Klartext zu einem MD5 Hash möchte kann ich das noch nachvollziehen, aber abgesehen davon? Vielleicht kann mir das mal einer erklären.
Zum Vergrößern anklicken....

Bruteforce macht man auch lokal.
 
Aber dann müsste man ja das verschlüsselte Passwort bereits abgefangen habe. Könnte man sich dann nicht gleich mit dem verschlüsselten Passwort einloggen? Oder wird hauptsächlich darauf abgezielt, das Passwort als Klartext zu bekommen und auf anderen Seiten zu testen?
 
Rock Lobster schrieb:
Mein Gedanke war halt, weil ja eben viele Attacken mit Dictionaries als Grundlage arbeiten, waere es doch sicherlich keine schlechte Idee, einfach ausschliesslich Ziffern (oder meinetwegen auch Sonderzeichen) zu verwenden, weil es hierfuer im Prinzip keine Dictionaries geben kann.
Zum Vergrößern anklicken....
Natürlich gibt es hierfür ein Wörterbuch, und wir alle haben dessen Anfänge schon in der ersten Klasse in der Schule durchgenommen:
1, 2, 3, 4, 5, 6, ...


Bei Passwortsicherheit geht es nicht nur darum, daß ein Passwort nicht in einer Liste von bekannten Wörtern steht, sondern daß es nicht vorhersehbar ist bzw. einem einfachen Regelsatz entspricht, der einfach automatisch zu überprüfen ist. Eine reine Zahlenkette entspricht aber einem einfachen Regelsatz (meine RegExp sind ziemlich eingerostet, aber das müsste irgendwas wie [1-0]* sein).
 
Zuletzt bearbeitet:
Ich glaube Du verstehst nicht richtig: Wenn ich ein Passwort habe, das nur aus Ziffern besteht, dann weiss das doch der Angreifer nicht. Der probiert seine Passwort-Listen durch, die er ggf. modifiziert oder kombiniert. Wenn nun mein Passwort z.B. 85920849859894859385983112323455 lautet, dann muss sein Bruteforce-Tool auch alle Zahlen von 0 bis 99999999999999999999999999999999 durchtesten, um auf dieses Passwort zu kommen. Glaube aber kaum, dass das jemand tut, weil die meisten Leute wohl kein solch ein Passwort verwenden, sondern lieber fac3book0815! oder sowas in die Richtung.

Es geht ja nicht darum, einen Server zu bauen der nur Ziffern-Passwoerter akzeptiert. Es geht nur darum, ein solches Passwort als Nutzer zu verwenden, bei einer beliebigen Seite wie z.B. eBay oder was weiss ich.
 
Ohne jetzt alles durchgelesen zu haben, bis auf die Markov-Attacke (die Bezeichnung stammt aus dem Teilgebiet Stochastik der Mathematik und wird als "Hidden-Markov Modelle" bezeichnet... und ist ziemlich(!) effizient), was spricht den gegen den Einsatz von zusätzlichen Sonderzeichen?

LG Uwe
 
Eigentlich gar keine so schlechte Idee. Mir würde jedenfalls nichts einfallen, was dagegen spricht nur Zahlen zu verwenden. Zumindest rein rechnerisch würde es ewig dauern eine so lange Kombination per Brute Force zu knacken, selbst wenn bekannt wäre, dass es sich nur um Zahlen handelt. Allerdings limitieren die meisten Anbieter das Passwort auf 15 oder 16 Zeichen. Teilweise wird sogar vorgeschrieben wie das Passwort auszusehen hat und welche Zeichen erlaubt sind, was ich persönlich ja absolut absurd und kontraproduktiv finde.
 
Rock Lobster schrieb:
Ich glaube Du verstehst nicht richtig
Zum Vergrößern anklicken....
Doch, ich habe schon richtig verstanden.
Alle Buchstaben/Ziffern-Kombinationen mit (z.B.) bis zu 15 Stellen durchzuprüfen ist ein erheblicher Rechenaufwand. Da der in der Praxis unrealistisch ist wird so nicht vorgegangen, sondern eben mit Wörterbüchern und Regeln gearbeitet, die Wörterbucheintrage abwandeln und kombinieren.

Alle Ziffernfolgen von bis zu 15 Stellen durchzuprüfen ist um diverse Potenzen weniger aufwendig.
Daher ist es nicht unrealistisch, anzunehmen, daß auch alle Ziffernfolgen bis x Stellen bei Angriffen durchprobiert werden.

Ob dieses x jetzt kleiner oder größer als die Anzahl der Stellen in deinem Paßwort ist, weißt du nicht.
Du kannst natürlich Glück haben. Aber eben auch nicht.
Dadurch, daß du ohne Grund das Alphabet deines Paßwortes eingrenzt, erhöhst du aber das Risiko, daß es geknackt wird.

Und ganz ehrlich: Eine 15-stellige Zahl ist nicht wirklich einfacher zu merken als ein 12- oder 13-stelliges "normales" Passwort, welches dazu potentiell mehr Sicherheit bietet.
 
Helios schrieb:
Password Checkers:
Zum Vergrößern anklicken....

Der perfekte Weg sich Wörterbücher zu bauen... Nur weil auf der Seite steht, dass keine Passwörter entführt werden muss das lange noch nicht stimmen.

Und selbst wenn man ein abgewandeltes Passwot eingibt, kann ein potentieller Hacker damit schon wieder seine Methoden verfeinern um Passwörter zu "erraten".
 
Stimmt, schon klar. Stichwort: Entropie. Deshalb auch nur stark abgewandelte, also keine affine, Passwörter zum Testen eingeben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben