lange Zahlenkette als Passwort verwenden

Rock Lobster

Rock Lobster

Member
Themenstarter
Registriert
9 Mai 2007
Beiträge
889
Servus,

hab mir grad Gedanken um sichere Passwoerter gemacht. Waere es nicht ziemlich bombensicher, einfach eine sehr lange Zahlenkette zu verwenden? Damit sind ja eigentlich alle Dictionary-Attacken ausgeschlossen. Und die Anzahl der notwendigen Versuche, um das Passwort zu knacken, kann man sich eigentlich auch ziemlich leicht ausrechnen. Zudem laesst sich so ein Passwort z.B. auf nem Numblock extrem schnell tippen.

Klar, man muss sich die Zahlenkette erstmal merken koennen, aber auch das ist ja eigentlich kein Problem, ich kann ja z.B. einfach 3-4 mir wohlbekannte Telefonnummern verwenden oder aehnliches, und diese aneinanderreihen.

Gibt es irgendwas, was aus eurer Sicht gegen spricht? Bin mit den ganzen Attackierungs-Verfahren nicht so vertraut, aber ich habe z.B. auch schon einen Artikel auf arstechnica gelesen, in dem z.B. stand, dass das Aneinanderreihen von Woertern usw oder das Austauschen von bestimmten Buchstaben durch aehnlich aussehende Ziffern gar nicht so sicher ist, wie viele annehmen, weil diejenigen, die die Passwoerter zu knacken versuchen, solche Tricks natuerlich auch beruecksichtigen. Aber bei langen Zahlenketten faellt mir persoenlich jetzt grad nichts ein, was man tun koennte, um das Knacken zu beschleunigen (zumal die meisten Leute momentan wahrscheinlich sowieso andere "typische" Passwoerter verwenden, wodurch eine lange Zahlenkette auch noch Seltenheitswert haben duerfte und vielleicht gerade deshalb keiner alle Zahlenkombinationen testet).
 
auf den Servern werden in der Regel keine Passwörter sondern eher die Hash gespeichert und wenn die durch ein Sicherheitsloch kopiert werden ist die Wahrscheinlichkeit, das man solche Passwörter wie [0-9]{1,n} mit Bruteforce knackt, sehr hoch
 
@ oezix: Das waere mir neu; warum sollten Passwoerter, die nur aus Zahlen bestehen, einfacher zu knacken sein wenn Hashes abgelegt werden?

monoroxyd schrieb:
Dadurch, daß du ohne Grund das Alphabet deines Paßwortes eingrenzt, erhöhst du aber das Risiko, daß es geknackt wird.
Zum Vergrößern anklicken....
Eben das sehe ich nicht so. Im Gegenteil, eigentlich sollte sogar ein Passwort wie glglglglglglglglglglglglgl mit den gaengigen Methoden weitaus schwieriger zu knacken sein als ein "normales" Passwort wie Th1nkP4d! oder sowas.

monoroxyd schrieb:
Und ganz ehrlich: Eine 15-stellige Zahl ist nicht wirklich einfacher zu merken als ein 12- oder 13-stelliges "normales" Passwort, welches dazu potentiell mehr Sicherheit bietet.
Zum Vergrößern anklicken....
Das ist Ansichtssache. Ich kann mir Zahlen gut merken, und wie schon gesagt, Du kannst ja einfach ein paar Dir sehr vertraute Zahlen aneinanderreihen, als simpelstes Beispiel nimm doch 3-4 Telefonnummern mit Vorwahl, die Du in- und auswendig kennst. Da bist Du schnell schon bei 20-40 Zeichen.

Und was die Sicherheit angeht: Selbst wenn ein Bruteforce-Programm alle 0- bis 20-stelligen Zahlenkombinationen durchprobiert, wuerde es dazu ca. 3 Millionen Jahre brauchen, wenn man annimmt, dass es 1 Mio Versuche pro Sekunde schafft. Das klingt fuer mich nicht unsicher. Und man kann es nicht durch Dictionarys beschleunigen, weil Deine Dir gemerkten Nummern wohl kaum in einem Dictionary vorkommen werden.

Das einzige Problem, das ich sehe, ist wenn Deine Zahlenkombination zufaelligerweise den gleichen Hash ergibt wie das Passwort "hallo" oder sowas. Aber das kann Dir genausogut auch mit amAz0n!666$ passieren.
 
Meine Mutmaßungen:

technisch:
Passwörter mit der selben Länge (wichtig) sind immer gleich schwer mittels Bruteforce zu knacken,
egal ob sie nur aus einem oder sehr vielen unterschiedlichen Zeichen bestehen,
solange die Anzahl der unterschiedlichen Zeichen nicht bekannt ist.

menschlich:
Wenn ich dein Passwor knacken möchte, würde ich nicht nur ein Wörterbuch,
sondern auch ein Telefonbuch durchlaufen lassen ;.)

Es grüßt Krypto_Kolja
 
Na ja, ganz so optimistisch darfst du auch wieder nicht denken Lobster. 1-100 Mrd. Versuche pro Sekunde sollte ein neuerer Desktop Rechner schon schaffen und da die Algorithmen wohl kaum linear von 0-n durchprobieren muss man die effektive Zeit eher halbieren oder dritteln, selbst bei relativ zum jeweiligen Algorithmus optimal gewähltem Passwort. Trotzdem wird es natürlich ab einer bestimmten Länge einfach zu lange dauern.

Eine Zahl mit 24 Stellen (zwei Telefonnummern) ist mit Brute Force genauso unrealistisch zu knacken wie ein 15-Stelliges Passwort mit 14 Zahlen und einem Kleinbuchstaben. Letzteres ist übrigens deutlich sicherer als ein 8-Stelliges Passwort, welches den kompletten Zeichensatz einer Standardtastatur abdeckt. Wenn man sein Passwort lang genug wählt ist es mMn völlig egal, wie es aussieht, solange eine gewisse Abstraktivität aufweist.
 
bei einer 32 stelligen Passwort die nur aus Zahlen bestehen hat man 10^32 Kombinationen die gehasht werden, gleiche Mächtigkeit für das Eingabebereich könnte man mit alphanumerischen +Sonderzeichen mit 17 stellen erreichen

gut bei einer Passwort dieser Länge ist ein Desktop Rechner heutigen Datums etwas mehr als überfordert, aber wer garantiert dir das dein Passwort auch mit dieser Länge gehasht werden ?

in der Regel werden/bzw. sollten alle Eingaben vor der Verarbeitung gut gefiltert werden und wenn der Programmierer den Eingabereich auf eine fixe Zahl auf der Serverseite begrenzt hat, habe ich mit alphanumerischen +Sonderzeichen bessere Karten als nur mit reinen Zahlen
 
oezix schrieb:
bei einer 32 stelligen Passwort die nur aus Zahlen bestehen hat man 10^32 Kombinationen die gehasht werden, gleiche Mächtigkeit für das Eingabebereich könnte man mit alphanumerischen +Sonderzeichen mit 17 stellen erreichen
Zum Vergrößern anklicken....
Ja, man hat 10^32 Kombinationen bei 32 Stellen aus nur Zahlen. Aber man muss ja davon ausgehen, dass niemand weiß, dass das Passwort ausschließlich aus Zahlen besteht. Und damit hat man genau so viele Kombinationen zu probieren, wie bei einem alphanumerischen Passwort mit Sonderzeichen gleicher Länge (=32 Stellen). Nur Zahlen zu verwenden ist also nicht unsicherer - es weiß ja niemand.
oezix schrieb:
ber wer garantiert dir das dein Passwort auch mit dieser Länge gehasht werden?
Zum Vergrößern anklicken....

Das garantiert wohl niemand - aber ein Hash wird wohl auch kaum mit nur 5 Zeichen abgespeichert ;) Und selbst wenn der Hash nur sehr kurz ist, musst du trotzdem noch ein (kürzeres) Passwort finden, was zufällig den gleichen Hash erzeugt wie das lange Passwort.
 
cuco schrieb:
Das garantiert wohl niemand - aber ein Hash wird wohl auch kaum mit nur 5 Zeichen abgespeichert ;) Und selbst wenn der Hash nur sehr kurz ist, musst du trotzdem noch ein (kürzeres) Passwort finden, was zufällig den gleichen Hash erzeugt wie das lange Passwort.
Zum Vergrößern anklicken....

ein Hash hat eine feste Länge und unterscheidet sich nur durch die Eingabe, z.B erzeugt md5('')=" d41d8cd98f00b204e9800998ecf8427e" auch ein Hash mit 128bit Länge

soweit ich weiss gibt es auch Rainbow-Tabellen zum Download, die schon bis zur einer bestimmten Anzahl an Längen schon berechnet sind und wenn ich die Tabelle nicht falsch Interpretiere ist die Tabelle die nur ausschließlich aus Zahlen besteht viel länger als die mit alphanumerische
md5_numeric#1-14 vs md5_loweralpha-numeric-symbol32-space#1-8
 
Zuletzt bearbeitet:
Ja klar. Aber man kann ja wählen, was für einen bzw. wie lang der Hash ist, den man intern abspeichert. Aber so wie du schon sagst, ist ein klassischer MD5-Hash auf 128Bit (16 Byte in Form von meist 32 Zeichen dargestellt) standardisiert. Davon wird wohl kaum einer abweichen und viele nehmen halt auch andere Hashes, die oft auch länger sind, wie SHA. Theoretisch kann man aber halt die Länge des Hashes wählen. Aber wie du schon sagst, er hängt natürlich nicht von der Länge des Passworts ab.

Und zu den Rainbow Tables: Klar kann man Rainbowtables für größere Passwortlängen generieren, wenn man den Zeichenumfang einschränkt. Aber wie gesagt: Es weiß ja niemand, dass man in einem Passwort nur die Zeichen 0-9 verwendet. Und so lange das niemand weiß, kann man auch diese Vereinfachung nicht anwenden.
 
wenn ich eine gehashte Passworttabelle hätte würde ich ohne Annahme welche Zeichen benutzt worden sind durch die verschiedenen vorberechneten Rainbowtabellen jagen und da ist die Wahrscheinlichkeit, einen Treffer zu erzielen bei Passwörtern die nur aus Zahlen bestehen, unter der Annahme das der Server nicht jede beliebige Anzahl an Stellen akzeptiert, höher als bei alphanumerischen mit gleicher Länge
 
Das stimmt zumindest zum Teil, ja.
Bei Passwörtern unter meine 8 Zeichen sind die Regenbogentabellen viel aufwändiger als "einfaches" Brute Force. Und die BruteForce Attacke wird man wohl mit allen Zeichen durchführen.
Bei Passwörtern über 10 Zeichen sind die Tabellen viel zu groß und kommen nicht mehr in Frage. Kommt also wieder nur Brute Force in Frage, was dann aufgrund der Länge auch schwierig wird.
Bei Passwörtern zwischen 8 und 10 Zeichen hätte man dann einen Vorteil mit Regenbogentabellen.

Ausnahmen: Eine Tabelle bis 14 Zeichen mit nur Zahlen kann man dann tatsächlich auch noch bis zum Ende durchprobieren. Wenn die Tabelle durch ist bzw. das Passwort länger ist als die 14 Zeichen, hat man aber auch hier "verloren". Dann hilft auch wieder nur Brute Force.

Wenn die Passwortdatenbank "sauber" gebaut wurde, sind die Hashes bzw. Passwörter auch eh alle gesalzen. Dann hilft wieder keine Rainbowtable mehr bzw. die Rainbowtable muss um die Anzahl an Zeichen für das Salz länger sein, was dann meist sofort jede Tabelle sprengt.

Klar kann man dann den BruteForce Angriff auch auf nur Zahlen beschränken und kommt somit deutlich schneller voran. Aber sobald man auch nur ein einziges Zeichen, was nicht zu den Zahlen gehört, verwendet, ist auch dieser Vorteil dahin.


Man muss also schon bewusst die Attacke auf "nur Zahlen" einschränken. Das macht aber evtl. noch mehr Sinn, als eine Beschränkung der Attacke auf nur "a-j" oder so. Trotzdem sind nur-Zahlen-Passwörter auch sicher, wenn sie lang genug sind. Und wie gesagt, sobald man noch was weiß ich ein Ausrufezeichen dranhängt oder einen Buchstaben irgendwo einbaut, ist es genau so sicher wie jede andere Kombination aus Buchstaben und Zahlen (und ggf. Sonderzeichen).
 
Und genau deshalb finde ich es äußerst kritisch, wenn Anbieter das Layout des Passworts festlegen. Paket.de verlangt z. B. folgende Regeln für ein Passwort:

Mindestens 8 Zeichen
Maximal 13 Zeichen
Gültige Zeichen (Buchstaben, Zahlen, !§&/()=?*+-_)
Mindestens einen Groß und Kleinbuchstaben
Mindestens eine Zahl (nicht am Anfang)
Zum Vergrößern anklicken....

Das macht es einem Angreifer extrem leicht einen effektiven Algorithmus zu schreiben.
 
Wenn Mindestansprüche an Passwörter gesetzt werden, macht es Passwörter potentiell sicherer, weil "faule" User eben nicht zu einfache Passwörter wählen können.

Klar weiß ein potentieller Angreifer in deinem Beispiel, wie lang das Passwort maximal sein kann und welches Alphabet es umfaßt, aber er kann keine Glückstreffer durch Passwörter <8 Zeichen und/oder nur mit Ziffern haben.
 
Mindestansprüche ja, aber was soll es bringen den Sonderzeichensatz zu limitieren? Der Funktion ist es völlig egal ob sie ein '?' oder ein '#' hasht.

Ich habe das interessehalber mal getestet. Ich hatte in knapp 4 Stunden alle Möglichkeiten mit 8 Zeichen berechnet. Ich schätze, dass die absolute Mehrheit der Benutzer diese Länge verwenden wird. Damit ist diese Vorgabe auch nicht sicherer. Für alle Kombinationen mit 9 Zeichen würde ich zwei Wochen brauchen. Zehn Zeichen wären auch noch realistisch und alles was darüber liegt dauert sowieso zu lange, auch ohne diese Vorgaben.

Wenn die Seiten wirklich sichere Passwörter haben möchten, dann müssten Sie mindestens 12 Zeichen fordern mit einem Buchstaben und einem Sonderzeichen. Dazu eine Passwortänderung alle paar Monate. Aber diese Pseudo-Sicherheit hilft keinem weiter und nervt einfach nur.

Mal abgesehen davon sollte meiner Meinung nach eigentlich jeder selbst für seine Sicherheit verantwortlich sein. Wenn jemand aus Faulheit einfache Passwörter wählt muss er eben mit dem Risiko leben, dass sein Account gehackt wird. Es gibt auch genug Leute, die ihre Wohnungstür nicht abschließen. Da komme ich dann auch in wenigen Sekunden mit einer Kreditkarte rein.
 
Stellt die Anmeldung einfach so ein, dass nach bspw. 5 Fehlversuchen eine bestimmte Wartezeit bis zur nächsten Anmeldung erfolgen kann. Minimiert das Risiko einer erfolgreichen Attacke immens.

Und und und... gibt da noch diverse simple Methoden, welche zusätzlich implementiert werden können.
 
Die Attacken, von denen wir hier sprechen, macht man eh offline, wenn man die Datenbank kopieren konnte. Für Onlineattacken sind meist schon 6 Zeichen und weniger zu viel.
 
Wg. Wohnungstür
Das mit der Karte geht (in D) meistens nicht,
Weil die Türen gefalzt sind.

Aber ein normales Zylinderschloss kann von geubten Pickern in Sekunden geoffnet werden.

Kolja
 
Ede_123 schrieb:
[...]

Edit: Ein paar xkcd Comics passen hervorragend zum Thema:
Password Strength, Password Reuse und brandaktuell Encryptic.
Zum Vergrößern anklicken....

Und nicht zu vergessen auch dieses hier... :D

Natürlich wird dich wohl kaum jemand mit einem Schraubenschlüssel auf den Kopf hauen, um dein TP-Forum-Passwort in Erfahrung zu bringen. Aber wenn es jemand wirklich konkret auf dich oder einen deiner Accounts abgesehen, wird er auf die eine oder andere Art einen Weg finden - Passwortkomplexität hin oder her.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben