Theoretische Frage zum Passwort-Aufbau

cyberjonny

Active member
Themenstarter
Registriert
22 Sep. 2007
Beiträge
9.814
Hi miteinander,

mich würde interessieren, ob ein Passwort der Art "passwortpasswort" sicherer ist als eines der Art "passwort" (und "passwortpasswortpasswort" dann nochmal sicherer)?
Sprich: Fällt die reine Länge des Passworts - selbst wenn sie durch simple Wiederholungen erzeugt wird - bei der Sicherheit ins Gewicht oder spielt sie keine Rolle?
Falls ja: Wieviel sicherer wird das Passwort dadurch? Kann man da einen Faktor nennen (2x, 3x,...)?
Falls nein: Warum ist das nicht so?
Oder hängt das Ganze von der Verschlüsselungsmethode ab? Falls ja: Wann gilt was und warum?

Mich interessiert das jetzt zum einen speziell im Hinblick auf Thinkpad-Passwörter (BIOS-Ebene und Win), zum anderen aber auch die theoretischen Grundlagen dahinter und somit die universelle Anwendbarkeit bei Passwörtern allgemein (Web etc.).

Über anschauliche Laien-Erklärungen würde ich mich freuen! :)

Gruß, Jonny
 
wenn man einfach mal stures Durchprobieren annimmt, dann müssen worst case n hoch m Möglichkeiten durchgespielt werden, n ist die Anzahl der verwendbaren Zeichen, m die Länge des Passworts; natürlich könnte so ein Knackalgorithmus einfach bei jeder Kombination auch prüfen, ob die Verdoppelung das Passwort ist, dann verdoppelt sich auch der Suchaufwand
 
Ich empfehle das sorgfältige Studium hiervon.
Z.B.

Ob das Passwort mittels eines Wörterbuchangriffs gefunden werden kann. Dies kann durch Kunstwörter ohne logischen Bezug, wie z. B. „Pfeifenleuchte“ oder „Vogeltastatur“ nicht verhindert werden, da Wörterbuchangriffe auf Listen bekannter Passwörter und Begriffe zugreifen und komplexere Wörterbuchangriffe mit Hybrid-Funktion mehrere Wörterreihen kombinieren und so auch Kunstwörter brechen. Auch das Einstreuen von ein oder zwei Ziffern oder Sonderzeichen hilft hier nicht.
 
Zuletzt bearbeitet:
Am sichersten ist Buchstaben, Zahlen und Zeichen zu verwenden, die UNLOGISCH aneinander gereiht werden.
Für meine mit TrueCrypt verschlüsselte Systemplatten verwende ich ein ca. 20-25 Zeichen langes Passwort,unlogisch und besteht nur aus Buchstaben, Zahlen und Zeichen mit Groß/klein-schreibung. Nach dem 1000. mal ist solch ein PW einfach drin und mann kann es innerhalb von 3 Sek schreiben. ;)

Bin ich im Windows selber dann, benutze ich KeePass um auf Externe HDDs, OnlineBanking, Webhost, Email etc. zugreifen zu können.
95% Meiner PWs kenne ich selber nicht ;)

So ist KeePass nicht nurdurch seine eigene AES verschlüssulung gesichert, sondern von Anfang an über die Verschlüsselten Festplatten/Systemlaufwerke.

Das alles verschlüsselt ist, ist für mich wichtig, da ich vor Diebstahl geschützt bin! - Also, nicht direkt vor Diebstahl, aber ich kann immer sicher sein, das keiner an meine/unsere persönlichen Daten heran kommt, im Fall eines Diebstahls.
Alles andere ist unsicher, ganze Wörter benutzt man nicht, genau so wie Geburtstage etc.
 
Zuletzt bearbeitet:
ab 12 Zeichen soll es relativ sicher sein. Buchstaben, Zahlen und Sonderzeichen kombiniert.
 
During a recent password audit by a company, it was found that a (blonde) employee was using the following password:
"MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacramen to"
When asked why she had such a long password, she rolled her eyes and said: "Hello! It has to be at least 8 characters long and include at least one capital."
 
During a recent password audit by a company, it was found that a (blonde) employee was using the following password:
"MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacramen to"
When asked why she had such a long password, she rolled her eyes and said: "Hello! It has to be at least 8 characters long and include at least one capital."

:thumbsup:
Aber fairerweise sollte angemerkt werden, dass diese Argumentation von mindestens 85% der Benutzer kommen könnte.
 
Zuletzt bearbeitet:
Das gleiche Wort zu Wiederholen bringt fast gar nix. Verdopplung wäre ein Faktor zwei. Aber das ist nur ein zusätzliches Bit Entropie. Schon ein angehängter zufälliger Kleinbuchstabe bringt einen Faktor 26.

Anders sieht es aus, wenn man verschiedene Worte verkettet. Das ist gar keine so schlechte Idee:

http://xkcd.com/936/

Ok, es kann nicht mit 12 oder 25 Zufalls-Buchstaben/Zahlen/Sonderzeichen mithalten, aber wenn das Passwort noch merkbar sein muss und nicht allerhöchste Sicherheit Priorität hat, ist das eine gute Variante - jedenfalls deutlich besser als alle Ersetzungs- und Ergänzungsbasteleien an einem einzelnen Wort.
 
mehr muss man zu passwörtern nicht sagen:

password_strength.png

eine Erhöhung der Länge ist ein deutlich besseres Mittel als Anzahl der Zeichen (zur Erhöhung der Komplexität)

die Kombinationen ergeben sich dabei aus n^m Möglichkeiten, wobei n dem Passwortalphabet und m der Länge entspricht (einfach mal im Taschenrechner spielen damit ;))

Die sichersten Passwörter sind dabei irgendwelche Sätze die man sich auch noch merken kann wie zb. "IchSchreibeTäglichimThinkpadForum" - sehr lang, dennoch sehr einfach zu merken -> dh. gutes Passwort.
 
Wenn man keine Zufallsbuchstaben benutzt, sondern Wörter muss man aber bei n^m für n und m die richtigen Größen einsetzen.

"IchSchreibeTäglichimThinkpadForum" hat nicht (Anzahl Groß/Kleinbuchstaben)^(Passwortlänge) = 52^32 ~ 2^150 Möglichkeiten

sondern nur (Anzahl gängiger Worte im Wortschatz)^(Anzahl Wörter) ~ 2000^6 ~ 2^66 Möglichkeiten. Daher kommt xkcd bei "correct horse battery staple" auch auch 44 bit Entropie.

Streng genommen stimmt das bei Sätzen auch schon wieder nicht ganz. Hier verringert sich die Entropie noch ein wenig weiter, weil die Reihenfolge der Wörter nicht beliebig ist. Trotzdem ist ein Satz als Passwort schon nicht schlecht.
 
das weiß aber der Angreifer nicht :-) - dein Hash sagt ja idr nix darüber aus "verwendet nur [a-zA-Z]* :-)

aber ich würde ja nicht richtig klugscheißen, wenn ich nicht noch einen hätte:

security.png
 
das weiß aber der Angreifer nicht :-) - dein Hash sagt ja idr nix darüber aus "verwendet nur [a-zA-Z]* :-)

Bin kein Experte auf dem Gebiet, aber IMHO ist es für die Definition der Entropie (über die wir hier bei theoretischer Passwortsicherheit ja sprechen) unwichtig, was der Angreifer weiß und was nicht. Die nicht zufällige Anordnung der Buchstaben reduziert die Entropie genauso, wie eine Beschränkung auf eine Teilmenge des Alphabets. Vielleicht gibt es hier ja jemanden, der sich genauer auskennt?

Praktisch ist das auch relevant, da Brute-Force Attacken ja gerne mal auf eine Untermenge begrenzt werden. Und Wörterbuch-Attacken sind absolut gängig, ggf. auch mit mehreren Wörtern.


aber ich würde ja nicht richtig klugscheißen, wenn ich nicht noch einen hätte:
Ja, außer Frage, je nach Situation gibt es deutlich effizientere Wege, ein Passwort zu erhalten ;)

wie von Dir beschrieben, oder über die Sicherheitsfrage (die eher Unsicherheitsfrage heißen sollte),

oder wenn jemand nur irgendeinen Account hacken will und nicht einen bestimmten, wäre es klug das gängigste Passwort "123456" mit möglichst vielen Usernamen zu probieren anstatt einen Usernamen mit möglichst vielen Passwörtern. Da kann man schon nach ca. 100 Versuchen mit Erfolg rechnen.
 
ne - du hast schon recht mit der Entropie.. aber in der Praxis siehts halt, bedingt durch das nicht vorhande Vorwissen, dennoch anders aus.

Am wichtigsten ist einfach zu wissen: "Länge schlägt alles" - wobei es natürlich fraglich ist ob sich ein mensch passwörter ala "adjöl39///")===-dn3kao4449vcn" merken (will|kann)..
 
"Länge schlägt alles"

Hey! Sexuelle Referenzen sind hier verpönt ;-)

Ansonsten: man merkt sich genau eine einzige Passphrase für den GPG Container, der ausnahmslos ganz lange Computer-generierte Passwörter enthält.

Dann muss einem auch nur ein einziger Finger gebrochen werden, anstatt alle 10 nacheinander. Aua.
 
Wer sich keine langen Kombis merken kann: Nehmt einfach die Fahrgestellnummer von eurem Auto, da kann man notfalls innen FZ Schein gucken
 
nehmt doch einfach eurer lieblingsbuch, sucht dort einen satz mit reichlich sonderzeichen aus und nehmt diesen als passwort.
wer das ganze erschweren will, nimmt einen halbsatz aus einem buch, den zweiten halbsatz aus einem anderen buch.

da hat sich schon der ein oder andere entschlüsselungsfreak die zähne dran ausgebissen:D.

gruß in't huus

gatasa

p.s.: dann nehmen wir lieber einen seemännischen merksatz: länge läuft;)
 
During a recent password audit by a company, it was found that a (blonde) employee was using the following password:
"MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacramen to"
When asked why she had such a long password, she rolled her eyes and said: "Hello! It has to be at least 8 characters long and include at least one capital."

Wie hat die Firma das Passwort rausgefunden? Das is ja wohl der eigentliche Skandal! Da ist jedes sichere Passwort doch eh Verschwendung!

Alle großen Skandale in letzer Zeit hatten ja eher das Problem, die Passwörter waren vollkommen unsicher gespeichert. Was nützt nen 34stelliges supersicheres Passwort, wenn es nach 6 stellen abgeschnitten und als einfacher md5 Hash gespeichert wird?

-aranax
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben