Hi,

ich hab mal eine frage zur "Sicherheit" von Passwörtern. Kann man irgendwie errechnen wie hoch die theoretische wahrscheinlichkeit ist das es geknackt wird, bzw. kann mal wer erläutern was es sonst noch an Knack-Möglichkeiten gibt außer Brute-force?

Ich hab mir nämlich überlegt aus einem scheinbar schwachen Passwort wie "abc" könnte man ja mittels algorithmus ein sehr langes (255 Zeichen) erzeugen zb:

bcaacaccbbabbbcacacccabbccabaaccbcbbbcababccaabcccbcabcacabbccbbbbcaabcaccccbbaa abbcccbcbcabbcaacaccbbabbbcacacccabbccabaaccbcbbbcababccaabcccbcabcacabbccbbbbca abcaccccbbaaabbcccbcbcabbcaacaccbbabbbcacacccabbccabaaccbcbbbcababccaabcccbcabca cabbccbbbbcaca


Ist das jetzt sicherer als das Kurze durch die pure länge oder nimmt sich das faktisch garnichts?

Bevor ich mir die Finger Wund tippe: Hast du mathematischen Background und kannst mit dem Begriff Entropie etwas anfangen?

Kurzversion: Alles, was sich von Zufall signifikant unterscheidet und Regelmäßigkeiten aufweißt ist weniger stark als ein komplett zufälliges PW.

Gruß,
TC

gibts dafür eine formel für den fallum das zu berechnen ? :) Natürlich ist das generierte PW nicht wirklich zufällig, da es sich ja immer auf das ursprüngliche bezieht.

gibts dafür eine formel für den fallum das zu berechnen ?

Was du wolle?

wenn eh nur 3 verschiedene zeichen möglich sind, oder der angreifer weiß/herausbekommt, daß nur 3 verschiedene zeichen verwendet wurden, dann sind das halt 3^255 möglichkeiten, die er per brute force durchprobieren müsste ;)

hm dan würde das Passwort rein von der länge her doch wieder hinreichend sicher werden oder? immerhin ist 3^255 = 1,54 x 10^121

ich nochmal ... mit der entropie komm ich nicht ganz klar. Was genau sagt die über ein Passwort aus?

Um ein ähnlich sicheres Passwort wie oben zu erreichen genügt eines mit der Länge von nur 50 Zeichen, wenn der Zeichenvorrat dem des erweiterten ASCII Codes entspricht.

Also 255^50 vs. 3^255

aha aber das ist doch schonmal sehr interessant das es trotz der "einfachheit" das passwort immernoch dem eines 50-stelligen entspricht :)

Was ist hier wieder los? für so ein Murks brauchen die Dienste 1 Tag! Ein talentierter Hacker scheitert schon an einem 8 Zeichen Paßwort. Was soll hier das ergebnis des Gesprächs sein bitte?

LAde dir KeePass und erzeuge damit ein vernünftiges Paßwort. Mehr brauchst du nicht wissen.

warum sollten die "dienste" schneller sein als mathematisch möglich ? :) selbst wenn sie wüßten das es eine kombination aus "abc" ist bleiben doch immernoch die 3^255 Möglichkeiten.

Selbst wenn ich annehme das ein moderner CPU 30.000.000 Schlüssel/s schafft ist das immernoch eine Menge ... Zeit die vergeht.

Mir geht es eigentlich nur darum ob Passwörter die aus wenig grundzeichen bestehen durch die pure Länge wieder hinreichend sicher sind als ob man ein Passwort mit mehr Grundzeichen generieren würde.
Außerdem würd ich das mit der Entropie gern nochmal genauer wissen wie das zusammenhängt, weil ich mit den aussagen der Wikipedia nicht so viel anfangen kann.

Dann spare ich mir die Erklärungen über Entropie auch, weil verständlicher wird es nicht werden.

Natürlich kann man ein reduziertes Alphabet durch Länge ausgleichen.
Aber Passwörter sind eben dazu da, dass sie von Menschen eingegeben werden. Und diese müssen sich die Passwörter merken können, oder, im Falle, dass sie notiert werden, wenigstens fehlerfrei eintippen können.

Gruß,
TC

Selbst wenn ich annehmedu nimmst an daß sie durch brute force erstmal alle ausprobieren müßen, daß eben erst die letzte kombination erfolgreich sein wird und daß sie sich dabeu nur auf mathematik stützen.

das ist naiv.

Alphabet-Zusammenstellungen wie abc sind extrem schwach... auch wenn du es 1000 mal wiederholst.

Kann man prima hier https://passwortcheck.datenschutz.ch/check.php testen.

das ist diesbezüglich aber keine passende Bewertungstabelle, die der Sicherheit des Passwortes gerecht wird. Immerhin wird es durch seine enorme Länge wieder sicherer, vielleicht genauso sicher, wie eine normal kurzes Passwort mit allen möglichen darstellbaren Zeichen. Immerhin wird das Password nach der Eingabe ja gehasht, und nur dieser Hashwert verglichen.

das ist diesbezüglich aber keine passende Bewertungstabelle, die der Sicherheit des Passwortes gerecht wird.Sagt wer jetzt?

Immerhin wird es durch seine enorme Länge wieder sicherer, vielleicht genauso sicher, wie eine normal kurzes Passwort mit allen möglichen darstellbaren Zeichen.(sehe oben)

schau, mit einem Morsecode, kannst auch jeden möglichen Text darstellen, auch ein längeres ausgefeiltes Alphanumerisches Passwort.
Aber kannst ja nicht sagen, das trotz der nur 3 verwendeten Zeichen Punkt, Strich und Leerzeichen das längere aber entsprechendere Passwort unsicherer ist. Es steckt ja die gleiche Information drinnen.

zB.:
Q1w2E3r4T5z6U7i8O9p0
--.- .---- .-- ..--- . ...-- .-. ....- - ..... --.. -.... ..- --... .. ---.. --- ----. .--. -----

Alphabet-Zusammenstellungen wie abc sind extrem schwach... auch wenn du es 1000 mal wiederholst.

Kann man prima hier https://passwortcheck.datenschutz.ch/check.php testen.

Ja, kann man prima testen, nur ist dieser Test in einigen Fällen unbrauchbar. Hier wird doch lediglich das Passwort auf die gängigen Best-Practices abgeklopft.

Was bringt mir der Test im Falle des LMHashes eine NT Systems? Wird dem Fakt Rechnung getragen, dass man mit A,B,C 3^3 Zeichen codieren kann?

also ich hab mal folgendes probiert:

ich hab ein zip Archive mit solch einem generierten "abc" PW versehen und es dann von einem dieser PW Recovery Programmen suchen lassen und es so eingeschrenkt, das ich dem Programm sagte das das alphabet nur aus abc bestünde.

für ein 18 stelliges brauchte es ca. 35s für 19 stellen dauerte es 3min ... mein Rechner hat 7Mio. Kombinationen/s geschafft.
also von daher scheint die länge das reduzierte alphabet zu kompensieren.

das die passende kombination natürlich nicht die letze sein muß die probiert wird ist klar aber kann man das überhaupt berechnen wie hoch die chance ist es vorher zu finden?

Aber kannst ja nicht sagen, das trotz der nur 3 verwendeten Zeichen Punkt, Strich und Leerzeichen das längere aber entsprechendere Passwort unsicherer ist. Es steckt ja die gleiche Information drinnen.

zB.:
Q1w2E3r4T5z6U7i8O9p0
--.- .---- .-- ..--- . ...-- .-. ....- - ..... --.. -.... ..- --... .. ---.. --- ----. .--. -----Genau so ist es. Du hast ein Passwort was vielfach länger ist und trotzdem nicht stärker. Sinn?

Davon abgesehen, daß die wenigsten Passwörter auf dieser Welt alleine nur durch brute force oder durch ausprobieren jeweils des kompletten Passworts geknackt werden. Auch nicht jede Implementierung ist gleich fehlerfrei.

Solche Passwörter sind einfach über.

Ja, kann man prima testen, nur ist dieser Test in einigen Fällen unbrauchbar. Hier wird doch lediglich das Passwort auf die gängigen Best-Practices abgeklopft.

Was bringt mir der Test im Falle des LMHashes eine NT Systems?Das testet auch keine Konzepte oder Systeme, sondern nur das Passwort selbst. Mehr behauptet es auch nicht von sich.

das die passende kombination natürlich nicht die letze sein muß die probiert wird ist klar aber kann man das überhaupt berechnen wie hoch die chance ist es vorher zu finden? Nur wenn du weisst wie der Brute-Force Algorithmus vorgeht:

Wenn er zuerst alle n-Stelligen, dann alle n+1 Stelligen usw testet ist mit purer Länge schon viel gewonnen, da sind auch 255x'a' relativ sicher.

Testet er aber vorher alle Passwörter die nur Einzelbuchstaben enthalten (a, aa, aaa ...) hat er nach 255 Versuchen schon das Passwort das nur aus a besteht.

Das testet auch keine Konzepte oder Systeme, sondern nur das Passwort selbst. Mehr behauptet es auch nicht von sich.

Deswegen ist ja die Aussage, dass Passwort $FOO sei schwach ziemlicher schwachfug.

Alphabet-Zusammenstellungen wie abc sind extrem schwach... auch wenn du es 1000 mal wiederholst.

Kann man prima hier https://passwortcheck.datenschutz.ch/check.php testen.

Meinst du ich verrate denen mein Passwort?


Der Bundestrojaner könnte es nicht einfacher haben!

Gibt es eigentlich irgendwelche sinnvollen Mechanismen, wie man sich häufig ändernde Passwörter wählt? Wenn man alle 2 Monate einen Großteil seiner Passwörter ändern muß, es eine minimale Komplexität haben muß, und sich gleichzeitig die letzten 20 oder so gemerkt werden. Wie verändere ich mein Passwort am Besten, so daß dieses trotzdem sicher ist, und man nicht beim Merken der ganzen Dinger gaga wird?

Gibt es eigentlich irgendwelche sinnvollen Mechanismen, wie man sich häufig ändernde Passwörter wählt? Wenn man alle 2 Monate einen Großteil seiner Passwörter ändern muß, es eine minimale Komplexität haben muß, und sich gleichzeitig die letzten 20 oder so gemerkt werden. Wie verändere ich mein Passwort am Besten, so daß dieses trotzdem sicher ist, und man nicht beim Merken der ganzen Dinger gaga wird?

Ganz einfach, du zerlegst das Passwort in 2 Abschnitt.

Einmal z.B. so etwas:

Fg7sK+SD-F

Das ist der Basisabschnitt

Und dann noch eine Erweiterung, z.b.

A


Das Passwort heißt dann ingesamt:
Fg7sK+SD-FA


Und wenn du es in 2 Monaten wechseln mußt,
dann machst du aus dem A am Schluß ein B.
Und nach 4 Monaten machst du aus dem B wieder ein A.

So mußt du dir im Prinzip nur ein Passwort merken
und für die Erweiterung hast du mindestens 2 Versuche, einer paßt dann schon.


Und das funktioniert übrigens bestens, da diese Programme die das neue Passwort entgegennehmen nicht vergleichen, ob sich die beiden Passwörter ähneln.



Regeln von Administrator die die Rechner so einstellen, daß sich die Passwörter
ständig ändern müssen, finde ich übrigens sau dämlich, denn der größte Teil
kann und will sich die Passwörter nicht merken und schreibt sie daher
auf einen Zettel und schon ist es vorbei mit der Sicherheit.


Da ist es dann viel sicherer man hat ein einziges, dafür aber extrem kompliziertes Passwort das man auswendig kann und auch mal über einen längeren Zeitraum benutzt.


Der ständige Zwang zum Passwortwechsel ist daher so ziemlich nutzlos.



Hinweis:
Falls du bei oder für eine Bank arbeitest solltest du meine obigen Tipps NICHT befolgen, denn vielleicht habe ich bei euch mein Geld angelegt. :D

das ist ja eben meine problematik gewesen ich wollte mir auch ein master-PW aussuchen und dann mittels algorithmus beliebig viele kombinationen daraus erstellen lassen. Da muß man dann nur noch ein Pw kennen und die schlüssel-matrix bei sich haben ;)

das ist ja eben meine problematik gewesen ich wollte mir auch ein master-PW aussuchen und dann mittels algorithmus beliebig viele kombinationen daraus erstellen lassen. Da muß man dann nur noch ein Pw kennen und die schlüssel-matrix bei sich haben ;)

Und den Schlüssel berechnest du dann bei Benutzung zuerst auf deinem Handy? Sehr schlau. :ugly:

Das Passwort heißt dann ingesamt:
Fg7sK+SD-FA


Und wenn du es in 2 Monaten wechseln mußt,
dann machst du aus dem A am Schluß ein B.
Und nach 4 Monaten machst du aus dem B wieder ein A.

So mußt du dir im Prinzip nur ein Passwort merken
und für die Erweiterung hast du mindestens 2 Versuche, einer paßt dann schon.

Jede vernünftige Passwordpolicy würde dir obiges Vorgehen unmöglich machen.

Regeln von Administrator die die Rechner so einstellen, daß sich die Passwörter ständig ändern müssen, finde ich übrigens sau dämlich, denn der größte Teil kann und will sich die Passwörter nicht merken und schreibt sie daher auf einen Zettel und schon ist es vorbei mit der Sicherheit.

Leider nicht ganz richtig.
Mit dem Aufschreiben des Passwortes geht WISSEN über in BESITZ. Beides sind für Credentials absolut zulässige Existenzformen, siehe z.B. Haustürschlüssel.
Es kommt nur darauf an, wie ich den Besitz schütze. Wenn ich ein Post-It auf dem Monitor verwende ist dies ein Grund für eine Abmahnung.
Lagert der Zettel in meiner Brieftasche, dann ist diese Vorgehensweise in der Regel kein Problem.

Btw: Das Problem wird von Smartcards gelöst. Eine Pin, viele Credentials.

Und wenn du es in 2 Monaten wechseln mußt,
dann machst du aus dem A am Schluß ein B.
Und nach 4 Monaten machst du aus dem B wieder ein A.

So mußt du dir im Prinzip nur ein Passwort merken
und für die Erweiterung hast du mindestens 2 Versuche, einer paßt dann schon. Danke, sowas in der Art werde ich wohl probieren, aber das Problem ist auch, daß die letzten 20 PW gespeichert werden - man kann für etwas über 3 Jahre kein PW wiederholen.

Danke, sowas in der Art werde ich wohl probieren, aber das Problem ist auch, daß die letzten 20 PW gespeichert werden -

In diesem Fall würde ich diese Lösung bleiben lassen.
Denn im Schadensfall könntest du dann Probleme deswegen bekommen.

Das kann man IMO nur machen, wenn die alten PW nicht mehr weiter gespeichert werden.

Gibt es eigentlich irgendwelche sinnvollen Mechanismen, wie man sich häufig ändernde Passwörter wählt? Wenn man alle 2 Monate einen Großteil seiner Passwörter ändern muß, es eine minimale Komplexität haben muß, und sich gleichzeitig die letzten 20 oder so gemerkt werden. Wie verändere ich mein Passwort am Besten, so daß dieses trotzdem sicher ist, und man nicht beim Merken der ganzen Dinger gaga wird?

Bei der Systems gab es einen Stand, wo Passwortkarten verteilt wurden.
Auf der Homepage der Firma kann man sich so eine Karte generieren lassen.
Damit muss man sich nur noch die persönliche Lesemethode und eine Spalte merken. Ein Passwortwechswel ist damit sehr leicht, einfach die Spalte geändert, schon hat man neue Passwörter.
http://de.savernova.com/one-time-password_ch.html

Bei der Systems gab es einen Stand, wo Passwortkarten verteilt wurden.
Auf der Homepage der Firma kann man sich so eine Karte generieren lassen.
Damit muss man sich nur noch die persönliche Lesemethode und eine Spalte merken. Ein Passwortwechswel ist damit sehr leicht, einfach die Spalte geändert, schon hat man neue Passwörter.
http://de.savernova.com/one-time-password_ch.html

der Sinn ist aber ein anderer, nämlich nie das gleiche Passwort 2x einzugeben.

D0l0r3s0'Ryan <- Das soll sicher sein DoloresO'Ryan lol

Btw: Das Problem wird von Smartcards gelöst. Eine Pin, viele Credentials.und von smartcardlesegeräten die vernünftig und auch sicher eingebunden werden. erstmal haben. das eine wie das andere.

daher keepass. ein starkes passwort und viele sehr starke passwörter in verschlüsselten speicherbereichen und über eine verschlüsselte zwischenablage.

und von smartcardlesegeräten die vernünftig und auch sicher eingebunden werden. erstmal haben. das eine wie das andere.

daher keepass. ein starkes passwort und viele sehr starke passwörter in verschlüsselten speicherbereichen und über eine verschlüsselte zwischenablage.

verschlüsselte Zwischenablage?
Das war ja das Problem, dass ein Programm den Inhalt vom Copy&Paste Puffer kopieren könnte und nachher sofort wieder zurückkopiert.

verschlüsselte Zwischenablage?session keys.

dafür muß man meistens auf tools verzichten die das clipboard erweitern. sie funktionieren nicht mehr richtig nach dem man einmal copy&paste mit keepass durchführt. was heißen müßte, daß keepass genau das tut was es verspricht ;)

es übernimmt die ablage aber nur bis man sein kennwort hinzufügt oder aus anderen programmen einfügen durchführt.

bis auf die erweiterungstools des clipboards alles bestens also :)

Hm, bei mir wird bei Neueingabe eines Passwortes auch die Ähnlichkeit zu früher benutzten Passwörtern geprüft. Das wird dann schon lästig. :P

mit welchem toll hast du das mit dem zip file getestet?
ist es multicore fähig?

falls du mich meinst :) ich hab: Advanced ZIP Password Recovery benutzt, ich nehm mal an das es multicore fähig ist wieso auch nicht nur mein CPU ist halt keiner ;)

Ich hab gelesen, das momentan werte um 30Mio schlüssel/s drin sind von daher ich hab aber nur 7Mio geschafft mit der gurke ;)