ComputerBase Menü
Aktuelles

Wieso braucht ein Passwort Sonderzeichen?

PW-toXic

PW-toXic

Lieutenant
Registriert
Jan. 2005
Beiträge
966
Ich finde heutzutage fast kein System mehr, das mir weiss machen möchte, dass man Sonderzeichen im Passwort braucht damit es sicher ist. Ich sehe das vollkommen anders. Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern. Da ich aber kein System kenne, das das genauso sieht wie ich, zweifle ich mittlerweile daran.

Daher möchte ich euch kurz erklären wie ich auf dieses Ergebnis komme:
wenn man ein Passwort hat das ausschliesslich aus kleinbuchstaben besteht, dann hat man pro Ziffer 26 Möglichkeiten.
Wenn man Groß/Klein-Schreibung verwendet, Ziffern und Sonderzeichen, dann hat man in etwa 26*2 + 30 (sonderzeichen) + 10 (Zahlen Ziffern)

Ich verstehe die Passwortsicherheit äquivalent zu der Anzahl der Möglichkeiten des Passwort unter der Annahme, dass die Ziffern zufällig aus dem Pool der Möglichkeiten gewählt worden sind. Ist diese Annahme richtig?

Unter diesen Annahmen kommt man auf folgende einfache Rechnung:
(26)^a = (26*2 + 30 + 10)^b
links: Anzahl der Möglichkeiten für ein Passwort der Länge a
rechts: Anzahl der Möglichkeiten für ein Passwort der Länge b mit allen Zeichen die es so gibt.
Nun möchte ich wissen wie groß a im verhältnis zu b sein muss, damit die Passwörter gleich viele Möglichkeiten haben.
Mathe is bei mir schon ne Weile her und ich hab das mal frei aus dem Gedächtnis überschlagen:
log_b(a) = x => b^x = a .... jedenfalls hab ich das noch so im Kopf ;)
daraus folgt:
a = log_26((26*2 + 30 + 10)^b) wobei man das b einfach rausziehn kann und man so auf flgendes kommt:
a = log_26(72) * b
also lautet das Ergebnis a = log 72 / log 26 * b
Nach Adam Riese bzw. TI-36XII (Texas Instruments Taschenrechner^^) heisst das:

a = 1.3 * b
oder auch Kurz: a = b! (aus Physiker Sicht)

Es ist also SCHEISS EGAL ob man Sonderzeichen oder Groß und Kleinschreibung verwendet für die Sicherheit des Passworts! Einzig allein die LÄNGE des Passworts ist entscheidend.
Wenn ich mein Passwort um ein Zeichen verlängere, dann ist es 26 bzw. 72 mal so sicher wie vorher.


Der Knackpunkt an der ganzen Geschichte ist nun, dass sich ein Mensch (Hier schliesse ich wiederrum von mir auf andere) im Allgemeinen sich buchstabenfolgen besser merken kann als ein Wust von groß/Klein-Buchstaben mit Sonderzeichen Suppe, weil der Mensch auch aus einer zufälligen reihenfolge von buchstaben sich noch einfacher eine geschichte oder auch eine Musik merken kann.
Beispiel:
xantiropanizi
einfach mal irgendwelche buchstaben hingeklotzt.. Der Vorteil ist: Das kann man als Mensch aussprechen und sich somit PROBLEMLOS merken. Sobald ein Sonderzeichen oder eine Zahl oder eine Groß/Klein Schreibung dabei ist, muss man sich neben dem Wortlaut noch viel mehr Informationen merken, die man wenn man sie ausspricht VIEL länger werden:
xanTiroPanizi15[ -> xan<groß>tiro<groß>panizieinsfuenfeckigeklammerlinks

Wer 5-15 verschiedene Passwörter halt, weil man irgendwo arbeitet oder einen Account hat, der aus Sicherheitsgründen Sonderzeichen verlangt, der wird sich das wohl kaum mehr auswendig merken, sondern aufschreiben -> Die Sicherheit des Systems wird damit ERHEBLICH reduziert. Ein Großteil der Menschen speichert sowas nämlich irgendwo in eine Textdatei oder auf einem Zettel Papier, der in keinster weise irgendwie speziell gesichert ist.





Bitte klärt mich auf, ob ich hier nur Bullshit erzähle. Denn wenn ich Recht habe, dann Frage ich mich ernsthaft wieso zur Hölle jede scheiss passwort geschützte Software Sonderzeichen als PFLICHT erklärt.

Das was ich hier vorgerechnet habe schafft ein Gymnasiast in der 12. Klasse mit einer Note 3 oder besser.


Vielleicht hab ich mich aber auch verrechnet oder die falschen Annahmen getroffen.


edit: sry für die ganzen schreibfehler usw.. Hab grad keine Zeit/Lust einen gescheiten Artikel zu schreiben und muss jetzt auch weiterarbeiten ;)
 

Anhänge

  • passwortlaenge.jpg
    passwortlaenge.jpg
    60,7 KB · Aufrufe: 659
es ist schon sinnvoll wenn sonderzeichen enthalten sind. eine software braucht länger zu rechnen wenn sie nicht nur nach groß- und kleinbuchstaben prüfen muss, sondern auch noch nach anderen zeichen.
 
Und Brute Focre angriffe mit Wörterbüchern als Grundlage sind sinnlos
 
Natürlich hast du recht, dass ein Sonderzeichen ein PW nicht zwangläufig sicherer macht wenn stattdessen die Länge erhöht wird.
Und was merkbarkeit angeht hast du auch recht.. aber es gibt auch Passwörter mit Sonderzeichen und Zahlen die man sich gut merken kann, sofern man diese geschickt einbaut

Das Problem was du sogar noch übersiehst und was gegen Sonderzeichen spricht ist, dass die meisten Menschen einfach "123!" an ihr Password hängen.
Irgendwo hab ich mal ne Untersuchung dazu gelesen. Wenn Großbuchstaben verlangt werden nimmt fast jeder den ersten Buchstaben des Passworts, wenn Zahlen verlangt werden hängt fast jeder 123 dran und bei Sonderzeichen nimmt fast jeder einfach ein ! am Ende.

Hier sind auch (für ein spezielles Anwendungsgebiet) Beispiele ab wann welche Art von Password geraten wird
http://ophcrack.sourceforge.net/tables.php
 
Zuletzt bearbeitet:
im endeffekt muss es für gleiche sicherheit ein drittel länger sein, soooo wenig ist das nicht.

aber insb das mit ! stimmt denke ich schon.
 
Je mehr Zeichen, desto mehr Operationen braucht eine BruteForce Attacke. Dazu sind Wörterbuch Attacken sinnlos.

Der Rest ist Logik ;-)
 
Bei Sonderzeichen geht es vor allem darum, dass sich Menschen im allgemeinem Passwörter/Wörter besser merken können, wenn es keine zufälligen folgen sind. Sprich Namen, Bezeichnungen usw.. Dank Bruteforce Attacken können solche Zeichenfolgen aber sehr schnell getestet werden. Wenn man nun Aber willkürlich Sonderzeichen einbaut, wird das ganze schon mal um einiges schwerer.
 
PW-toXic schrieb:
eh..
Sagmal hast du dir eigentlich das Threadposting durchgelesen oder nur den Titel?
Zum Vergrößern anklicken....
um zu wissen das die länge eines passwortes und die menge der verwendeten zeichen entscheidend ist, muss ich keine logarithmischen rechnungen anstellen.

im fahrradschloss hast du drei ziffern von 0-9, was 1000 möglichkeiten gibt.
am PC hast du unendliche möglichkeiten, aber gehen wir von ABC abc und sonderzeichen aus.
26+26+anzahl der sonderzeichen und das pro ziffer des passwortes.
 
Die Sicherheit des Passworts wird nicht nur über die Länge des verwendeten Wortes bestimmt. Wird beispielsweise ein (meinetwegen langes) Wort verwendet, das im Duden steht, so ist dieses von sich aus bereits weitaus weniger sicher als eine gleichlange, jedoch zufällig gewählte Kombination vom Buchstaben.

Geht man davon aus, dass jedes Passwort eine Kombination zufällig gewählter Buchstaben ist, so stimmt deine Rechnung natürlich, und die Sicherheit des Passworts hängt (neben dem verwendeten Zeichensatz) von der Länge des Passworts ab. Da man sich "richtige" Wörter jedoch viel leichter merken kann als irgendwelche (zunächst) wahllos erscheinenden Zahlen-Buchstaben-Sonderzeichen-Kombinationen, werden diese wahrscheinlich bevorzugt als Passwörter eingesetzt, und der Hinweis mit den Sonderzeichen dient wohl eher dazu, die Leute daran zu erinnern, dass sie vielleicht nicht gerade ein normales Wort verwenden sollen, oder einfach noch ein paar komische Zeichen anhängen sollen (Wort + ein oder zwei Sonderzeichen kann man sich immernoch einigermaßen merken).

Eine Alternative zu den Sonderzeichen steht die Verschlüsselung mittels Leet dar, dabei werden einige Buchstaben (nach einem festen Schema) durch Zahlen ersetzt, was eine zunächst sinnlos wirkende Kombination ergibt: K0mb1n4710n ("Kombination" in Leet). Vorteil: ein relativ einfaches - und leicht zu merkendens - Wort kann als Passwort verwendet werden, man muss sich nur die Ersetzungsregel Buchstaben -> Zahlen merken.
 
Die Benutzung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen hat den Vorteil, dass man auf 83 verschiedene Möglichkeiten pro Buchstabenfeld kommt. Wenn du weißt, dass die Passwortabfrage groß- und Kleinschreibung ignoriert und Zahlen und Sonderzeichen nicht vorhanden sind, hast du jedoch nur noch 26 verschiedene Möglichkeiten. Der Vorteil liegt also klar in der Hand: Bei einem 10-Stelligen Passwort hast du bei Verwendung aller Möglichkeiten 15516041187205853449 verschiedene Passwörter. Bei bei nur 26 verschiedenen Möglichkeiten sind es "nur" noch 141167095653376 Möglichkeiten. Dies sind also ein "paar" mehr Möglichkeiten, um BruteForce-Attacken abwenden zu können, weil sie viel zu lange dauern würden.
 
Grundsätzlich gebe ich dir Recht, dass die Länge des Passworts für die Sicherheit am relevantesten ist. Aber die Annahme ist glaube ich falsch.

Ich verstehe die Passwortsicherheit äquivalent zu der Anzahl der Möglichkeiten des Passwort unter der Annahme, dass die Ziffern zufällig aus dem Pool der Möglichkeiten gewählt worden sind. Ist diese Annahme richtig?
Zum Vergrößern anklicken....

Das heisst, du gehst davon aus, dass Passwörter geknackt werden indem man zufällig z.b. zahlen einsetzt?

z.b. 1. Duchlauf zum Knacken: 42221
2. Durchlauf: 57211
3. Durchlauf: 85358

Ich habe bisher immer geglaubt bei Bruteforce testet man mit System. Also:
1. Durchlauf: 00000
2. Durchlauf: 00001 oder 10000 k.A.
x. Durchlauf: 99999
x+1. Durchlauf: aaaaa
x+x. Durchlauf ````` also Sonderzeichen zuletzt.

Sonderzeichen zuletzt, da es wahrscheinlicher ist, dass das Passwort ohne sonderzeichen ist.
Oder wie schon erwähnt, einfach ein Wörterbuch durchprobiert wird.


PS. hab eine Hand im Gips, bitte Tippfehler mir nachsehen.
 
Zuletzt bearbeitet:
hill01 schrieb:
...

Eine Alternative zu den Sonderzeichen steht die Verschlüsselung mittels Leet dar, dabei werden einige Buchstaben (nach einem festen Schema) durch Zahlen ersetzt, was eine zunächst sinnlos wirkende Kombination ergibt: K0mb1n4710n ("Kombination" in Leet). Vorteil: ein relativ einfaches - und leicht zu merkendens - Wort kann als Passwort verwendet werden, man muss sich nur die Ersetzungsregel Buchstaben -> Zahlen merken.
Zum Vergrößern anklicken....

Und ich verspreche dir das auch "Leet" in der Liste der Passwörter steht, die eine Bruteforce Attacke durchgeht! ;)
 
also ich habe deinen post glesen aber da mathe bei mir relativ schlecht implementiert ist - versuche ich mal einfach meinerechnung zu sticken ^^


(verbesserte rechnung nach dem nachtrag :) )
wie du ja schon richtig sagtest, liegt die warscheinlichkeit bei einem pw mit nur kleinen buchstaben 1:26.
Wenn großbuchstaben hinzukommen bei 1:52
usw... die warscheinlichkeit zur richtigen lsung sinkt der lösung sinkt.

nehmen wir mal an, dass man ein pw mit groß und klein buchstaben und 4 stellen hat, dann ergeben sich daraus, nach meinem verständnis - 52^4 möglichkeiten (1:7311616). Wenn man nun noch die 10 ziffern dazu tut, dann wären es 62^4 möglichkeiten (1:14776336).

man hat die anzhal der verfügbaren zeichen um ca, 16,8% gesteigert, und dafür die möglichkeiten fast verdoppelt.... (50,5%)

aber ich ich muss sagen ich wundere mich gerade selber... hab ich einen denkfehler?

------------------------------

ok, esi st ein denkfehler... ich glaube es waren nicht ^4 sondern *4....

52*4 = 208 (1:208)
62*4 = 248 (1:248)

damit bleibt das verhältnis gleich, 16,8% mehr zeichen gleich 16,8% mehr möglichkeiten.

wenn man jedoch 52*5 rechnet, dann erhält man 260 möglichkeiten.
es kommen 20% mehr stellen hinzu aber auch die möglichkeiten um 20% zu
 
Zuletzt bearbeitet:
warducK schrieb:
...

Ich habe bisher immer geglaubt bei Bruteforce testet man mit System. Also:
1. Durchlauf: 00000
2. Durchlauf: 00001 oder 10000 k.A.
x. Durchlauf: 99999
x+1. Durchlauf: aaaaa
x+x. Durchlauf ````` also Sonderzeichen zuletzt.

Sonderzeichen zuletzt, da es wahrscheinlicher ist, dass das Passwort ohne sonderzeichen ist.
Oder wie schon erwähnt, einfach ein Wörterbuch durchprobiert wird.


PS. hab eine Hand im Gips, bitte Tippfehler mir nachsehen.
Zum Vergrößern anklicken....

Ich denke wohl eher als erstes geht man eine Liste der beliebtesten Passwörter durch. Sprich 123, 12345, qwertz, usw.! Dann wird ne Liste durchprobiert werden mit vorhanden Wörtern, Eigennamen oder sowas, dann z.b. Leet und Wörter mit Jahreszahlkombinationen. Zufällige Passwörter werden wohl zuletzt getestet werden.

So zumindest würde ich als Laie es machen. Und ich denke einen Großteil der Passwörter hat man raus, bevor man zu den zufällig generierten kommt. ;)
 
26*2 + 30 + 10 ist übrigens 92 :D was ergibt, dass a= 1,4*b ist ;) was allerdings sowieso sinnlos ist ;)
 
nein durch den logarithmus, der ja maximal langsam steigt, sind die auswirkungen von der erhöhung der kombinationen minimal. Wenn man dagegen den exponenten erhöht (Länge des Passworts), hat man ein exponentielles wachstum.

Daher wäre es doch viel einfacher die Passwortsicherheit über die länge des passworts zu schätzen, und nicht darüber, ob ein sonderzeichen oder eine Zahl im Passwort enthalten ist.
All meine Passwörter bestehen ausschliesslich aus kleinbuchtstaben - hat dafür aber eine Länge von ca 10 Ziffern.

Nach der Tabelle: http://ophcrack.sourceforge.net/tables.php sollte das doch sicher gegen bruteforce sein. Davon abgesehn erlaubt ein ordentlicher loginserver nicht soviele anfragen dass ein bruteforce möglich ist.
 
Wenn sich jemand eine Rainbow-Table erstellt, ist die Wahrscheinlichkeit geringer, dass er alle Sonderzeichen mit aufnimmt bzw. werden diese erst zuletzt kontrolliert, da die Wahrscheinlichkeit geringer ist, dass diese verwendet wurden. Hier werden ja meist zuerst gängige Wörter und bekannte Zahl- und Buchstabenkombinationen usw. abgefragt.

ein Ausrufezeichen am Ende dürfte hier aber in der Tat wenig bringen.
Ich selbst stecke oft gerne lieber ein Dollarzeichen irgendwo in die Mitte des Passwortes...

Allerdings muss man mit manchen Sonderzeichen auch aufpassen, dass sie überall die gleiche Belegung haben...

Verbessert mich, wenn ich falsch liege.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Thunfischsalat
VIA/QMK Makros mit Sonderzeichen @
Antworten
11
Aufrufe
931
Affenzahn
Affenzahn
D
Kleines passwort tool in Phyton geschrieben. zusätzliche Ideen?
2
Antworten
32
Aufrufe
4.032
Bohnenhans
B
Crys
Wörterbuch Passwort-Generator
Antworten
9
Aufrufe
2.048
Tech-Dino
Tech-Dino
M
  • Geschlossen
caeser verschlüsslung in c++
Antworten
10
Aufrufe
994
rezzler
rezzler
D
UEFI Passwort unbekannt
Antworten
18
Aufrufe
771
D0m1n4t0r
D0m1n4t0r
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz