Wieso braucht ein Passwort Sonderzeichen?

[PW-toXic]

An InfoStud84:
Danke dass du mir ganz konkret sagen konntest, wo ich Fakten nicht anerkannt habe.
Bitte beachte, dass Meinungen und Vermutung keine Fakten sind.
Was solche Dinge angeht habe ich mehrfach gesagt, dass ich diese Kritik akzeptiere, aber sie mich nicht überzeugt und ich es anders sehe, aber einsehe, dass es jemand anders sieht.

Deine Kritik ist berechtigt,

Post #46

Azdak hat das ganze übrigends recht gut verstanden wie ich finde.

Post #63
Azdak hat mir nicht voll zugestimmt, sondern konnte mich in einer geiwssen Weise überzeugen, was ich mit diesem Satz gesagt habe. Ich habe also ein wenig mehr Verständnis, wenn ein Administrator den einfachen Weg wählt, und eine Sonderzeichenpflicht einführt, um die Sicherheit zumindest ein wenig zu erhöhen. Meine Alternative wäre der harte und aufwändige Weg den Benutzern zu erklären wodurch ein Passwort sicher wird.


An Stefan_Sch:
Mäßige deinen Tonfall, und bitte versuch nicht mit einem Beispiel eine Aussage zu beweisen, obwohl du alle Fälle abdecken musst. Ich habe es so einfach wie du, da ich per Gegenbeispiel zeigen konnte, dass deine Aussage im allgemeinen eben nicht gilt. Sollte mein Gegenbeispiel mit HalloWelt sich auf eine andere Interpretation von Entropie bei dir beziehen, dann benenn diese Interpretation bitte auch.
Du könntest zb versuchen die Entropie über Zeichenfolge zu definieren, womit eine Zeichenfolge als einzelnes Zeichen betrachtet wird. Allerdings wirds dann schwer, weil du dann Zeichenfolger gleicher Länge betrachten musst, was etwas schwer wird... Aber wenn du dafür eine Lösung hast, dann lass sie mich bitte wissen!
Wenns geht ohne "Pfeife" oder etwas ähnlichem.
Ich behaupte hier nicht der Informatiker schlechthin zu sein, aber ich wage zu behaupten, dass ich doch noch die Grundbegriffe genug im Kopf hab, um hier der Diskussion folgen zu können, und auf Fehler aufmerksam zu machen.

Ergänzung (18. Oktober 2010)

Wieso zur Hölle versuchst du wieder eine menschliche Schwäche mit einer rein mathematischen Methode zu berechnen?????

Antworte lieber mal auf mein Gegenbeispiel zu deiner Behauptung, anstelle hier irgendwelche hoch wissenschaftlichen Texte aus dem Internet reinzupaste ohne dass sie ein Bezug zu dem haben, über das hier gerade diskutiert wird!

Hat "HalloWelt" nun eine niedrigere oder höhere Entropie als "1212121212"?
Und welches der beiden Passwörter ist sicherer?

 

[Stefan_Sch]

anstelle hier irgendwelche hoch wissenschaftlichen Texte aus dem Internet reinzupaste

Ok, Diskussion mit dir beendet.

Wenn du Physiker bist, bin ich der Kaiser von China.

 

[PW-toXic]

Ich hoffe den meisten Lesern dieses Threads ist mittlerweile aufgefallen, dass ich meine Begründung für meine provkante Aussage auf eine menschliche Schwäche zurückführe.

Ergänzung (18. Oktober 2010)

Ich bin Informatiker, der sich gerne mit Physik beschäftigt.

Shannon und DES gehören zu den Grundkenntnissen der Informatik und darf somit durchaus als wissenschaftlich betrachtet werden. Nur bringt uns dieses Paper - vorallem die von dir zitierte Stelle in dieser Diskussion kein bisschen weiter.


Versuch lieber mein Gegenbeispiel zu wiederlegen. DAS wäre mal interessant. Wenn du dich doch so gut auskennst, sollte das für dich ja kein Problem darstellen.

Ergänzung (18. Oktober 2010)

Und jetzt wirds richtig spannend:

However it is far from clear that compression is the best measure for the strength of keys and passwords, and cryptographers have derived a number of alternative forms or definitions of entropy, including “guessing entropy” and “min-entropy.”

Genauer dieser Satz sagt genau das was ich behauptet habe: Es gibt verschiedene Arten von Entropie gibt, und ich gerne von dir erfahren hätte welche du meinst. Ich habe die hergenommen, die am verbreitesten ist, und anhand dieser Entropie ein Gegenbeispiel abgeleitet und dich gleichzeitig danach gefragt welche Definition bzw Ansatz du verfolgst.

Ergänzung (18. Oktober 2010)

Ich behaupte nicht, dass ich zweifelsfrei mit meiner Meinung im Recht bin, sondern ich zeige immer nur auf, dass fast alle Begründungen entweder mit den falschen Methoden arbeiten, oder diese falsch anwenden!

Wenn du dich jetzt aus der Affäre ziehst, obwohl du mich vorher als Pfeife darstellst aber auf eine einfache technische Frage nicht antwortest, dann kann ich dir leider auch nicht helfen.

Ergänzung (18. Oktober 2010)

Kleines Fallbeispiel:
Schreib mal in eine Textdatei ganz oft den String "121212121 " und gleich oft den String "HalloWelt " in eine andere Datei, und teste mit aktuellen Kompressionsalgorithmen was eine höhere Entropie hat. (Kompressionsverfahren kommen recht nah ran)

Das ist kein Beweis sondern nur ein Indiz.

Ergänzung (18. Oktober 2010)

:/

 

[Stefan_Sch]

Preisfrage an unseren "Forenexperten". Welches Passwort ist sicherer?

Universum

oder

Ulimwengu

BTW: Du bist plötzlich Informatiker? Puh, du wechselst deine Qualifikation schneller als ich F5 drücken kann.

Pass bloß auf das die "wissenschaftlichen Texte aus dem Internet" dich nicht überfordern.

Aber so langsam scheinst du dich ja in die richtige Richtung zu bewegen und akzeptierst die Fakten. Noch ein paar Edits von dir und du bist am Ziel.

Bravo!

 

[PW-toXic]

Ulimwengu ist meiner Meinung nach sicherer, da ich nicht denke dass es in einem Wörterbuch existiert - hab das allerdings nicht nachgeprüft. Aber was hat das mit der Diskussion zu tun? Du müsstest beweisen dass dies für Alle Passwort Kombinationen gleicher länge gilt: Passwort aus Wörterbuch - Zeichenfolge die nicht im Wörterbuch existiert.
Um deine Behauptung zu wiederlegen genügt bekanntlich ein Gegenbeispiel.

Würdest du bitte mal auf mein Gegenbeispiel Stellung nehmen? (1212121 vs HalloWelt)

Ich habe nie behauptet, dass ich Physik studiert habe, sondern dass ich durch die Welt mit den Augen eines Physikers gehe, die mir viele Sachen aus der Informatik vereinfachen (Divide and Conquer - Black Box Modell). Ich habe bereits mehrfach erwähnt dass ich Informatik studiert habe.


Nein die wissenschaftlichen Texte überfordern mich keineswegs. Ich behaupte nur dass sie vollkommen falsch gewählt sind. Wieso? Weil du mit dem Zitat sogar zwei Sachen von mir wahrscheinlich aus versehen bestätigt hast die du anzweifelst:
1) Es gibt mehrere Arten von Entropie (du behauptest ein Blick auf Wikipedia genügt -> es muss also Eindeutig sein - ist es aber nach deinem Zitat eben nicht)
2) Die bekannteste Definition von Entropie (Shannon...) wird in dem Artikel as "sehr unsicher" bezeichnet, um die Passwortsicherheit zu messen.

Oder hab ich hier falsch übersetzt?

Ich bitte dich nun zum 4. mal auf meine mathematische Begründung einzugehen die ich oben mit meinem Gegenbeispiel gebracht habe. Ich möchte wissen ob ich damit falsch liege oder nicht! Wenn du dich hier schon als wissenschaftler ausgibst der brav wissenschaftlich zitiert, dann bitte geh auch auf die Argumente ein

 

[flobis]

Ich persönlich finde es schade, dass auf so eine (eigentlich) seriöse Frage Antworten a la "bist du doof..." folgen. Aber gut: Hartz IV-Country...

Sonderzeichen im Passwort sind dazu da, dass die Cracker kein leichtes Spiel haben. Einfach nur ein großes Satzeichen und ein Sonderzeichen rein, das erschwert die Arbeit ungemein (und ja, ich weiß, wovon ich rede...)

Gruß Flo

 

[TheCadillacMan]

Ich hoffe den meisten Lesern dieses Threads ist mittlerweile aufgefallen, dass ich meine Begründung für meine provkante Aussage auf eine menschliche Schwäche zurückführe.

"Menschliche Schwächen" lassen sich aber nun mal nicht beweisen. Nur aufgrund deiner "Erfahrungen" brauchen wir nicht diskutieren. Vor allem da du andere "Erfahrungen" nicht akzeptierst.

Ich behaupte nicht, dass ich zweifelsfrei mit meiner Meinung im Recht bin, sondern ich zeige immer nur auf, dass fast alle Begründungen entweder mit den falschen Methoden arbeiten, oder diese falsch anwenden!

Du stützt deine These doch auch nur mit Vermutungen und Hörensagen. Du kannst aus oben genannten Gründen nichts beweisen, erwartest aber von anderen, dass sie dir das Gegenteil beweisen. Das ist keine Diskussionsgrundlage.

Fazit: Ich bin dafür den Thread zu schließen. Ein verbales "Massaker" ist glaube ich absehbar und die "Diskussion" führt eh zu nix mehr.
Eigentlich schade um das Thema. Durchaus interessante Frage. Leider schlecht diskutiert.

 

[Stefan_Sch]

Ulimwengu ist meiner Meinung nach sicherer, da ich nicht denke dass es in einem Wörterbuch existiert - hab das allerdings nicht nachgeprüft.

Du kannst versuchen beide Begriffe zu googlen und daraus Schlüsse ziehen.

Viel interessanter ist allerdings die Frage, warum Ulimwengu sicherer ist. Es handelt sich dabei nämlich lediglich um die Überstzung des Wortes Universum auf Swahili.

Na, kommst du drauf?

Würdest du bitte mal auf mein Gegenbeispiel Stellung nehmen? (1212121 vs HalloWelt)

Was für eine Stellung sollte ich dazu nehmen? Genausogut könnte ich hier Stellung zum 2. Weltkrieg nehmen.

Ich habe hier anhand von Quellen renommierter kryptographischer Institute, wie dem NIST, bewiesen das meine ursprüngliche Aussage die einzig korrekte Definition zur Passwortstärke ist.

Alles andere tangiert mich peripher.

Du solltest lieber einmal deine ursprüngliche Aussage revidieren, die du im Eingangsbeitrag rausposaunt hattest.

Ich zitiere:

Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern.

Das ist pauschal gesagt nämlich Quatsch mit Soße hoch 3!

 

[PW-toXic]

Ich habe hier anhand von Quellen renommierter kryptographischer Institute, wie dem NIST, bewiesen das meine ursprüngliche Aussage die einzig korrekte Definition zur Passwortstärke ist.

Du hast genau das Gegenteil bewiesen. Ich hab den entscheidenden Teil von deinem Zitat übersetzt. Oder hab ich falsch übersetzt?


Du kannst auch gerne zum 2. Weltkrieg Stellung nehmen, aber bitte in einem anderen Thread. Du hast eine Aussage getroffen und ich hab es durch ein Gegenbeispiel wiederlegt, und ich möchte wissen wo in meinem Gegenbeispiel der Fehler liegt. Wenn ich keinen Fehler gemacht habe bedeutet es dass du falsch liegt.

Es gehört ein bisschen mehr dazu als einfach einen wissenschaftlichen Text zu zitieren, den man selbst scheinbar nicht verstanden hat. Denn du versuchst mit dem Zitat etwas zu untermauern, obwohl das Zitat exact das Gegenteil behauptet

Ergänzung (18. Oktober 2010)

"Menschliche Schwächen" lassen sich aber nun mal nicht beweisen. Nur aufgrund deiner "Erfahrungen" brauchen wir nicht diskutieren. Vor allem da du andere "Erfahrungen" nicht akzeptierst.


Du stützt deine These doch auch nur mit Vermutungen und Hörensagen. Du kannst aus oben genannten Gründen nichts beweisen, erwartest aber von anderen, dass sie dir das Gegenteil beweisen. Das ist keine Diskussionsgrundlage.

Erstens sage ich ja genau das was du hier sagst - nämlich dass ich es nicht beweisen kann.
Zweitens ist es einfach unverschämt zu behaupten ich nehmen keine anderen Meinungen an.
Ich zitiere mich wieder einmal selbst:

Post #63
Azdak hat mir nicht voll zugestimmt, sondern konnte mich in einer geiwssen Weise überzeugen, was ich mit diesem Satz gesagt habe. Ich habe also ein wenig mehr Verständnis, wenn ein Administrator den einfachen Weg wählt, und eine Sonderzeichenpflicht einführt, um die Sicherheit zumindest ein wenig zu erhöhen. Meine Alternative wäre der harte und aufwändige Weg den Benutzern zu erklären wodurch ein Passwort sicher wird.

Drittens ist es denke ich doch verständlich dass ich bei den meistenbs Argumenten hier nicht sofort meine Meinung ändere, weil die Begründungen für die Argumente erstens falsche Methoden ausgewählt haben und zweitens diese auch noch falsch angewendet haben. Dies habe ich in den meisten fällen sogar zweifelsfrei zeigen können.

Den Fall den Azdak schildert ist für mich allerdings nachvollziehbar.
Das heisst aber noch lange nicht dass meine Meinung im allgemeinen gilt, noch die gegenteilige Aussage.
Ich behaupte immernoch, dass es der bessere Weg wäre, eine ordentliche Passwortsicherheit einzubauen nach meiner Vorstellung.
In meinem konkreten Fall wird ein Passwort mit Sonderzeichenpflicht erstens unpraktikabel und zweitens unsicherer. (Was natürlich nichts beweist, aber das habe ich schon oft und deutlich genug gesagt)
Nur weil jetzt jemand ein Beispiel zeigt, wo das genau andersrum ist, soll ich jetzt meine Meinung um 180° drehn?
Das ist doch zuviel des Guten wie ich finde.


Desweiteren Artet bei mir hier nichts in einer Flamerei aus, sondern ich versuche auch immernoch bei den teilweise belustigenden Posts professionell meine Aussagen zu begründen und soweit möglich auch zu beweisen.

 

[-=Renegade=-]

Eigentlich hätte ich gedacht du hast dich aus der Diskussion zurück gezogen, da das nicht der Fall ist und du mein Posting vor ewigen Zeiten noch immer nicht kommentiert hast, wollte ich wissen, ob dir nichts zur Verteidigung eingefallen ist und du es deshalb ignoriert hast, oder schlicht übersehen hast

-----

Der Knackpunkt an der ganzen Geschichte ist nun, dass sich ein Mensch (Hier schliesse ich wiederrum von mir auf andere) im Allgemeinen sich buchstabenfolgen besser merken kann als ein Wust von groß/Klein-Buchstaben mit Sonderzeichen Suppe, weil der Mensch auch aus einer zufälligen reihenfolge von buchstaben sich noch einfacher eine geschichte oder auch eine Musik merken kann.
Beispiel:
xantiropanizi
einfach mal irgendwelche buchstaben hingeklotzt.. Der Vorteil ist: Das kann man als Mensch aussprechen und sich somit PROBLEMLOS merken. Sobald ein Sonderzeichen oder eine Zahl oder eine Groß/Klein Schreibung dabei ist, muss man sich neben dem Wortlaut noch viel mehr Informationen merken, die man wenn man sie ausspricht VIEL länger werden:
xanTiroPanizi15[ -> xan<groß>tiro<groß>panizieinsfuenfeckigeklammerlinks

Zwei Probleme: Menschen neigen dazu, Passwörter aufzuschreiben, die sich nicht leicht merken lassen. Für den Standard DAU macht es dabei keinen Unterschied, ob er sich ein Passwort mit oder ohne Sonderzeichen leichter merkt. So könnte man genauso argumentieren, dass man sich Mein_Passwort leichter merkt wie ajskdhaiduha obwohl es ein Sonderzeichen enthält. Im Worst Case muss man aber davon ausgehen, dass er sich jedes Passwort notiert, auch wenn es noch so einfach ist. Allerdings besteht immer die Frage, wann und warum ich Zugang zu diesem aufgeschriebenen Passwort habe.

Wenn man diese menschliche Komponente weglässt, bleibt noch die Wahl des Passwortes über. Ein Sonderzeichen kann ich effektiv auf die Verwendung überprüfen. Ein Hinweis, das Passwort soll nicht in Google vorkommen, kann ich nicht. Ergo werden sich nicht mehr als 1% der Benutzer daran halten und das System ist damit anfällig gegen Wörterbuch Attacken.

Und nochmals: Ich habe es noch nie gesehen, das jemand ein Wörterbuch macht, das 1TB groß ist und ein paar Sonderzeichen am Anfang und Ende testet. Das ist einfach uneffektiv und zu aufwendig. Brute Force Attacken laufen von der Berechnung her ganz anders ab als ein Wörterbuch, da bei Brute Force keine Wörterbuchdatei zu grunde liegen muss.

Ich hab hier jetzt einfach alle Berechnungen und mathematischen Dinge weggelassen und bin nur auf die Wahl des Passwortes eingegangen, da ich damit hoffe, das du es endlich begreifst, warum Sonderzeichen absolut eine Daseins Berechtigungen haben.

Wenn du es immer noch nicht einsiehst, dann lass ich es bleiben, dann haben rationale Argumente einfach keinen Sinn

Achja und bitte, versuch jetzt nicht Wörter umzudrehen oder versteif dich auf Kleinigkeiten, um deine Argumentation durchzubringen, denn ich gehe davon aus, dass du genau weißt was ich meine


so long

 

[Azdak]

Zu erst einmal muss ich sagen dass ich es sehr schade finde wie diese Diskussion geführt wird!

Ich habe in meinem anderen Post bewusst „Prosa“ benutzt um mich auszudrücken. Denn das eigentliche Problem sind nicht Sonderzeichen sondern die Frage, was Sicherheit ist.

In der Regel wird Sicherheit nur im Sinne der Informationstheorie behandelt, denn aus Sicht der Informationstheorie kann man sagen, dass ein Passwort mit Sonderzeichenpflicht Bockmist ist. Genauso wie man sagen kann, dass ein Passwort welches keine Sonderzeichen zulässt Bockmist ist. Das schöne aber an der Informationstheorie ist, dass man dann auch sagen kann welche der beiden Fälle der größere Bockmist ist.

Aber es ist leider nur Theorie und hat mit praktischer Sicherheit nichts zu tun. Nicht ohne Grund ist sozial hacking immer noch DIE Grundlage für das Überwinden von Sicherheitsmaßnahmen. Nur wie will man über „praktische Sicherheit“ diskutieren? Dass geht, glaube ich, nur an einem konkreten Fall da sonst einfach die Basis für eine Diskussion fehlt.
Theoretisch sind aufgeschriebene Passwörter unsicher. Praktisch darf jetzt jeder anfangen seine TANs für's Online Banking auswendig zu Lernen. Sind im Prinzip auch nichts anderes als Einmalpasswörter. Das währe jetzt ein praktischer Fall den man diskutieren könnte.

Dieser Thread war vermutlich praktisch Inspiriert und wurde dann versucht theoretisch zu Behandeln. Und diese Verknüpfung ist unzulässig und führt in das Chaos, was wir hier sehen.

 

[badday]

Ich habe mir den Thread nicht vollständig durchgelesen. Aber ich frage mich, wie man zu der Aussage

Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern.

kommt. Das erschließt sich mit nicht ganz. Denn nehmen wir an ich habe irgendein Passwort. Nun hänge ich daran ein Sonderzeichen an. Ist es nun unsicherer?

 

[TheCadillacMan]

Erstens sage ich ja genau das was du hier sagst - nämlich dass ich es nicht beweisen kann.

Es ging mir eigentlich darum warum du es nicht beweisen kannst. Wir diskutieren über etwas das sich eben nicht beweisen lässt. Du wirfst eine These über menschliches Verhalten im Allgemeinen in den Raum und forderst Zustimmung oder den Beweis des Gegenteils. Selbst wenn hier jemand eine Studie hätte (von dem ich nicht ausgehe), die untersucht welchen Einfluss der Sonderzeichenzwang in Passwörtern darauf hat ob sich die Nutzer das Passwort aufschreiben wäre das noch keine Beweis sondern eine Beobachtung.

 

[kuddlmuddl]

Lol was is denn hier los
Mal ehrlich - jeder der weiß was n Logarithmus und ne Exponentialfunktion is sollte zustimmen, dass "PW-toXic" mit seiner Rechnerei am Anfang #1 recht hat:
Lange Passwörter die nur aus gleichbuchstaben bestehen können BRUTE FORCE länger dauern zu raten als kürzere mit Sonderzeichen. (Kommt auf die konkreten Werte von "länger" und "kürzer" an )
Alles andere is eh nur Kaffeesatzleserei

 

[CD]

Klar, im Falle einer Brute-Force-Attacke, die einfach alle möglichen Kombinationen durchgeht, spielen die Länge des Passworts und die Anzahl der möglichen Zeichen eine große Rolle. Aber wo kann man schon so einen Angriff starten, ohne nach ein paar Minuten gesperrt zu werden? Die meisten Internetseiten sperren ja entweder die IP oder den Account nach x fehlgeschlagenen Anmeldeversuchen. Auch beim Login fürs e-Banking wird man mit der Methode recht wenig Erfolg haben. Auf Anhieb fallen mir nur passwortgeschützte Archive ein, die sich nicht gegen Brute-Force-Angriffe wehren können. Und selbst Wörterbuchattacken werden doch schon schwierig, wenn man beispielsweise 3 Anmeldeversuche innerhalb von 15 Minuten hat. Klar ein "richtiges" Wort als Passwort zu verwenden ist nicht das klügste, viele werden das aber einfach so machen weil sie es sich leichter merken können und mal ehrlich, Zugangsdaten zu irgendwelchen Foren und so sind ja auch eher egal, wirklich wichtig sind die fürs email-konto, fürs e-banking und um sich am eigenen Rechner anzumelden.

 

[_Chris_]

Ohne mich in die Diskussion der sicherlich studierten und promovierten Mathematiker, Physiker und Informatiker einmischen zu möchten, halte ich die Argumentation des Threadersteller für etwas .. merkwürdig.

Angenommen ich besitze ein 10 stelliges, zufällige Passwort.

Frage: Ist dieses sicherer wenn es aus [A] Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen besteht, als nur Groß- und Kleinbuchstaben sowie Ziffern?

Antwort: Ja, denn

[A] 62 ^ 10 = 839299365868340224
94 ^ 10 = 53861511409489970176

Wie wir sehen können ist B über 64 mal größer als A.

Wenn wir dies weiterführen und uns die Frage stellen:
Wann ist ein Passwort mit X Stellen mit Sonderzeichen sicherer als ein Passwort ohne Sonderzeichen mit X+1 Stellen?

Antwort:
94 ^ x = 62 ^ x + 1
x ~ 10
D.h. ein 10-stelliges Passwort mit Sonderzeichen ergibt genausoviel Kombinationen wie ein 11-stelliges Passwort ohne Sonderzeichnen - awesome!


Aber, dass war ja auch nicht die Frage des Threaderstellers:

Ich finde heutzutage fast kein System mehr, das mir weiss machen möchte, dass man Sonderzeichen im Passwort braucht damit es sicher ist. Ich sehe das vollkommen anders. Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern. Da ich aber kein System kenne, das das genauso sieht wie ich, zweifle ich mittlerweile daran.

In diesen Sätzen finden sich mehrere Aussagen, die in diesem Thread bereits diskutiert wurden bzw. richtig gestellt wurden:

Ich finde heutzutage fast kein System mehr, das mir weiss machen möchte, dass man Sonderzeichen im Passwort braucht damit es sicher ist.

1. Es gibt noch eine Vielzahl von Systemen, welche ohne Sonderzeichen auskommen
2. Ein Passwort ohne Zeichen kann sicher sein, ein Passwort der gleichen Länge mit Sonderzeichen ist sicherer (s.o.)

Ich sehe das vollkommen anders.

Dein gutes Recht!

Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern.

Mathematisch nicht nachzuvollziehen. Du begründest dies damit, dass sich die Merkbarkeit des Passwort drastisch verringert durch Sonderzeichen, und diese dann auf Papier oder in elektronischer Form in Klartext vorgehalten werden.

Im Gegensatz zu dir, sehe ich das nicht als weiteres Sicherheitsrisiko, denn es ist doch normal, dass Personen ihre Passwörter aufschreiben. Dies geschieht sogar bei ganz einfachen Passwörtern, beispielsweise einer PIN. Meine Kreditkarte hat z.B. eine PIN, die ich noch nie benutzt habe. Denn normale Bezahlvorgänge erfordern diese PIN nicht, nur das Geld abheben am Automaten. Daher habe ich diese 4 Ziffern aufgeschrieben, für den Fall, dass ich sie brauche. Oder mein T-Online Passwort: 8? Ziffern. Die gebe ich einmal beim Einrichten meines Routers ein und dann nie wieder - auch in schriftlicher Form irgendwo abgeheftet. Oder mein Handy-Puk - wieder 4 Ziffern in irgendeiner Schublade... usw.

Alles Passwörter ohne Sonderzeichen, die ich mir aufgeschrieben habe, weil ich sie mir nicht merken kann/will/muss. Und sind wir doch mal ehrlich, wer von uns benutzt denn für jeden Online-Zugang ein anderes Passwort. Jeder von uns hat doch 4-5 Passwörter, die er je nach Verwendungszweck einsetzt. Zwei lange Passwörter mit Sonderzeichen für sensitive Daten. Zwei medium-lange Passwörter für Foren-Accounts und Blogs. Und eins für irgendwelche temporären/unwichtige Anwendungen (abc123). Und wem Papierform zu unsicher ist, der benutzt https://www.computerbase.de/downloads/sicherheit/passwortmanager/keepass/ und gut ist.

just my 2 cents

 

[hardwarekäufer]

Warum nimmt man eh an, dass ein PC mit entsprechend Rechenleistung das Password in X Minuten knacken kann?

Es würde ebenso ausreichen zwischen jedem Login-Versuch eine 5-Sekündige Sperre einzurichten. Dann knobelt keine CPU mehr in 10 Minuten das Password raus, sondern braucht länger als der Lüfter es durchhält.

Solche Annahmen funktionieren doch nurnoch bei zip's oder entsprechenden Programmen.

Für eine Bruteforce-Attack im Internet kann man die Zahl der Möglichkeiten mit dem Ping * 2 nehmen und bekommt ne maximale Zeit die das ganze dauern kann.
Selbst wenn wir da bei 30ms sind, dann sind das bei einem 6-Stelligen Passwort aus Groß und Kleinbuchstaben rund 11,2 Jahre die der PC rechnen müsste. ( Es zählt ja Ping hin -> Übermittlung des Passwortes und Ping zurück -> Reaktion des Servers ).

(48^6 x 0,03s) x ( 1h / 3600s ) x ( D / 24h ) x ( a / 365D ) = 11,2 a

Selbst bei einem im Internet utopischen Ping von 1ms würde es noch rund 150 Tage dauern.

 

[Trainmaster]

@ hardwarekäufer

Ein professioneller Angreifer wird wohl kaum eine Bruteforce-Attacke auf eine Webseite starten. Stattdessen wird es sich darum bemühen, an die Datenbank zu gelangen. Das ist das eigentlich interessante. Und die kann man schließlich mit verfügbarer Rechenleistung "bearbeiten".

 

[-=Renegade=-]

Ein weiteres, denkbares Szenario, sind Passwort Hashes, die sich schon unglaublich schnell berechnen lassen.

 

[terminator60000]

Hallo,

Es tut mir leid, dass ich diesen Thread nochmal ausgrabe, und nennt mich ruhig einen Leichenschänder, aber mir fällt es auf, dass es noch sehr schwerwiegende Defizite in Sachen Sicherheit von Passwörtern geht.

Mich nervt es und bringt mich persönlich auf 180, wenn ich irgendwo in ein Passwort Sonderzeichen und oder Zahlen und oder Große Buchstaben hinzufügen MUSS.

Wobei der Schwerpunkt meiner Nervlichen Grenze eher bei den Sonderzeichen und Zahlen liegt.

Ich bin selber Programmierer und lege sehr großen Wert auf die Sicherheit der Daten meiner Kunden, vorallem wenn es um Passwörter geht. Ich bin der meinung, dass Anwendungen die meinen "Ihr Passwort ist unsicher" nur eine Ausrede suchen, damit sie sich kein Aufwand in der Programmierung machen müssen, denn die Sicherheit der Passwörter liegt mindestens zu 60% bei dem Programmierer.

Ich kenne viele Datenbanken in denen die Passwörter einfach nur einmalig Kodiert sind z.B. Metin2, benutzt einen einfachen Sha1 schutz, welchen ich in 90% aller Fälle innerhalb von 5 Sec Knacken könnte.

Aber fange ich mal an auf die Posts meiner Vor-Poster einzugehen:

Zitat von: Hardwareverkäufer:

Solche Annahmen funktionieren doch nurnoch bei zip's oder entsprechenden Programmen.

Für eine Bruteforce-Attack im Internet kann man die Zahl der Möglichkeiten mit dem Ping * 2 nehmen und bekommt ne maximale Zeit die das ganze dauern kann.
Selbst wenn wir da bei 30ms sind, dann sind das bei einem 6-Stelligen Passwort aus Groß und Kleinbuchstaben rund 11,2 Jahre die der PC rechnen müsste. ( Es zählt ja Ping hin -> Übermittlung des Passwortes und Ping zurück -> Reaktion des Servers ).

Absolut korrekt, da ich denke, dass wir hier über Web anwendungen oder Anwendungen welche Daten ins Internet senden (z.B. iTunes) ausgehen, fällt Brute Force schonmal Flach.

Zitat von: PW-toXic

Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern.

auch Absolut korrekt, da eine Passwort abfrage (meist) über php geschieht. Wenn ich also SQL Injection betreiben möchte kann ich Sonderzeichen benutzen um die überprüfung von Passwörtern auszuhebeln, und so komme ich sowieso in jeden Account, selbst wenn er aus einer Kombination von 30 Unterschiedlichen Sonderzeichen Buchstaben, Zahlen usw besteht.

Stichwort dazu: Die Eingabe muss entkräftet werden, es dürfen keine Zeichen in den Code gelangen, welche die abfrage beeinflussen könnten.

Zitat von: Trainmaster

Ein professioneller Angreifer wird wohl kaum eine Bruteforce-Attacke auf eine Webseite starten. Stattdessen wird es sich darum bemühen, an die Datenbank zu gelangen.

Auch absolut korrekt, wenn ein Cracker die Datenbank ersteinmal hat (wie oben bereits geschrieben) könnte er die Passwörter einfach entschlüsseln über sogenannte decrypter. Findet man im Internet allerhand.

Jetzt ein paar lösungen zu diesen Fällen, welche ich in meiner Programmierung benutze:

Brute Force:
Wenn ein User ein passwort 5 mal falsch eingegeben hat, muss er 30 min Warten bis er das nächste Passwort eingeben darf, selbst wenn er seinen Router neu starten würde um eine neue ip zu bekommen, würde er somit pro 5 passwörter mindestens 3 min mehr benötigen für einen Brute Force angriff.

SQL - Injection
Codes, welche eine Überprüfung austricksen würden werden einfach entkräftet und z.B. in den BBCode o.ä. umgewandelt,
dazu gibt es sogar eine von php eigene Funktion.

Anti Datenbank Decrypt
Warum werden heutzutage immernoch einmalige Verschlüsselungen verwendet?
Man kann ein Passwort problemlos 1.000 oder 1.000.000 Kodieren lassen, was 1. eine Anti Brute Force maßname ist, da jeder angriff wieder um eine gewisse Zeit verlängert würde und 2. könnte niemand mehr ein Passwort entschlüsseln, da kein Online Decrypter eine so umfangreiche Datenbank besitzt.

Fazit: Solange man keine Passwörter a la 12345, haus, maus, oder ich benutzt, man sich an einige grundliegende Regeln wie 10 Zeichen minimum hällt, warum sollte man dann ein problem mit der Sicherheit von Passwörtern haben? wie Saturn schon sagt "Es ist alles eine Frage der Technik!".

So, ich habe euch genügend mit meinem Beitrag geqäult, ich wünsche euch noch viel Spaß,

Yasar Güven

PS: Und diese möglichkeiten gab es auch schon vor 1,5 Jahren