Das sicherste Passwort?

[Nureinnickname!]

Wir alle wissen das Passwörter wie "((/&FGhi9i&"()&VBggn" sicherer sind als Passwörter wie "QWERTZ" oder "Hund".

Da sie jetzt bekannt sind, ist "((/&FGhi9i&"()&VBggn" genau so unsicher wie "QWERTZ" oder "Hund", es gibt kein sicheres passwort. Es dauert nur je nach passwort länger es zu knacken oder nicht.

Das ist z.b ein relativ sicheres passwort welches aber auch relativ schnell geknackt werden kann. MD5 Hash = f9d01d7ad14296eb41d2eb84d32fec69

 

[LostInWeb]

)(4\_\_{}
das ist mein lieblingspasswort

Aber wie gesagt jedes Passwort ist knackbar. Zumal auch das sicherste Passwort unterwandert werden kann, bei Webdiensten und Software.

 

[Green Mamba]

Ich schlage vor, dass ihr euch eher Gedanken darüber machen solltet, wie man es am besten bewerkstelligt dass für jeden Dienst ein vollkommen anderes Passwort benutzt wird.
Durch die Hacks in den letzten Monaten wurden bspw. meine persönlichen Benutzerdaten bereits mehrfach gestohlen. Hätte ich jetzt überall das gleiche oder ähnliches Passwörter, müsste ich mir ernsthaft Gedanken machen.
Juhu, ich habe meine Brille nicht online gekauft. Sowas passiert ja aktuell praktisch jeden Monat.

Topic: Es gibt nicht nur Wörterbuchattacken und nicht nur Bruteforce. Hacker dürfen auch kreativ sein und könnten mehrere Ansätze kombinieren.

 

[Yoshi_87]

Da sie jetzt bekannt sind, ist "((/&FGhi9i&"()&VBggn" genau so unsicher wie "QWERTZ" oder "Hund", es gibt kein sicheres passwort. Es dauert nur je nach passwort länger es zu knacken oder nicht.

Das ist z.b ein relativ sicheres passwort welches aber auch relativ schnell geknackt werden kann. MD5 Hash = f9d01d7ad14296eb41d2eb84d32fec69

Aber es ist, realistisch betrachtet, nicht möglich ein wirklich gutes Passwort in absehbarer Zeit zu knacken. Selbst mit 2.000.000.000 versuchen pro Sekunde dauert es mehrere Trilliarden Jahre bis alle Möglichkeiten durch sind.
Da ein normaler Mensch nur 60-80 Jahre hat ist es doch, bei einem wie gesagt guten Passwort, unmöglich das es geknackt wird.
Da man davon ausgehen kann das ein Mensch der wirklich das Passwort knacken will etwa 20 sein sollte hat er also nur noch 60 Jahre, bzw. 47 Jahre wenn er es Beruflich macht.

 

[fatony]

wer versichert mir eigentlich, dass seiten, die einem sagen sollen, ob das passwort stark ist oder nicht, am ende selbst die zu testenden passwörter in eine wordlist schiebt ^^

 

[petermeier1122]

touché.

 

[Yoshi_87]

wer versichert mir eigentlich, dass seiten, die einem sagen sollen, ob das passwort stark ist oder nicht, am ende selbst die zu testenden passwörter in eine wordlist schiebt ^^

Wer benutzt denn da schon das eigentliche Passwort? .D
Mal angenommen das Passwort ist "Hund" dann schreibt man eben "Affe" oder das Passwort ist "Z8b&" dann nimmt man "G3u§".

 

[MichaelK.]

Im Prinzip ist das anhand simpler Mathematik recht leicht zu verdeutlichen:

Angenommen wir haben unser Passwort nur aus dem Alphabet gebildet und es besteht aus 7 Buchstaben. Eine Bruteforce Software geht dann in etwa so vor:

26(Anzahl der möglichen Buchstaben)^7(Stellen) (Beispiel: SAMSTAG)
Somit haben wir soviele mögliche Kombinationen:
= 26 * 26 * 26 * 26 * 26 * 26 * 26

Nun kann man sogar sagen wie lange das durchtesten dauert (Berechnung mit 805,64 Mio. keys/sec ist bereits seit 2009 auf Websiten möglich...). In meinem Beispiel würde dies so aussehen

= 8.031.810.176 / 805.640.000 Keys/sec

Somit ist das ganze in dieser Zeit geknackt

= 9,97 Sekunden


Nun erhöhen wir die Länge des Passworts nur um ein Zeichen:
Kombinationen = 26^8
= 26 * 26 * 26 * 26 * 26 * 26 * 26 * 26
= 208.827.064.576 (in Worten: 208 Milliarden, 827 Millionen ...) / 805.640.000 Keys/sec
= 259 Sekunden
= mehr als 4 Minuten!

Wenn wir nun nicht nur Kleinschreibung sondern auch Großschreibung hinzuziehen haben wir sogar 52 Zeichen.
= 52^7
= 52 * 52 * 52 * 52 * 52 * 52 * 52
= 1.028.071.702.528 / 805.640.000 Keys/sec
= 1.276 Sekunden
= über 21 Minuten!

Wieder einen Buchstaben mehr:
= 52^8
= 52 * 52 * 52 * 52 * 52 * 52 * 52 * 52
= 53.459.728.531.456 (in Worten: 53 Billionen, 459 Milliarden ...) / 805.640.000 Keys/sec
= 66.357 Sekunden
= 1.106 Minuten
= 18,43 Stunden!

Nun kann sich jeder ausrechnen wie sicher sein Passwort ist, auch wenn er zB noch sein Passwort um 2 Buchstaben/Zahlen/Zeichen erweitert.


Das Alles natürlich abgesehen von der Logik des Passwortes (HundAffeMaus oder so ähnlich ) und der "Aufbewahrung". Hoffe man versteht was ich meine

 

[Yoshi_87]

Also 26(Großbuchstaben) + 26 (Kleinbuchstaben)+ 10 (Zahlen 0-9) + 60 (Standardsonderzeichen auf der Tastatur, gibt ja über ALT+NUM noch mehr z.B. ƒ,±░)
Also 122 Möglichkeiten Pro Zeichen.
Ein Gutes Passwort dürfte im Schnitt 30Zeichen aufwärts haben
Macht also 122^30/8*10^6 =

480.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000 Sekunden

Selbst in Jahren hat die Zahl dann noch über 60 Nullen.

 

[fruel]

Und wie sicher ist
"/$fComputerbasegh%64Hundekuchen)/%bbvApfelKirscheG343(&$"
verglichen mit
"/$f(dm_852I%§"=7gh%64I(5{N4?d564$ev)/%bbv§Hp?fQG343(&$"

Die Zahlen, die hier genannt wurden, wie lange es dauert bis das Passwort geknackt ist, beziehen sich immer darauf, dass das "richtige" Passwort als letztes ausprobiert wird. (d.h. der schlechteste Fall)

Um die ursprüngliche Frage zu beantworten:
Theorethisch sind beide Passwörter gleich sicher. In der Praxis kann man das Passwort als unsicherer bezeichnen, welches vom Brute-Force-Algorithmus zuerst getestet wird.

Beispiel:
Was is sicherer: "c" oder "d"? (Möglichkeiten: a-z)
Theorie: Beide gleich sicher - beide haben 26 Möglichkeiten
Praxis:
Brute-Froce Algorithmus testet: a, dann b, dann c,...
Ergebnis: "c" ist unsicherer - man brauch für "c" nur 3 Versuche für "d" 4.

 

[don.dope]

Was ich mir bei der ganzen Bruteforcerei und Wordlisterei immer frage ist, wie realitätsnah solche Szenarien überhaupt sind.
Ich mein wer kennt das nicht, 3x Passwort falsch eingegeben, 10 Minuten Sperre.
Oder 5x Passwort falsch eingegeben, Passwort ungültig, muss zurückgesetzte werden.
Diese Beispiele beziehen sich freilich auf Sachen wie Email-Dienste, Foren etc. pp.

Aber wo genau soll man denn Bruteforce einsetzen können, wenn ohnehin schon die Zugriffsversuche eingeschränkt sind?

Ok, um ein WLAN Passwort zu knacken vielleicht; aber sonst?
Sicher gibt es auch Seiten bei denen man wahllos 100 millionen mal hintereinander versuchen kann sich einzuloggen; aber ist das wirklich so verbreitet?
Und selbst wenn so ein Bruteforce tool 2000 guesses/sekunde schafft, dann schafft es vielleicht auch 2000 anfragen / sekunde, aber bis die anfrage durch ist, und ne serverresponse zurückkommt dauert das doch auch seine zeit.
ist das dann nicht eher schon n mini-denial-of-service?^^

Interessanter Artikel zum Thema Passwörter:
http://www.baekdal.com/insights/password-security-usability

 

[LostInWeb]

Bruteforce und Wörterlisten werden nur noch selten eingesetzt oder bei Diensten wo es die genannten Sperren nicht mehr gibt.
Meistens werden heute gleich nach Sicherheitslücken oder verschlüsselten Passwörtern gesucht, welche dann wiederum über Rainbow-Tables, Hashcracking versucht werden zu ermitteln.

 

[JoePesci]

*thread ausgrab*

Wie sieht es denn mit echten Sonderzeichen aus, also die die man auf der Tastatur normal gar nicht sehen kann: extended ASCII codes?

Ich hab's noch nicht probiert, aber evtl. sind die bei der Passwortwahl unzulässig. Würde mich aber wundern, wenn es so wäre, oder welchen Sinn ergäbe es diese nicht zu erlauben?

▓ ┌ Æ ╬ ...geht doch, am PC kann ich sie eintippen. Weiss jetzt nicht, was z.B. ein Smartphonenutzer tun könnte.

 

[Green Mamba]

Das kann technische Gründe haben, wenn der Hash-Algorithmus diese Werte nicht verarbeiten kann oder die DB die Werte nicht speichern kann. Versuch macht kluch. Ganz sicher wirst du damit wenn überhaupt, längst nicht überall durchkommen.

 

[JoePesci]

Bei gmx.de schlug meine PW-Aktion fehl...

Die wollen einfach nicht, dass ich ein sicheres PW anlege...
Darüberhinaus haben sie es auch noch als relativ unsicher eingestuft, wahrscheinlich wegen der Länge.

So ein PW könnte man sich auch einfach merken, wenn man z.B. die ASCII codes 201 bis 226 verwendet, wobei 201 = a und 226 = z. Man bildet also ein Wort oder einen Satz mit diesem "Parallelalphabet".

Die Sicherheit käme dann davon, dass man Zeichen verwendet, die von 99,9999% nicht verwendet und somit auch uninteressant sind und in keinen Listen auftauchen... wenn es denn ginge :-(

 

[hardwärevreag]

http://xkcd.com/936/

Mehr gibt es dazu nicht zu sagen.

Bruteforcing durch Hacker ist eher Bauernfänger. Es gab eine Zeit, in der ich bei gmx 1200mal "überprüft" wurde. (unsuccessful logins) Insgesamt haben die Hacker vllt. (und ich glaube nicht, dass es nur einer war), ein paar Tausend trials darauf verwendet.Mein E-Mail-Postfach ist nicht zur Spamschleuder geworden und da ich kein VIP bin, ist die Info dadrin auch egal.

Das war, weil meine E-Mail bei diversen Hacks mit dabei war.

In Dank an mindfactory und Co.

hwvrg