ComputerBase Menü
Aktuelles

Dauer bis Passwort geknackt ist

Man geht, immer vom Worst Case bzw. Ideal Fall aus also, von einem Angreifer der dich und deine Gewohnheiten, ausgesprochen gut kennt und somit Passwörter in fremden Formaten nicht probiert werden müssen.

Es gibt dazu, ja auch den bekannten XKCD Comic. Da ist eine Passwort Länge, zwar nicht festgelegt, wohl aber daß das Passwort, aus einem umfangreichen Wörterbuch kommt, und dann ein wenig Sonderzeichen darüber gestreut oder Buchstaben verdreht wurden. Was letzten Endes weniger sicher ist, als einfach mehr Wörter aus einem einfacheren Wörter Buch, hintereinander zu ketten. Allein darum, was nun wirklich leichter zu merken ist, das ist individuell verschieden.

Am Ende ist das Problem stets ein dimensional: wie viel Entropie du hast. Das allein bestimmt die Anzahl der nötigen Versuche.

Es ist klar daß es UNENDLICH viele falsche Passwörter gibt und probiert dein Angreifer nur diese wird er dich nie knacken aber das ist eben die falsche Rechnung. Wenn es danach geht dann ist der Schlüssel unter der Fußmatte auch sicher solange der Einbrecher nur falsche Schlüssel versucht rein zu stecken. Aber man muss eben davon ausgehen daß Einbrecher schon wissen daß unter Fußmatten auch mal Schlüssel liegen und nicht auf deren Dummheit vertrauen

Der Witz an hoher Entropie ist ja gerade, daß du jedem ganz offen sagen kannst, welches Passwort Schema du verwendest, und trotzdem können die dein Passwort nicht erraten, weil man an Entropie, nun mal nicht vorbei kommt.

Genau so weiß jeder Mensch wie ein Lototo Schein auszufüllen ist um gültig zu sein (sechs Zahlen jeder nur ein Kreuz) aber davon, gewinnt noch lange keiner im Loto das ist nicht vorher sagbar und dann einfach ein unglaubliches Glück

und das ist nur wegen der niedrigen Entropie möglich, eins zu 100 millionen ist nun mal, zu wenig ein gutes Passwort ist eins zu 17 Billionen 592 Milliarden 186 Millionen ... und mit jedem weiteren Bit Entropie, verdoppelt sich der ganze Schlamassel
 
Zuletzt bearbeitet:
Die Tabellen auf der verlinkten Seite kranken an zwei Punkten: Zum einen wird als Geschwindigkeit des Rechners ein fünf Jahre alter Wert verwendet. Zum anderen beziehen sich alle Angaben auf RC5-72, was als Blockverschlüsselungsalgorithmus für die Verschlüsselung von Daten genutzt wird, aber eher nicht für das Hashen von Passwörtern. In diesem Thema geht es aber um letztere Anwendung.

Die Anforderungen für die Datenverschlüsselung laufen denen für das Hashen von Passwörtern zuwider. Datenverschlüsselung muss schnell und effizient sein, Passwort-Hashing sollte langsam und ineffizient sein. Warum? Weil ein langsames Hashen eines einzelnen Passworts immer noch im Zehntelsekundenbereich erledigt ist, wohingegen diese erzwungene Langsamkeit das Brute-Forcing um viele Zehnerpotenzen ausbremst.

In der Praxis heißt das, dass Passwörter so gespeichert werden können, dass die Tabellen auf der verlinkten Seite viel zu kurze Zeiten angeben. Schon mit achtstelligen Passwörtern kann man problemlos Zeiten von Jahrzehnten erzielen, auch bei Angriffen mit modernster Hardware. Das Wort "können" im ersten Satz dieses Absatzes suggeriert aber bereits, dass Unwissenheit über kryptografische Anforderungen sehr weit verbreitet ist, und vielfach Passwort-Hashes völlig unzulänglich erstellt werden. In dem Fall passiert sogar das Gegenteil, und die Tabellen geben um einige Zehnerpotenzen zu lange Zeiten an.
 
Zuletzt bearbeitet:
Passwörter sollte man meiner Meinung nach gar nicht "verschlüsselt" speichern, außer es handelt sich um etwas wie ein Passwort-Manager. Wenn schon Unwissenheit kritisiert wird, sollte man da selbst differenzieren.
 
Okay, das ist etwas ungeschickt formuliert. Ich passe das an. Es geht bei den Passwörtern natürlich um das Erstellen von Passwort-Hashes bzw. bei Verschlüsselung um die Schlüsseltransformationen, die man durchführt, bevor der resultierende Schlüssel dann für die Datenverschlüsselung genutzt wird. Dabei soll der Transformationsalgorithmus langsam sein. Der dann anschließend genutzte Datenverschlüsselungsalgorithmus soll hingegen schnell sein.

Vielleicht kommt jetzt noch besser raus, warum Tabellen mit Zeitangaben für RC5 eher ungeeignet sind, um in diesem Thema weiter zu helfen.

Ergänzung: Ich habe den vorhergehenden Beitrag umformuliert und hoffe, dass dies nun passender ist.
 
  • Gefällt mir
Reaktionen: tollertyp
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
  • Gesperrt
Sicheres Passwort sinnvoll?
Antworten
3
Aufrufe
1.710
jodd
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz