Eigenschaften von Passwörtern erkennen

[ugul]

Hey Leute,
seit langem habe ich eine Frage, die ich mir im Zusammenhang mit Passwörtern nicht beanworten kann. Es geht jetzt auch nicht um Programm X oder Algorhytmus Y, sondern ums Prinzip.

Jeder kennt die Listen, wie lange man zum Brute Force knacken von Passwörtern braucht. Nimm doch bitte Groß-Kleinbuchstaben, Zahlen und Sonderzeichen, sonst ist es zu schnell zu ->knacken<-

Und das macht mich irgendwie immer stutzig. Ich als Laie bin der Meinung, man kann im nachhinein gar nicht erkennen, ob so etwas in einem Passwort vorkommt oder nicht. Das man jedes mal beim Brute Force vom vollen Programm ausgehen muss und nicht "Knacke nur kleinbuchstaben und Sonderzeichen" oder so.

Gibt es eine Möglichkeit zu erkennen, ob eine dieser Eigenschafen (Klein/Großbuchstaben, Zahlen, Sonderzeichen) nicht im Passwort vorhanden ist und man deshalb beim Brute Force darauf verzichten kann? Meinem Verständnis von IT und Verschlüsselung nach nicht, aber Ihr habt warscheinlich mehr Ahnung davon. (Und wenn ich darüber lese wird dieser Punkt nicht wirklich erwähnt). Und fragt bitte nicht nach "Welches Programm genau meinst du" sondern "Kenne kein Programm" oder "Ja, bei Programm xyz stehen hinweise dabei".

 

[TorenAltair]

Ich als Laie bin der Meinung, man kann im nachhinein gar nicht erkennen, ob so etwas in einem Passwort vorkommt oder nicht

Richtig. Aber wenn jemand Brute Force versucht, nimmt er ggf nur Kleinbuchstaben zuerst oder nur 1. Buchstabe gross

 

[H3rby]

Völlig richtig, dass man es nicht erkennen kann. Aber man kann es ja auch nicht ausschließen.

Bspw.: aa kann auch Aa oder aA oder AA sein. Kann man nicht erkennen, also muss man alle 4 Varianten ausprobieren. Und genau so funktioniert Brute Force.

Vielleicht mal mit der "Bibliothek mit allen Variationen von Zeichen" beschäftigen. ^^

 

[xxMuahdibxx]

Der Angreifer weiß im normalen fall gar nichts über dein Passwort... Dessen Länge oder was genutzt wird...

Wenn es verschlüsselt übertragen wird..

Ansonsten braucht er Informationen über dich... Name.. Geburtstag u.s.w..

Brute force geht aber nicht gleich von komplizierten Passwörtern aus sondern arbeitet listen ab bevor es mit kryptischen Zeichenfolgen arbeitet..


Liste abarbeiten in 20 Sekunden
Nur Zahlen in 10 Minuten
Nur Buchstaben in 10 Stunden
Alles gemischt 10 Tage.
Zeiten nicht wahrheitsgemäß des Schwierigkeitsgrad nur geschätzt.


Wie würdest du anfangen zu suchen?

 

[ugul]

Ich würde erstmal die Liste bekannter Passwörter durchgehen, danach Brute Force bis 8/12 Zeichen (geht ja halbwegs schnell).
Ich habe gelesen, das es wohl was spezielles mit KI gibt, das nochmal die benötigte Zeit um die Hälfte reduziert.

Aber ich glaube, die Frage wurde schon beantwortet. Man kann es nicht erkennen.

Danke für die Antworten

 

[Blutomen]

Wie schon geschrieben, mit einem klassischen Brute Force gehen die wenigsten vor.
Es ist erstmal einfacher, die Listen mit bekannten Passwörtern durchzurattern. Die sind meistens auch gerankt, also wie oft welches PW mal trifft.

Allein solche Listen bekommst du mit mehreren Millionen an Einträgen.

Gegen klassisches Brute Force sind zudem auch die meisten Anwendungen/Systeme in der Form abgesichert, dass sie dich dann raushauen und sperren. Bei einem Offline-Gerät, bei dem evtl. dieser Schutz noch irgendwie deaktiviert wurde, hilft das natürlich nicht viel.

Da kann man später auch noch das klassische Brute Force .. Wörterbuch, dann Buchstaben, Zahlen, Sonderzeichen durchgehen, mit immer mehr Stellen. Die Kosten steigen dadurch halt nur immer weiter an.

 

[TheZonk88]

die Listen

https://xkcd.com/936/

 

[ugul]

Ich glaube immer an diesen Comic hier

 

[xxMuahdibxx]

Ich eher an Phishing als an den Comic...

Bekommt man genug heraus.

 

[n/a]

Es gibt Metriken, um die Stärke/Entropie von Passwörtern zu ermitteln

Hier zwei Links:

• https://www.passwordmonster.com
• https://bitwarden.com/password-strength/

(Zum Beispiel ist 123456789 nicht sicher, obwohl es lang ist)

Als Faustregel gilt ... dein Passwort sollte für Menschen wie Zeichensalat aussehen

Ergänzung (9. Juli 2025)

Gibt es eine Möglichkeit zu erkennen, ob eine dieser Eigenschafen (Klein/Großbuchstaben, Zahlen, Sonderzeichen) nicht im Passwort vorhanden ist und man deshalb beim Brute Force darauf verzichten kann?

Nein, gibt es nicht, aber dein Passwort wäre leichter zu erraten

 

[yxcvb]

Als Faustregel gilt ... dein Passwort sollte für Menschen wie Zeichensalat aussehen

Und genau das ist absoluter Unsinn. Wen ein Mensch das Passwort knacken will, ja, dann hilft das. Aber für einen Computer sieht ein einfaches Wort genauso aus wie eine zusammengewürfelte Menge von Alphanumerischen und Sonderzeichen.

Auch der Quatsch mit "Denke dir ein Sprichwort aus, und nimm den ersten (zweiten, dritten...) Buchstaben als Passwort", funktioniert genauso wenig - hinter diesem Wort, das für einen Menschen unsinnig ist, steckt ein Algorithmus und ist für einen Computer leicht zu finden.

 

[LieberNetterFlo]

Ich glaube immer an diesen Comic hier
Anhang anzeigen 1636252

"Hello, this is your IT service. There is a problem with you PC. We need your password to check if it is not leaked."

 

[Smily]

Zu deiner Frage:
Manche Zugänge haben gewisse Anforderungen. Wenn ich ein Passwort wirklich bruteforcen würde, dann würde ich mir ansehen, wie sind die Mindestanforderungen.
Nur Groß- und Kleinschreibung? Dann würde ich auch nur das bruteforcen. Weil, die Leute werden "passwort" eingeben, dann steht da "Großbuchstabe fehlt" und sie werden "passworT" daraus machen. Und keine Zahlen, Sonderzeichen, weil die Mindestanforderung erfordert das nicht.
Und ich würde Wörterbücher abarbeiten, und nicht alle Kombinationen.
Und damit eben die Leute knacken, die Passwörter sich wirklich noch selbst ausdenken und merken. Und nicht die, die einen Passwortsafe haben
Also computerbase123 hole ich mir, aber auf Leute mit 6X3B"i=/xTzJVVgWj?I8 verzichte ich.

Etwas OT:
Ich glaube, Brutefoce Attacken sind so gut wie tot. Jedenfalls, wenn du nicht gerade ein Spion bist oder ein Atomkraftwerk besitzt. Also etwas, wo jemand sagt, ich will das eine Passwort unbedingt haben.
Der typische Kapuzen-Pulli-Hacker, der im dunklen Raum sitzt und Leute hackt. Das haben die Leute im Kopf, Bruteforce auch, und natürlich Viren. Aber auch Viren sind tot. Sie sind sehr aufwendig zu programmieren, bis man eine Windows 11 Lücke gefunden hat und einen Weg diese auszunutzen, dafür braucht es gute Programmierer, Zeit und damit massig Kohle.
Und dann ... am nächsten Tag haut Microsoft einen Patch oder ein Defender Update raus, und die ganze Arbeit ist fürn Ar**** .
Die System werden immer sicherer, sind ständig online und bekommen Updates. Dazu klappt Brutefoce nur, wenn das System unendlich viele Anfragen pro Sekunde durchlässt. Und sogar meine Fritzbox sperrt sich selbst, wenn ich das Passwort 5x falsch eingebe für 2 Minuten.
Ich sage nicht, es gibt sie nicht mehr, aber keiner hat mehr Bock drauf, es ist wirtschaftlich unsinnig.

Was aber seit immer gleich geblieben ist, und nie gepatcht wurde, ist die Dummheit der Leute vorm PC.
Eine Spam Mail mit

"Hello, this is your IT service. There is a problem with you PC. We need your password to check if it is not leaked."

an 10.000 Adressen senden kostet quasi nichts. Weiß nicht wie viel, aber ein Programmierer, der Windows 11 knacken kann, hat das als Stundenlohn. Dazu ne Webseite, die aussieht wie die Sparkasse, Paypal, web.de usw., da finden sich massig Leute hier im Forum, die sowas an einem Vormittag zusammen programmieren können. Und mit ChatGPT kanns jeder. Davon hab ich unzählige jeden Tag in unseren Spam Filtern.

Am besten nehme ich Mail Konten. Erstmal das Kennwort davon ändern und den Benutzer aussperren.
Denn dann kann ich alle damit verknüpften Konten auch knacken. Ich muss nur schauen, wo derjenige immer bestellt, Nachrichten erhält usw. Und da gehe ich hin, klicke überall "Passwort vergessen" an und bekomme einen Mail zum Passwort zurücksetzen. 🤷‍♂️

 

[n/a]

Ich glaube, Brutefoce Attacken sind so gut wie tot. Jedenfalls, wenn du nicht gerade ein Spion bist oder ein Atomkraftwerk besitzt. Also etwas, wo jemand sagt, ich will das eine Passwort unbedingt haben.
Der typische Kapuzen-Pulli-Hacker, der im dunklen Raum sitzt und Leute hackt. Das haben die Leute im Kopf, Bruteforce auch

Exakt so ist es... Glaube, viele haben zu viele Serien gesehen...

"Bruteforce" kommt eigentlich nur noch zum Einsatz, wenn eine Hash-Datenbank bekannt geworden ist - aber auch dann würde man mit Regenbogentabellen suchen

Aber dennoch habe ich zumindest ein gutes Gefühl, wenn mein Passwort 44q&Je*$LN&fE ist

 

[onemaster]

ich frage mich immer schon was für einen Sinn BruteForce hat wenn man sich in einen Account hacken will. Je nach Seite dauert es ja immer wenige Sekunden bis die Anmeldung durch ist oder sagt falsche Daten. Dann muss man kurz warten und das nochmal versuchen. Zudem hat man auf vielen Seiten nur eine begrenzte Anzahl von Login Versuchen und muss dann warten. Und danach werden die Zeiten immer länger oder der Zugang wird gleich ganz gesperrt. Also zumindest da ist es sinnlos.
Das würde maximal bei geklauten passwortgeschützten Archiven Sinn ergeben.

Ein "gutes" Passwort inkl 2FA oder Passkey und man ist sicher. Zu 99,9%. Wenn der 2. Faktor eine SMS ist die es immer noch oft gibt kann der zwar abgefangen werden, aber dennoch besser als nichts. In der Regel passiert ja auch nichts.

Deswegen sind Phishingmails eben auch eine Plage, das macht für die Sinn.

 

[xxMuahdibxx]

@onemaster wenn man nur an Webseiten denkt..ja

Denkt man an Festplatten Container sieht es anders aus.

 

[onemaster]

Das meinte ich mit Passwort geschützten Archiven.