Mal wieder Passwortsicherheit

flintstones

Ensign
Registriert
Feb. 2011
Beiträge
182
Hallo,

ich habe mir existierende Threads angeschaut, auch und vor allem wie man ausrechnen kann, wie lange gebraucht wird um ein Passwort zu knacken (Länge hoch Zeichenarten).

Ich hätte mal eine konkrete Frage zu Wörterbuch-Attacken: Ist ein Passwort wie

!?Fuck$You

schwächer als

!?Abcd$Efg

Oder anders: Ist die Kombination von normalen Wörtern mit 'sichereren' Zeichenarten wie Großschreibung und Sonderzeichen schwächer als die Kombination von Sinnlos-Buchstabenreihen mit denselben?

Danke euch!
 
Nein, die Passwörter sind ähnlich sicher oder unsicher, je nach dem wie man es sehen will.
Man sollte dazu aber auch wissen, dass Passwörter heutzutage zusehends weniger geknackt werden. Sie werden einfach geklaut. Und dann ist die Stärke eines Passworts ziemlich egal.
Dann ist "Katze" genau so sicher wie "jehG7!?cZ18$".
 
Die beiden sind gleich "unsicher".

Je mehr Stellen, je mehr Möglichkeiten, desto sicherer. Wörter, die nicht im Wörterbuch stehen sind sicherer. Aber ein Passwort wie DasIstEinSehrLangerSatzDerSoBestimmtNichtImWörterbuchStehtUndWohlAuchSoReinLogischUndEinfachZuMerkenIstAberSchwerHerauszubekommenSeinKann ist zehn mal sicherer als !"§R$V23rv324 einfach weil der Aufwand trotz einfacher Groß- und Kleinbuchstaben extrem hoch ist.

Anzahl Möglichkeiten = Anzahl ZeichenLänge
 
Wichtig ist eben, dass du verschiedene Passwörter benutzt.
 
Ich hab da auch mal eine Frage zu.
Woher soll Bruteforce wissen, welche Zeichen ich benutze oder eben auch nicht?
wird aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa vor #### getestet?
Wird aaaaa vor #### getestet?
Ist ein Passwort "sicherer", wenn man mehr Zeichen benutzt, oder reicht es schon, wenn mehr Zeichen erlaubt (!!!) sind?
Afaik ist Bruteforce ja die absolute Holzhammermethode, in der Stur alle Möglichkeiten ausprobiert werden. Nur im Gegensatz zum Zahlenschloss sollten doch die Länge und die Art der verwendeten Zeichen für den Angreifer nicht offensichtlich sein, oder?

Irgendwie weiger ich mich, die klassische Möglichkeitsberechnung auf Basis der verwendeten Zeichen zu akzeptieren.
 
Du hast das eigentlich schon richtig erkannt!
Wenn man beim bruteforcen die Länge des Passwortes nicht kennt, dann hat man ein noch schlimmeres Effizienzproblem als man ohnehin schon hat.
Wenn die Maximallänge vorgegeben und bekannt ist, dann hilft es ein wenig und noch besser ist es, wenn man die exakte Länge kennt.
Denn es gilt durchaus die klassische Berechnung auf Basis der Anzahl der möglichen Zeichen.
Man muss alle möglichen Kombinationen durchgehen und wenn man sich mal auf Kleinbuchstaben und acht Zeichen für ein Beispiel beschränkt, dann gehts mit a los und es werden dann immer mehr Stellen dazu genommen. Irgendwann hat man das Passwort, im schlimmsten Fall ist es zzzzzzzz und das dauert dann an längsten. Bis dahin hat man 26^8 = 208.827.064.576 Kombinationen probiert.
Was man jetzt zuerst probiert und was zuletzt, das sind Fragen die man sich bei der Optimierung der Bruteforce Algorithmen stellen kann/muss, aber eine Pauschalantwort gibt es darauf wohl nicht.
 
DunklerRabe schrieb:
. Irgendwann hat man das Passwort, im schlimmsten Fall ist es zzzzzzzz und das dauert dann an längsten. Bis dahin hat man 26^8 = 208.827.064.576 Kombinationen probiert.

Bist du dir absolut sicher, dass bis dahin nur 26^8 Kombinationen getestet wurden?
Da hätte man ja von Anfang an Großbuchstaben und Sonderzeichen ausgeschlossen. Kann man sich das leisten, wenn man nicht weiß, wie lang das Passwort tatsächlich ist?
Warum sollten vor zzzzzzzz nicht vorher 6-stellige Passwörter wie #*6Ab? getestet werden?
 
Das ist ja nur ein Beispiel! Wenn man Großbuchstaben und Sonderzeichen einschliesst hat man (52+Sonderzeichen)^8.

Und natürlich werden sechsstellige Passwörter in dem Beispiel vorher getestet. Daher ist zzzzzzzz ja die letzte Kombination mit der Nummer 208.827.064.576.
Die ganzen sechsstelligen Kombinationen liegen im Bereich vor 308.915.776 (das wäre zzzzzz).
 
DunklerRabe schrieb:
Das ist ja nur ein Beispiel! Wenn man Großbuchstaben und Sonderzeichen einschliesst hat man (52+Sonderzeichen)^8.
Genau darauf wollte ich hinaus. Ich verstehe die "klassische" Berechnung der Möglichkeiten nicht.

Computerkäseblätter:
aaaaa: 26^5
#xA#s: (52+Sonderzeichen)^5

nach meinem Verständins:
aaaaa: (52+Sonderzeichen)^4+1 (weil a das erste getestete 5. Zeichen sein sollte)
#xA#s: (52+Sonderzeichen)^5

edit: ich bin mir dessen bewusst, dass aaaaa kein brauchbares Passwort ist, nur bei einer wirklich stumpfen Bruteforceanwendung besser als #A?y ?

edit2: nochmal anders formuliert:
Bisher wird die Zahl der Möglichkeit ja von den verwendeten Zeichen abhängig gemacht.
Meiner Auffassung nach gilt das aber nur für das letzte Zeichen.
Liege ich damit richtig oder geht Bruteforce stur 256Zeichen lange Passwörter mit Kleinbuchstaben vor 8stelligen mit Sonderzeichen durch?
 
Zuletzt bearbeitet:
Sorry, ich versteh nich so recht was du meinst oder worauf du hinaus willst.
Natürlich hängt die Anzahl der Möglichkeiten der verschiedenen Kombinationen von der Menge der möglichen Zeichen sowie der Länge des Passwortes ab.
Und die Berechnung dafür ist "Anzahl der Möglichkeiten" = "Anzahl der möglichen Zeichen" ^ "Länge des Passworts".
 
Zuletzt bearbeitet:
geislpxs schrieb:
nach meinem Verständins:
aaaaa: (52+Sonderzeichen)^4+1 (weil a das erste getestete 5. Zeichen sein sollte)
#xA#s: (52+Sonderzeichen)^5

Streng genommen ja, wenn der Brute Force Algorithmus eben wirklich das Alphabet der Reihe nach durchgeht. Wenn das Programm aber zB mit e statt a anfängt weil e häufiger vorkommt oder weiß, dass nach einem a ganz besonders oft irgend ein anderer Buchstabe kommt, dann wäre es eben nicht mehr ^4+1.

Du wirfst glaube ich auch die Anzahl der Versuche bis man es geknackt hat mit der Anzahl der prinzipiellen Möglichkeiten durcheinander..

geislpxs schrieb:
edit: ich bin mir dessen bewusst, dass aaaaa kein brauchbares Passwort ist, nur bei einer wirklich stumpfen Bruteforceanwendung besser als #A?y ?

Siehe oben, kommt ganz auf den Algorithmus an. Generell ist die Länge aber mit das Wichtigste. Solange es nicht in irgend einer Wordlist auftaucht .. bei sowas wie aaaaa würde ich allerdings fast die Hand dafür ins Feuer legen, das sowas in vielen Wordlisten auftaucht. Wird wirklich nur stumpf gebruted wäre aaaaa aber tatsächlich erst nach #A?y geknackt. (Sofern man nicht erst nur Wörter aus normalen Buchstaben bis n Zeichen länge durchprobiert und dann erst Passwörter mit Sonderzeichen abklappert.)

geislpxs schrieb:
edit2: nochmal anders formuliert:
Bisher wird die Zahl der Möglichkeit ja von den verwendeten Zeichen abhängig gemacht.
Meiner Auffassung nach gilt das aber nur für das letzte Zeichen.

Man weiß aber nicht was das letzte Zeichen ist. Wenn du Pech hast und der Algorithmus fängt aus irgend einem Grund mit dem von dir genannten "#A?y" an, dann hat er das PW auch beim ersten und nicht beim (Größenordnung) x^4 -ten Versuch.

Ich hoffe das beseitigt alle Klarheiten und wie zu allem gibt es natürlich auch hier von XKCD was zum Thema passendes.. :evillol:
 
Zuletzt bearbeitet:
[o.0] schrieb:
Ich hoffe das beseitigt alle Klarheiten
Eigentlich eher nicht. Jetzt kann ich beruhigt davon ausgehen, dass das ganze Möglichkeitengquatsche der Computerexperten in TV, Printmagazinen und Internet schlicht Bullshit ist.
XKCD was zum Thema passendes.. :evillol:
Das kannte ich sogar schon ;)
Du wirfst glaube ich auch die Anzahl der Versuche bis man es geknackt hat mit der Anzahl der prinzipiellen Möglichkeiten durcheinander..
Da hast du recht. Wollte dadurch keine Verwirrung stiften. Die Zahl der Möglichkeiten ist bei aaaaa und #xA#s gleich.
 
Zurück
Oben