VeraCrypt-Verschlüsselung testen

[Darkman.X]

Weil es die Anzahl der benötigten Versuche erhöht, wenn man bei einem 10-stelligen Passwort (deine Beispiele) per Brutforce alle Zeichen-Kombinationen durchgehen will:

2#H?$6s/8)	= 109* Hoch 10 =	236.736.367.459.211.723.401 mögliche Kombinationen.​
gk46l039fi	= 62** Hoch 10 =	839.299.365.868.340.224 mögliche Kombinationen.​
2958406849	= 10*** Hoch 10 =	10.000.000.000 mögliche Kombinationen.​

* = 26 Kleinbuchstaben + 26 Großbuchstaben + 10 Ziffern (0 bis 9) + 39 Sonderzeichen + 8 deutsche Umlaute und das Eszett in jeweils groß und klein = 109 mögliche Zeichen pro Passwort-Stelle.
** = 26 Kleinbuchstaben + 26 Großbuchstaben (falls die auch genutzt werden) + 10 Ziffern (0 bis 9) = 62 mögliche Zeichen pro Passwort-Stelle.
*** = 10 Ziffern (0 bis 9) = 10 mögliche Zeichen pro Passwort-Stelle.

Aber Sonderzeichen sind nicht zwingend notwendig. Mit einer gewissen Länge sind auch z.B. nur Groß- und Kleinbuchstaben sicher genug, was man auch z.B. bei "Diceware" in Form von Wörtern macht. Außerdem wird je nach Programm die Bruteforce-Geschwindigkeit zusätzlich über bestimmte Techniken ("Schlüsselstreckung" [deutsch] bzw. "key stretching" [englisch]) stark reduzieren.


(Die Tabelle oben ist jetzt natürlich nur vereinfacht gerechnet. Einerseits wird man beim Brutforce nicht alle Kombinationen durchgehen müssen. Keine Ahnung was ein realistischer Wert ist? Nur 50%? 33%?
Andereseits wird es mit SALT etwas umfangreicher / schwieriger für den Angreifer.)

 

[gymfan]

Weil es die Anzahl der benötigten Versuche erhöht, wenn man bei einem 10-stelligen Passwort (deine Beispiele) per Brutforce alle Zeichen-Kombinationen durchgehen will:

Nur dass ein Angreifer nicht weiss, ob der Anwender nur Zahlen oder auch andere, vom System akzeptierte Zeichen genutzt hat.

Wenn die Brutforce-Methode nicht zunächst alle Zahlenkombinationen testet, danach alle Kombis aus Zahlen und Buchstaben und erst danach die Sonderzeichen einbezieht, dürfte das relativ egal sein.

Genauso kommen beim Brutforce-Test die kürzeren Kombination dazu, falls das System nicht zwingend mind. 10 Zeichen verlangt.

 

[Marco01_809]

Wenn die Brutforce-Methode nicht zunächst alle Zahlenkombinationen testet, danach alle Kombis aus Zahlen und Buchstaben und erst danach die Sonderzeichen einbezieht, dürfte das relativ egal sein.

Genau das tut sie aber, sofern die Passwort-Anforderungen des Systems nicht schon genau bekannt sind. Niemand fängt sofort an mit irgendwelchen exotischen Sonderzeichen zu bruteforcen, wenn man 95% der Passwörter mit 0-9a-zA-Z knacken kann in einem tausendstel der Zeit.

Natürlich erreicht man den gleichen Sicherheitsgewinn indem man das Passwort einfach länger macht, statt Sonderzeichen einzufügen.

 

[Maitry]

Also kann man logischerweise auch die Sonderzeichen am Ende anfügen statt sie zu verteilen.Richtig
blödes Beispiel: 123456789 #&// wäre genauso sicher als wenn die Sonderzeichen verteilt wären: 1#23&45/67/89

Das Ding ist: Ersteres kann man sich u.U. leichter merken.

 

[gymfan]

Also kann man logischerweise auch die Sonderzeichen am Ende anfügen statt sie zu verteilen.

Wenn Du davon ausgehst, dass alle denkbaren BruteForce Algorithmen (oder schon nur die derzeit "üblichen", ich habe sie halt nie analysiert) genau so vorgehen wie von Marco01_809 beschrieben.

Wenn aber mal ein Schuft so dreist ist, die "123456789" aus einem Wörterbuch zu nehmen und mit einer endlichen Anzahl an Zeichen zu kombinieren, dann passt diese Theorie nicht mehr. Dass Dein Mix aus Zahlen und Sonderzeichen in einem Wörterbuch steht, halte ich persönlich für unwahrscheinlicher.