Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Warum sollten Passwörter bei Kryptografie lang und komplex sein?
Für den zweiten Fall: Wenn der Angreifer ein Teil des Passworts kennt, wird das effektive Passwort um den Teil kürzer. Dein Passwort wäre als nur noch 15 Zeichen lang anstatt 20.
Mich lässt das Thema einfach nicht los.
Ich habe mal die KI gefragt bez. eines Passworts wie z.B. von oben genannt +Qp00!qp999!QP00999+
Die KI ist der Meinung, dass Hashcat bei diesem Passwort sofort das "menschliche" Muster erkennt.
Das kann ich mir aber auch irgendwie nicht vorstellen... traue der KI nicht^^
Was nun genau der Wahrheit entspricht wissen wohl nur echte IT-Forensiker und Gott
Hashcat erkennt sowieso keine Muster, Hashcat kann man Muster für die Generierung von Passwörtern vorgeben, auf die Hashcat dann Hashes/Keys rechnet und probiert, ob diese zur gewünschten Kollision führen.
Ob Angreifer Regeln zur Mustergenierung haben, ist allenfalls fraglich. Aber BestPractice ist die Annahme, dass Angreifer in Masse immer schlauer sind als einzelne Entwickler und Anwender·innen. Entsprechend sollten die Regeln zum Generieren sicher Passwörter in der Art sein, dass menschliche Fehler minimiert sind. Folglich ist die Regel: Lass das Passwort zufällig generieren durch Tools wie genpw, einen gescheiten Passwortmanager oder mittlerweile halt Passkeys. KI ist keine Zufallsquelle und da die KI-Systeme unter Kontrolle Dritter sind muss auch ein so erzeugtes Passwort als kompromitiert gelten.
Wo KI als extrem potente Mustererkennung und - generierung helfen kann ist um Muster in Passwörtern zu erkennen. Ambitionierte Angreifern würde ich unterstellen, ihre Regelsätze für Hashcat entsprechend gut optimiert zu haben. Zumindest weiter als sowas hier: https://github.com/praetorian-inc/Hob0Rules
Naja. Bei den HRNGs gehts eigentlich genau darum echte Zufallszahlen erzeugen zu können und finden sich inzwischen auch in handelsüblichen CPUs (siehe RDRAND).
@andy_m4
Echter Zufall muss prinzipbedingt akausal sein.
Ansonsten verwechselt man nur "Ich kenne den Zusammenhang nicht" mit "Zufall".
Auch HRNG baut darauf, dass es für einen Menschen nicht möglich ist den Zusammenhang - also die Kausalität zu erkennen, weil eben die ein Wissen über die Kausalität des Ausgangswertes (mit aktueller Technik) nicht möglich ist.
@mchawk777 Der Begriff "Zufall" war historisch schon immer auf "nicht nachvollziehbar" runterbrechbar. Ein Würfelwurf gilt auch als Zufällig, obwohl mit wissen über Ausgangsposition und Krafteinwirkung zum Wurf mit wenig einfacher Mechanik das Ergebnis auch Berechnet werden kann. Man braucht nur "alle Parameter" und genau diese Anforderung ist eben nicht praktikabel zu erfüllen.
Echten Zufall im philosophischen Sinne kennen wir in der Realität erst seit der Quantenmechanik.
In so fern ist ein HRNG durchaus den Begriff "Zufall" würdig, vor allem, da hier, wie im Wiki erwähnt, teilweise sogar quantenmechanische Prozesse als Parameter genutzt werden, was die höchste Güte für die nicht-deterministische Erzeugung einen Zufallswert darstellt.
Kleiner Einwand: Bei quantenmechanischen Phänomenen gehen wir nach meinem Verständnis zwar davon aus, dass eine Vorhersagbarkeit unmöglich ist. Aber einen echten Beweis dafür gibt es - so wie ich es verstehe - nicht.
Technisch reicht das aber natürlich völlig aus. Bloß im philosophischen Sinne ist meines Wissens nicht unumstritten, ob es "Zufall" überhaupt gibt, auch wenn die Quantenmechanik wohl gute Argumente dafür liefert.
Tja, dann fang mal historisch nachvollziehbaren Belegen an.
Dass der dumme Volksmund ein "Ist das ein Zufall, dass wir uns in der Innenstadt treffen!" als "Zufall" bezeichnet ist klar.
Nur in der IT und der Zufallszahlenerzeugung muss man da genauer sein.
Reiner Zufall ist akausal.
Selbst auf der Quantenebene gibt es keinen Nachweis für akausale Vorgänge.
(Und jetzt bitte Theorien & Co nicht mit Nachweis verwechseln!)
Mehr gibt es dazu auch nicht zu sagen. 🤷♂️
Und damit vielleicht nicht existent. Wird wohl niemand definitiv beantworten können und daher ist es ungeeignet als Definition, weil wir dann über etwas philosophisches sprechen, was vielleicht gar nicht existiert. Was insbesondere für den technischen Anwendungszweck absolut sinnbefreit wäre.
Eine technisch sinnvollere Definition wäre möglicherweise eher: Zufall ist nach aktuellem Wissensstand nicht kausal vorherzusagen.
Auf quantenmechanische Phänomene trifft das eindeutig zu, und wenn sich das mal ändern sollte, dann würde es unser Verständnis von der Physik wohl gehörig auf den Kopf stellen. Insofern kann man diese Sachen durchaus und mit gutem Gewissen in der technischen Praxis als zufällig bezeichnen. Für die Erzeugung von kryptographisch sicheren Zufallszahlen in der IT reicht es absolut aus.
Wenn du sicher bist, dass dich niemand beobachtet und dass dein Würfel fair ist, dann kannst du sogar mit diesem theoretisch vorhersagbaren Experiment als einziger Entropiequelle kryptographisch sichere Zufallszahlen erzeugen.
