Wieso braucht ein Passwort Sonderzeichen?

[numenor]

rein vom Technischen her ist es natürlich besser mehr variablen bei gleicher Passwortlänge zu haben.
Jedes weitere Zeichen in der Länge erhöht die Sicherheit um ein vielfaches, vorrausgesetzt es werden keine Wörter oder Abfolgen etc. verwendet.

Aber da ist der Punkt wo man vom Mathematischen abstrahieren muss und den DAU betrachten muss.

Den "hallo" ist genauso leicht zu knacken wie "brasilien" oder "dampflokomotive", wenn man eine Wörterbuch verwendet.

Daher die großklein schreibung (wenn man den ersten buchstaben groß schreibt ist es halt relativ sinnlos) und die Sonderzeichen, denn ein gutes Wörterbuch für Passwörter mit Sonnderzeichen ist schwer zu finden und ist auch nur beschränkt nutzbar.
Denn solch ein Wörterbuch selber zu schreiben wäre irrsinn, daher benutzt man dort dann algoritmen wo man am anfang ende oder Wörter mit Sonderzeichen abtrennt oder im Web nach Wörtern mit Sonderzeichen sucht.

Letzendlich erhöhen solche Masßnahmen nicht die bei guter Passwortwahl mögliche Sicherheit, sondern eher das Mindestmaß an Sicherheit (ein einfaches Wörterbuch zu verwenden reicht nicht mehr aus). Die Benutzer sollen dazu gebracht werden ein Passwort zu wählen das nicht aus Wörtern oder folgen besteht.

Wenn man ein Passwortsystem für schlaue Benutzer möchte sind Passwörter bei dem klein und Gros und Sonderzeichen erlaubt sind aber nicht vorgeschrieben werden am besten.
So hat der angreifer auch nicht die Information es muss mindestens ein Sonderzeichen vorhanden sein etc. Jeder hat die Möglichkeit sich ein Passwort zu schaffen was er sich persöhnlich gut merken kann. Nur leider sind zu wenige Nutzer so schlau, als das man so ein System überall einführen sollte.

Daher finde ich den Kompromiss Sonderzeichen und Großschreibung vorzuschreiben akzeptabel, wenn Leute natürlich trotz dessen immer den ersten Buchstaben groß schreiben (das tuen leider wirklich sehr sehr viele), aber zumindest beim sonderzeichen sind dann viele kreativer, wodurch Wörterbücher wesentlich weniger Erfolgsversprechend sind.

Edit: Es scheint genügend Leute zu geben die Wörterbücher verwenden, immerhinn gibt es eine ganze Reihe die mit Sonderzeichen Kombinationen gefüllt mehre GB groß sind, zusätzlich durch den algorithmus ein 1234 ranhängen lasse ... Wohingegen ohne Sonderzeichen ein 100Mb Großes Wörterbuch meist bessere Ergebnisse liefert.

 

[kuddlmuddl]

Ich glaub es geht auch um den Abschreckungs-Effekt
Wenn deine Website bei der Anmeldung Sonderzeichen, Zahlen und Großbuchstaben verlangt (und meist ja zusätzlich auch eine Mindestlänge) kommt niemand auf die Idee da mit Wörterbüchern rumzuraten. Dass stattdessen eine erhöhung der Mindestlänge die Sonderzeichen überflüssig macht mag zwar stimmen aber wird sich ein Web-Entwickler nicht immer neu überlegne wollen. Der nutzt sicher irgend ein fertiges erprobtes Login-Skript was er in seine Website einsetzt - und das verlangt halt einfach alles

Außerdem ist die Gefahr bei "nur Buchstaben aber dafür mindestens 10 Zeichen", dass Leute einfach ZWEI normale Wörter die sich in einem Wörterbuch finden aneinander hängen. Dh ne Wörterbuchattacke wäre wieder erfolgreicher wenn man jedes Wort mit jedem kombiniert

Trotzdem sollte man immer bedenken, dass Passwortrater nicht blöd sind. Die werden sicherlich wenn Wörterbücher fehlgeschlagen sind nicht stupide brute-force anfangen sondern erstmal Wörterbücher mit fäufig verwendeten Sonderzeichen/Zahlen anhängen. Also zB Elefant123! oder Berlin12 was sicher auch oft zum Erfolg führt Schon vor Jahren hatte ich mal nen zip-pw-rater der sowas konnte gesehen

Die Frage is eh, wo man noch durch "raten" der Passwörter Erfolg haben sollte oder wo man sich die Mühe macht. Millionen Leute haben Trojaner-infizierte PCs wo man mit einem Keylogger einfach klartext mitlesen kann - und es gibt ständig Firmen die mal eben die kompeltten Kundendaten (Bankdaten oder auch Logins) versehentlich im Internet zugänglich machen.

 

[CD]

Und ich verspreche dir das auch "Leet" in der Liste der Passwörter steht, die eine Bruteforce Attacke durchgeht!

Naja es gibt kein eindeutiges "Leet", man kann z.B. nur einige Zeichen ersetzen (oder alle). Damit ergeben sich pro Wort schon mal etliche Möglichkeiten, sie in Leet zu schreiben. Aber wenn Brute-Force-Attacken auch sämtliche Abwandlungen eines Wortes mittels Leet durchgehn, dann bin ich natürlich eines besseren belehrt.

 

[PW-toXic]

wieso dann nicht folgende Warnung beim Passwort anbringen:
"Ihr Passwort braucht mindestens 8 zeichen, und darf bekannte wörter oder Zeichenfolgen nicht enthalten"
Als alternative zu Systemen, wo nur gewarnt wird, wenn man keine Sonderzeichen hat.

 

[ice-breaker]

Bruteforce ist nicht der Hauptgrund, denn Bruteforce auf eine Webseite ist sowieso sinnlos, nach einigen Fehleingaben wird die Webseite einfach keine Loginversuche von der IP mehr erlauben.
Der Hauptgrund heute ist dann einfach, dass durch diese Schikane die Nutzer nicht überall ihre gleichen Passwörter haben und nicht den Namen ihres Hundes oder das Geburtsdateum der Ehefrau nutzen können.

Woher soll ein System alle Wörter kennen? Von daher ist dein Vorschlag schon technisch nicht umsetzbar, PW-toXic. Zumal der Aufwand viel höher wäre als diese Schikanen beim der Regestrierung.

 

[numenor]

Die Frage ist halten sich Leute dran? Ich habs mal ausprobiert und zugegeben wenig repräsentativ:ei einem kleinen Forum für die Passwortwahl auf ein Passwort mit mindestens 10 Zeichen hingewiesen, mehr als die Hälfte waren weniger als 8 Zeichen lang.

Man muss bei der Passswortwahl anscheinden viele Leute dazu zwingen sichere Passwörter zu wählen. Bei sonderzeichen ist es ralativ einfach, ein Passwort ohne diese einfach abzulehen. Bei Wörtern wird es schon schwer da man die Passwörter mit einem Wörterbuch überprüfen müsste.

 

[PW-toXic]

solange nur deren account betroffen ist, ist das deren problem und nicht meins als Forumsbetreiber. Solange es hier nicht um sicherheitskritische Systeme geht reicht auch ein passwort mit 6 zeichen locker aus.
Es geht ja nur darum unter welchem namen man postet

 

[.mojo]

der TE hat vollkommen recht.
ein entsprechend langes ausschlieslich alphabetisches PW ist genauso sicher wie ein kürzeres das Sonderzeichen, Zahlen und Groß/'klein beachtet.

Das problem in der Umsetzung ist aber dass viele Anwendungen, Seiten oder sonstiges nicht nru eine minimallänge haben sondern auch eine maximale.
Bin mit einem 17-stelligen PW schon öfters mal abgewiesen worden weils zu lang sei.

 

[PW-toXic]

ein 10 stelliges passwort sollte für heute und mindestens die nächsten 5-10 Jahre mehr als ausreichend sein.
Wenn es sich um ein wirklich kritisches passwort handelt sind 15-20 nicht falsch.
Mit herkömmlichen und bekannten Mitteln sollte ein 10 stelliges Passwort aber nicht zu knacken sein. (Im context von remote logins wie forum.. server usw, wo die anzahl der versuche durch bruteforce schon durch die Bandbreite begrenzt sind)

 

[-=Renegade=-]

Ich hab hier irgendwo eine Tabelle rumliegen, keine Ahnung welche Quelle und sie ist auch schon ewig alt, aber sie sollte eigentlich recht schön die Unterschiede zeigen, die eine Software im Brute & Force Durchlauf benötigt. Das sich bei einer Wörterbuch Attacke das ganze natürlich nochmal zugunsten von Sonderzeichen verschiebt, wurde schon erörtert. Zudem darf man die Zeiten hier nicht als allgemeingültig sehen, sie dürften im Regelfall wohl bei gewissen Systemen schon deutlich darunter liegen.

Bei einem Testlauf im c't Magazin vor einiger Zeit wurden mit einem normalen GamerPC dank GPU Unterstützung ca. 1 Milliarde Hashes pro Sekunde berechnet. Ausgehend von einem 10 stelligen Passwort, das nur aus Sonderzeichen besteht:

26^10 = 141167095653376

benötigt die Berechnung aller dazugehörigen Hashes

141167,095653376 Sekunden, das entspricht ca 1,6 Tagen (wobei ein Passwort statistisch gesehen nach 50% der Zeit errechnet wird)

Gehen wir von ca. 90 Sonderzeichen aus, da wir eine sehr breite Auswahl haben:

90^10 = 34867844010000000000

Das ganze wiederum mit 1 Milliarde Hashes pro Sekunde entspricht
34867844010 Sekunden, was wiederum 403563 Tagen entspricht, ein nicht ganz unwesentlicher Unterschied.

Um eine ähnliche Sicherheit zu erreichen, benötige ich bei Kleinbuchstaben 14 Zeichen länge. (ohne der umständlichen Rechnung ergibt sich daraus 746643 Tage zur Berechnung, 13 Zeichen benötigen "nur" 28717 Tage)

Generell hab ich mich jetzt wohl ein bisschen verzettelt, ich wollte rein sagen, dass 10 Zeichen einmal sicher und einmal unsicher sein können.

Die Frage ist, in welche Richtung möchte ich gehen: Lange einfache Passwörter oder kurze komplizierte Passwörter. Wobei bei langen aber einfachen Passwörtern eben die Problematik der Wörterbuchattacken hinzukommen, die normale. lange Passwörter nochmals schneller berechnen.

Abschließend möchte ich sagen, das Sonderzeichen zur Erhöhung der Passwortsicherheit absolut ihre Berechtigung haben.


so long
Renegade

 

[PW-toXic]

Um eine ähnliche Sicherheit zu erreichen, benötige ich bei Kleinbuchstaben 14 Zeichen länge. (ohne der umständlichen Rechnung ergibt sich daraus 746643 Tage zur Berechnung, 13 Zeichen benötigen "nur" 28717 Tage)

Generell hab ich mich jetzt wohl ein bisschen verzettelt, ich wollte rein sagen, dass 10 Zeichen einmal sicher und einmal unsicher sein können.

Daher habe ich ja auch den Kontext hinzugezogen. Du kannst bei einem web login nicht so eine Bruteforce attacke durcziehn. Wenn es sich um das passwort eine verschlüsselten Datei handelt, dann zählt dies natürlich nichtmehr!
z.b. kannst du auch nicht einfach per Brutforce einen linux login hacken, weil der dir soviel versuche einfach nicht erlaubt

 

[supastar]

ISt doch auch alles egal.
Das größte Problem in manchen Firmen ist, dass sie jedes Quartal ein neues Passwort benötigen.
Dass sich dieses dann meist irgendwie aus dem Datum zusammensetzt und damit meist recht unsicher ist, steht doch von vornherein fest...

 

[-=Renegade=-]

Naja, wenn ich zB, wie es in Foren gängig ist, 3 Versuche in 15 Minuten habe, erübrigt sich jede Frage nach Passwortsicherheit, da selbst bei einem 3 Zeichen Passwort die Chance schon verschwindend gering ist

Im Regelfall sind jedoch Hashes die Hauptangriffsziele, da sie sich besonders effizient berechnen lassen, ohne das man es mitbekommt. Man benötigt ja nur einmal den Hash und muss nicht tausend Requests absetzen (und auch in einem Forum wird dein Passwort als Hash gespeichert)


so long

 

[PW-toXic]

da werf ich doch mal software und installationsabhängige salts in den raum
ein gutes forum hat sowas.

 

[pcw]

Ich werf mal generell die Frage in den Raum, warum Sonderzeichen eine Pflichteingabe sein sollten.

Denn wenn ich Sonderzeichen extra dem Pool der möglichen Werte hinzufüge, um die Anzahl der möglichen Passwörter zu erhöhen, ist es doch relativ sinnbefreit, wenn ich danach eine Restriktion aufstelle, die alle Passwörter ausschließt, die keine Sonderzeichen enthalten und so den Pool möglicher Passwörter künstlich wieder verkleiner.

Insofern spielt hier denke ich maximal die soziale Komponente mit rein, dass Leute explizit darauf hingewiesen werden sollen, den kompletten Rahmen möglicher Zeichenklassen auszuschöpfen, anstatt nur die gebräuchlichste Teilmenge zu verwenden.

Ob hier aber ein Verwendungszwang der richtige Weg ist, wage ich zu bezweifeln.

 

[Trainmaster]

Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern.

Schön dass du dieser Meinung bist. Jedoch bedarf es nicht einmal mathematischer Berechnungen um zu zeigen, dass deine Überlegung Unsinn ist.

Die Passwortsicherheit erhöht sich mit jedem zusätzlichen Zeichen weil damit die Anzahl möglicher Kombinationen steigt. Jedoch, und lies das bitte genau, sollte das Passwort eine gewisse Länge haben, um generell "sicher" zu sein. Ein Passwort mit der Länge von vier Zeichen kann in relativer kurzer Zeit mit Bruteforce geknackt werden bzw. dafür eine Rainbowtable erstellt werden. Das heißt: ein kurzes Passwort mit Sonderzeichen ist nur unwesentlich sicherer als eines ohne Sonderzeichen.

damit es sicher ist.

Du verstehst hier, glaub ich zumindest, etwas falsch. Sonderzeichen machen dass Passwort nicht erst allgemein sicher, sondern sicherer (weil eben mehr Kombinationen möglich sind).

Wie du richtig erkannt hast, ist die Länge des Passworts bedeutender. Schlussendlich ist es die gesunde Mischung aus einem ausreichend langen Passwort (bspw. 15-20 Zeichen) und möglichst vielen erlaubten Zeichen, also zusätzlich zu den Buchstaben die Sonderzeichen.

und darf bekannte wörter oder Zeichenfolgen nicht enthalten

Ehm ja, dann definier mal bitte "bekannte wörter/zeichenfolgen". Darunter versteht wohl jeder etwas anderes ... Hingegen ist "sonderzeichen müssen verwendet werden" eindeutig!

Du kannst bei einem web login nicht so eine Bruteforce attacke durcziehn.

Wer macht denn sowas? Gehackte Datenbanken sind viel interessanter.

 

[PW-toXic]

Schön dass du dieser Meinung bist. Jedoch bedarf es nicht einmal mathematischer Berechnungen um zu zeigen, dass deine Überlegung Unsinn ist.

Wieso antwortest du auf einen thread, wenn du nichteinmal das erste Threadposting durchliest?
Zwei Sachen:
1) Du begründest deine Aussage mit einer mathematischen Berechnung/Überlegung und behauptest dies nicht zu tun -> ???
2) Meine Begründung für meine getroffene Aussage beruht auf dem Wesen des Menschens.
Ich wiederhole mich kurz: Mensch kann sich Passwort mit Sonderzeichen schwerer merken -> er schreibt es sich auf anstatt es sich zu merken.

Diese Annahme darfst du gerne anfechten und ich kann sie nur schwer verteidigen.
Das was du tust ist leider Schwachsinn.


Und bitte hör auf Teile von Sätzen von mir vollkommen aus dem Kontext zu zitieren. Mein "damit es sicherer ist" bezieht sich auf die Aussage von vielen Systemen, die erst ein Passwort als sicher markieren, sobald ein Sonderzeichen enthalten ist - vollkommen unabhängig von der Länge des Passworts.



Technisch hast du die Materie sicher gut verstanden, aber an der Pisa Lesekompetenz sowie sozialer Kompetenz fehlt es leider. (Ich weiss dass ich mich schon wieder selbst auf dieses Niveau mit reinziehn hab lassen )

 

[Trainmaster]

Bevor du hier mit PISA und Lesekompetenz um dich wirfst, solltest du mal genauer Lesen. Ich stelle eine mathematische Überlegung an, richtig, jedoch keine Berechnung. Das ist ein Unterschied.

Und was den Rest anbelangt: Sehr wohl habe ich jeden deiner Beträge komplett gelesen. Wenn du nun mal eingangs die These

Ich sehe das vollkommen anders. Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern

formulierst, sehe ich mich gezwungen, darauf zu antworten. Und ich zitiere gerne weiter:

Es ist also SCHEISS EGAL ob man Sonderzeichen oder Groß und Kleinschreibung verwendet für die Sicherheit des Passworts! Einzig allein die LÄNGE des Passworts ist entscheidend.

Ja, sehr sinnvoll. Damit ist folgendes Passwort sicher: "111111111111111111111111111" ? Wohl eher nicht. Es ist demnach nicht "scheiß egal", ob man Sonderzeichen oder Groß-/Kleinschreibung verwendet. Die Länge des Passwortes ist wichtig, aber nicht einzig und allein entscheidend.

Deine Annahme, dass sich Menschen Passwörter mit Sonderzeichen schwerer merken können, will ich gar nicht anfechten. Damit liegst du vollkommen richtig.

in eine Textdatei oder auf einem Zettel Papier

Jawohl, das ist in der Tat ein gängiges Konzept. Allerdings stehen auf solchen Zetteln/in solchen Textdateien oftmals auch simpelste Passwörter. Völlig gleich ob mit oder ohne Sonderzeichen, viele schreiben sich ihre, oftmals vielzähligen, Passwörter irgendwo auf. Aus dem Bekanntenkreis könnte ich da einige Beispiele nennen ... und nein, die verwenden keine Sonderzeichen in Passwörtern. Buchstaben und Zahlenkombinationen mit Groß-/Kleinschreibung überfordern die Meisten schon. Ehrlich gesagt, wo ich jetzt deine Überlegung so richtig verstanden habe, muss mein OnlineBanking über HBCI total unsicher sein. Schließlich liegt irgendwo hier im Haus ein Brief mit sensiblen Daten ...

 

[PW-toXic]

so einmal noch auf dem Niveau, und dann war das genug forum rumgetrolle für mich heut

Zieh nicht andauernd irgendwelche Zitate von mir vollkommen aus dem Kontext heraus. Ich habe deutlich formuliert, dass ich die Annahme treffe, dass die Zeichen zufällig gewählt worden sind.
Ich zitiere mich selbst:

Ich verstehe die Passwortsicherheit äquivalent zu der Anzahl der Möglichkeiten des Passwort unter der Annahme, dass die Ziffern zufällig aus dem Pool der Möglichkeiten gewählt worden sind. Ist diese Annahme richtig?

Desweiteren bezieht sich mein "SCHEISS EGAL" auf die berechnete Tatsache a = 1.4 * b, was ich physikalisch grob auf ein a = b reduziert habe. Das darfst du gerne anfechten.

Zu Zettel und Papier: Mein Bankberater hat Seine Passwörter in seinem Büro in einer Schublade liegen, weil er seine 10-20 Passwörter mit Sonderzeichen alle 2 Monate ändern muss. Es tut mir Leid dass ich nicht jeden Gedankengang vollständig ausgeführt habe. Das hätte leider dazu geführt, dass der Thread ca 10 mal so lang geworden wäre. Ich habe fälschlicherweise auf die Kreativität meiner Leser gesetzt.



So und zum Schluss noch einen Tipp an dich: Versuch langsam erwachsen zu werden, und nicht dauernd sobald du vermeindlich irgendwelche Fehler entdeckt hast anggressiv Leuten unter die Nase zu schieben dass sie keine Ahnung haben und überhaupt nichts verstanden haben. Anstattdessen könntest du versuchen dich sinnvoll in die Diskussion einzubringen und neue Denkanstöße hinzufügen, anstatt vermeintliche Denkfehler anzuprangern. Wenn man so etwas schon tut (was man eh nicht tun sollte), dann sollte man doch bitte auch 100% im Recht sein, und das konnte ich hier merfach wiederlegen. (Ich weiss dass du das auch wieder anzweifeln wirst).
In der Schule im Fach Deutsch wird einem verzweifelt versucht beizubringen wie man eine Diskussion führt. Leider erfolglos wenn man sich so durch deutsche Foren liest.

So und nun is für mich Schluss mit dem rumtrollen. Leider lass ich mich da als Spiele nerd immer mit reinziehn Aber vielleicht konnte ich ja jemanden bekehren
</TrollPost>

 

[Trainmaster]

Zu Zettel und Papier: Mein Bankberater hat Seine Passwörter in seinem Büro in einer Schublade liegen, weil er seine 10-20 Passwörter mit Sonderzeichen alle 2 Monate ändern muss. Es tut mir Leid dass ich nicht jeden Gedankengang vollständig ausgeführt habe. Das hätte leider dazu geführt, dass der Thread ca 10 mal so lang geworden wäre. Ich habe fälschlicherweise auf die Kreativität meiner Leser gesetzt.>

Ebenso könnte ich Personen nennen, die sich Passwörter auf einen Zettel aufschreiben, welche keine Sonderzeichen enthalten. Wie oft sehe ich irgendwelche einfachen Namen mit angehängten Zahlen auf Zetteln stehen... Allein die Menge der verschiedenen Passwörter führt dazu, dass sich Menschen Passwörter aufschreiben. Aus diesem Grund sollten Passwörter mit Sonderzeichen nicht gleich als unsicherer gelten, nur weil man eher dazu neigt, sie aufzuschreiben. Klingt jetzt etwas blöd, aber ich merke mir tatsächlich Passwörter mit Sonderzeichen ... allerdings wechseln die nicht ständig. Das muss wohl ein Fall sein, bei dem Sonderzeichen die Passwortsicherheit verbessert, richtig

Und zum Abschluss ein Zitat

Ein Großteil der Menschen speichert sowas nämlich irgendwo in eine Textdatei oder auf einem Zettel Papier, der in keinster weise irgendwie speziell gesichert ist.

Du nimmst an, dass der Zettel/die Textdatei nicht gesichert ist. Ob es tatsächlich bei jedem so ist? Bei deinem Bankberater mag es zutreffen. Jemand anders arbeitet evtl. mit Verschlüsselung.

Und eines wollen wir zum Schluss festhalten. Die Sicherheit des Passwortes selbst wird durch Sonderzeichen im jeden Falle erhöht. Der unsichere Faktor im System ist der Mensch. Sei es, dass er sich das Passwort auf einen Zettel schreibt, der leicht zugänglich ist oder auf einem USB-Stick in einer Word-Datei abspeichert. Aber selbst wenn sich der Mensch alles merken würde: Eine gewisse Unsicherheit ist immer mit im Spiel. Stichwort Folter, Erpressbarkeit, Bestechlichkeit etc.