Wieso braucht ein Passwort Sonderzeichen?

[snow1]

Und ja ich sage als Pyhsiker sehr oft (natürlich Abhängig vom Kontext), dass wenn ich weiss, dass a = 1.4 *b, dass a = b ist. Beide Werte befinden sich ein der gleichen Größenordnung.
Eine Größenordnung in der Physik versteht mal als den Exponenten zur Basis 10.

Die Physiker wieder... Pi = 3, e = 2 und Epsilon = 0

Die 1.4 macht hier definitiv einen Unterschied, da es sich um den Exponenten handelt.

Denn:
26^10 = 10^14,15
26^14 = 10^19,81
und das macht dann beim Bruteforce definitiv einen Unterschied.

Wieso ich das mit den Passwörtern auch mache: Ob ich jetzt 10 oder 14 bzw. 6 oder 9 Zeichen verwende ist unerheblich, da das für den Menschen keine größere Anforderung ist sich eine aussprechbare Zeichenfolge von 6 oder 9 Zeichen zu merken.
Es ist allerdings erheblich, wenn man anstelle von 26 Ziffern 92 Ziffern hat, da man dadurch das passwort sich nichtmehr als aussprechbare Ziffernfolge merken kann.
Daher rührt auch meine Behauptung dass Sonderzeichen im Kontext des Menschen unsicherer ist als ohne.

Du musst ja dein Passwort nicht ausschließlich aus Sonderzeichen bauen. Im Endeffekt reicht ein einziges. Oder gar keins. Aber wenn Sonderzeichen zugelassen sind muss ein Bruteforce trotzdem alle durchprobieren.

Ich glaube es ist sinnlos zu lamentieren, ob nun ein 10-stelliges Passwort mit Sonderzeichen oder ein 14-stelliges Passwort mit Kleinbuchstaben besser ist. Der Punkt ist halt, dass bei letzterem die Leute dazu neigen einfache Wörter zu verwenden. Und da wären wir wieder bei den Wörterbüchern und Rainbowtables.

Klar kannst du argumentieren, dass man checken kann, ob Google das Wort kennt. Aber einerseits hängen nicht alle Systeme am Internet und andererseits muss man dann sich wieder so verrenken, dass du gleich was mit Sonderzeichen nehmen kannst....

 

[Trainmaster]

Deine Kritik ist berechtigt, aber bitte behaupte nicht, dass du meine Aussage per Beispiel wiederlegt hast. Nur weil du einen Fall von sehr vielen nennst, der prinzipiell Möglich ist, hast du noch lange nichts bewiesen oder wiederlegt.Wenn du meine Aussage wiederlegen willst, dann musst du schon eine wissenschaftlich psychologische Untersuchung leisten.

Ich wiederhole mich ungern, aber: natürlich kann ich mit einem Beispiel deine Theorie widerlegen. Genau in dem Falle, dass man sich ein Passwort mit Sonderzeichen merkt und nicht aufschreibt, was durchaus einige Menschen machen, ist deine allgemeine Annahme falsifiziert. Allein ein Beispiel kann deine Theorie widerlegen, sie besitzt demnach keine allgemeine Gültigkeit mehr. Genau aus diesem Grund solltest du deine Theorie umformulieren/überarbeiten.

edit: um deutilch zu machen wieso dein Beispiel das nicht wiederlegt:
Wir diskutieren hier ob es im allgemeinen, d.h. im Schnitt über alle user, die Passwörter sicherer macht, wenn man den User dazu auffordert Sonderzeichen einzufügen.

Korrekt. Und ich sage: ja. Ich kenne einfach zu viele Beispiele, bei denen Passwörter ohne Sonderzeichen gleichermaßen aufgeschrieben werden.

Ein wichtiges Ergebnis hat die Diskussion allerdings:
Mein 9 stelliges Passwort bestehend aus kleinen Buchstaben ist sicherer als ein Passwort, das nur 6 Zeichen lang ist und ein Sonderzeichen hat.

Ja, das mag ja schön und recht sein. Aber: Du solltest schon Passwörter mit gleicher Länge vergleichen. Ein Passwort mit 9 Zeichen und Sonderzeichen wäre definitiv sicherer. Was du da machst, ist ein Vergleich zwischen Äpfel und Birnen. Ein absolut schwaches Beispiel.

Wie Du siehst, sind 'hallo' und 'hallo1' nur an einer Stelle unterschiedlich. Dagegen sind die Hashes komplett anders.
Das wiederum heisst, dass man aus dem Hash für 'hallo' und dem Hash für '1' nicht auf Hash für 'hallo1' schließen kann. Und damit ist ein Wörterbuchangriff sinnlos geworden.

Hä? Wieso sollte ein Wörterbuchangriff damit sinnlos werden? Es ist lediglich aufwändiger und dauert länger. Umso länger das Passwort und umso größer die Anzahl möglicher Zeichen, desto eher steigt die Wahrscheinlichkeit, dass es ab einem gewissen Zeitpunkt wirtschaftlich nicht mehr tragbar/realisierbar ist solche Angriffe durchzuführen. Jedenfalls heutzutage.

 

[PW-toXic]

autsch.

Ich denk ich klink mich hier aus, weil ich bereits alles gesagt habe. Das wird voraussichtlich mein letzter Post zu dem Thema. Ich wiederhole mich sonst nur unnötig von Sachen die ich bereits deutlich ausformuliert habe.

Ich werde hier jetzt nicht verzweifelt versuchen jedem einzelnen die Begriffe Theorie, Beweis, Postulat und Annahme, Behauptung, Beispiele, Unendlichkeit etc erklären. Ich soll hier Sachen vergleichen wie es dem Author des Posts grad Recht ist, ohne dass es irgendeine plausible Erklärung dafür gibt.

Die gröbsten Fehler habe ich bereits mathematisch wiederlegt, aber langsam wird es mir einfach zu blöd und zeitaufwendig jedem einzelnen hier irgendwelche Grundlagen zu erklären, die man bei Wikipedia leicht nachlesen kann.


Azdak hat das ganze übrigends recht gut verstanden wie ich finde.


Ich wünsche euch noch viel Spass mit Systemen, wo man sich extra ein Passwort merken und aufschreiben muss, weil dort eine Sonderzeichenpflicht herrscht.
Amazon, Linux und Computerbase.de haben diese Pflicht Gottseidank nicht. Dort arbeiten scheinbar nur Bobs die keine Ahnung haben. (??)
Naja diese Anwendungen sind ja auch sicherheitskritischer als Daves Webseite.

 

[InfoStud84]

lol, bist du lächerlich. absolut nicht kritikfähig. warum stellst du hier eine frage, wenn du sowieso der meinung bist, dass nur du richtig liegst und jeder der hier was anderes behauptet dich angreifen würde.

don't feed the troll

 

[Mr. Snoot]

Ich wünsche euch noch viel Spass mit Systemen, wo man sich extra ein Passwort merken und aufschreiben muss, weil dort eine Sonderzeichenpflicht herrscht.

Solche Systeme mag ich auch nicht.

Zum Glück kann man i.d.R. seinen Benutzernamen frei wählen. Man stelle sich mal die Zeichenfolge "PW-toXic" vor. Groß- und Kleinschreibung gemischt, dann noch ein Sonderzeichen mittendrin; wer könnte sich so etwas überaus kompliziertes merken? Da muss man schon ein Genie sein

 

[PW-toXic]

gut dass der loginname unabhängig von der Groß und Kleinschreibung funktioniert

 

[Mr. Snoot]

Ja, aber ich denke mal, du weißt trotzdem was groß und klein ist

 

[PW-toXic]

das liegt wohl daran dass ich 10 passwörter hab, die auf diesen Namen gemapt sind
davon abgesehn seh ich das jeden tag auf meinem email konto, meinen sc2 account, meinem wc3 account, meinem wow account, meinem bnet account, meiner webseite, meiner clanwebseite ...

Denkbar schlechte Voraussetzungen für ein Passwort

 

[Mr. Snoot]

OK, dann bleib du besser bei Buchstaben

 

[Trainmaster]

Ich wünsche euch noch viel Spass mit Systemen, wo man sich extra ein Passwort merken und aufschreiben muss, weil dort eine Sonderzeichenpflicht herrscht.

Nur gut, dass du dir all zu oft selbst widersprichst. Merken und aufschreiben ... ja wenn man es sich merken kann, hat man deiner Theorie zu Folge gar kein Sicherheitsdilemma. Entschuldigung, aber entweder merke ich mir etwas oder ich schreibe es mir auf (weil ich es mir nicht merken kann).

Und was deine mathematischen "Beweise" angeht: Wieso zum Henker vergleichst du Passwörter mit und ohne Sonderzeichen bei unterschiedlicher Passwortlänge. Das macht jawohl gar keinen Sinn. Dann kann man natürlich behaupten, dass ein Passwort mit 15 Zeichen und nur Kleinbuchstaben sicherer ist, als ein Passwort mit 10 Zeichen, Groß-/Kleinschreibung und Sonderzeichen.

Anzahl möglicher Kombinationen:
15 Zeichen - Kleinbuchstaben = 1.68 x 10^21
10 Zeichen - Groß-/Kleinbuchstaben - Sonderzeichen (10 versch. Zeichen) - mind. 1 Sonderzeichen = 8.39 x 10^17 - 1.44 x 10^17 = 6.95 x 10^17

Folgerung: Das Kleinbuchstaben-Passwort ist sicherer.

Fairer Vergleich zum Vergleich der Passwortsicherheit:
15 Zeichen - Kleinbuchstaben = 1.68 x 10^21
15 Zeichen - Groß-/Kleinbuchstaben - Sonderzeichen (10 versch. Zeichen) - mind. 1 Sonderzeichen = 7.69 x 10^26 - 5.50 x 10^25 = 7.14 x 10^26

Folgerung: Das Passwort mit Groß-/Kleinschreibung und Sonderzeichen ist sicherer.

Amazon, Linux und Computerbase.de haben diese Pflicht Gottseidank nicht. Dort arbeiten scheinbar nur Bobs die keine Ahnung haben. (??)

Gegenfrage: Wieso sollte es generell den Betreiber interessieren, wie sicher der Benutzer sein Passwort wählt? Das hat rein gar nichts mir der Ahnung von den Betreibern zu tun. Dass andere wiederum bei der Wahl des Passwortes einige Dinge vorschreiben, halte ich hingegen nicht für verkehrt. Die meisten Normalverbraucher haben schlichtweg keine Ahnung von der Materie, so hart es klingen mag. Das Geschrei ist wiederum groß, wenn mal eine Datenbank auf welche Weise auch immer in die falsche Hände gerät und das eigene Benutzerkonto mit dem Passwort "test123" einer MD5-Rainbowtabelle zum Opfer fällt. Außerdem: Von Linux-Anwendern könnte man schon erwarten, einigermaßen "sichere" Passwörter zu wählen ...

 

[Kagee]

Es ist allerdings erheblich, wenn man anstelle von 26 Ziffern 92 Ziffern hat, da man dadurch das passwort sich nichtmehr als aussprechbare Ziffernfolge merken kann.
Daher rührt auch meine Behauptung dass Sonderzeichen im Kontext des Menschen unsicherer ist als ohne.

Ah, ich glaub ich verstehe was du meinst. Also wenn du das auf den Menschen beziehst stimme ich dir zu. Sonderzeichenpasswörter, welche aufgeschrieben werden sind auch ziemlich unsicher. Systeme, welche Sonderzeichen vorschreiben sind auch per se erst einmal unsicherer als andere, wie pcw schon ganz richtig schreibt, da von einem potentiellen Angreifen sehr viele Kombinationen ausgeschlossen werden können(unabhängig davon, wie er seine Attacke gestaltet).

Es bleibt glaube ich immer ein Abwägen. Menschen können sich bestimmte Sachen besser merken als andere. Z.b. für sie relevante Zahlenkombinationen (Hochzeitstag, Geburtstag etc.), ganze Sätze, Worte und so weiter. Genau dort setzen die Angreifer an und versuchen diese menschliche Gedächnisstärke auszunutzen. Das Vorschreiben von Passwortschemata hab aber denselben Effekt: Auch sie lassen sich als Angreifer ausnutzen, sei es durch Berücksichtigen der Passwortregeln oder suchen der Passwörter an nicht sicheren Orten.

Eine Vermutung meinerseits:
Die Ersteller oder Administratoren solcher Systeme versuchen die Anwender ein Stück weit zu erziehen. Wenn die Menschen ist irgendwann gewohnt sich "sichere" Passwörter zu vergeben, werden solche Passwortrestriktionen vielleicht irgendwann entfernt. Ich persönlich halte so etwas für Aussichtslos, aber andere haben da vielleicht mehr Mut

 

[Trainmaster]

Ah, ich glaub ich verstehe was du meinst. Also wenn du das auf den Menschen beziehst stimme ich dir zu. Sonderzeichenpasswörter, welche aufgeschrieben werden sind auch ziemlich unsicher. Systeme, welche Sonderzeichen vorschreiben sind auch per se erst einmal unsicherer als andere, wie pcw schon ganz richtig schreibt, da von einem potentiellen Angreifen sehr viele Kombinationen ausgeschlossen werden können

Richtig, es können Kombinationen ausgeschlossen werden, nämlich alle Kombinationen ohne Sonderzeichen, wenn Sonderzeichenpflicht herrscht. Aber schau dir meine obrige Rechnung an. Die Anzahl der Kombinationen steigt mit Hinzukommen von Sonderzeichen so dramatisch an, dass die ausschliessbaren Kombinationen kaum ins Gewicht fallen.

Ein Berechnung:

10 Zeichen / Kleinbuchstaben (26 Buchstaben) = 26^10 = 1.41 x 10^14
10 Zeichen / Kleinbuchstaben (26 Buchstaben) + Groß-/Kleinschreibung (zusätzlich 26 Zeichen ) + Sonderzeichen (zusätzlich 10 Zeichen) = 62^10 = 8.39 x 10^17

Auschließbare Kombinationen bei Sonderzeichenpflicht:
10 Zeichen / Kleinbuchstaben (26 Buchstaben) + Groß-/Kleinschreibung (zusätzlich 26 Zeichen ) = 52^10 = 1.45 x 10^17

Korrigierte Kombinationszahl:
62^10 - 52^10 = 6.95 x 10^17

-> 6.95 x 10^17 > 1.41 x 10^14

 

[Kagee]

Also man sollte definitiv ein System mit Sonderzeichenpflicht eines ohne Sonderzeichen vorziehen, da stimme ich dir vollkommen zu.

Optimal wäre aber ein System ohne Sonderzeichenpflicht, aber mit der Möglichkeit Sonderzeichen zu verwenden. Wenn man dann noch voraussetzt, dass alle Zeichen und Zeichenkombinationen gleichverteilt sind, hat man das Optimum heraus geholt.

Die Gleichverteilung lässt sich aber mit der menschlichen Psychologie nicht vereinen. Das wollte ich mit meinen vorherigen Post sagen.

 

[Loopo]

Eigentlich ist ein Passwort ausreichend, welches nicht gleich durch ein Wörterbuch in n Versuchen geknackt werden kann. Denn wenn das System, für welches das Passwort vorgesehen ist, per Bruteforce etc. attackiert werden kann, sollte man lieber erstmal die Sicherheit des Systems hinterfragen als das Passwort.

 

[Stefan_Sch]

Die Passwortstärke ist nur von zwei Faktoren abhängig, der Länge und der Entropie.

Daraus ergibt sich der Zusammenhang

h = L log2 W

Alles andere was der Threadersteller hier verzapft hat ist irrelevant!

 

[PW-toXic]

....
Ein Profi is schlauer als der nächste.

Wir haben hier doch jetzt über 4 Seiten diskutiert, wieso das sicher nicht das einzige Kriterium für die Passwortsicherheit ist.
Das Passwort "HalloWelt" hat zwar 9 Zeichen, ist aber bestimmt nicht so sicher wie gaefduhy, was nur 8 Zeichen hat.

Aber ich seh schon.. Ich bin hier im falschen Forum gelandet um so eine Diskussion anzuwerfen. Es melden sich zu viele Möchtegern Profis.

 

[PW-toXic]

Jo werd mal etwas präziser
Ich hab hier schon oft genug wo es möglich war per Beweis gezeigt, dass dies der Fall ist
In meinem letzten Post habe ich einen Beweis durch Gegenbeispiel geführt
Die genaueren Hintergründe dazu habe ich nicht erwähnt, da Sie in dem Thread in vollem Detail diskutiert worden sind.

Viel Erfolg bei deinem Versuch!

 

[InfoStud84]

Wir haben hier doch jetzt über 4 Seiten diskutiert, wieso das sicher nicht das einzige Kriterium für die Passwortsicherheit ist.

Hier wurde nicht diskutiert, sondern du hast versucht, deine Meinung zu verteidigen und dich auf gar keine (konstruktive) Diskussion eingelassen.

 

[PW-toXic]

Ach du ich brauch garnicht von der Physik auf die Informatik schliessen, weil es den Begriff (natürlich abgeleitet aus der Physik) mindestens genauso, wenn nicht sogar häufiger auch in der Informatik gibt.

Ich habe nur fälschlicherweise angenommen, dass du das Wort "Entropie" als Synonym für für die Anzahl der möglichen Zeichen pro Stelle im Passwort genommen hast, da das Wort Entropie hier in diesem Zusammenhang (Passwortstärke - Wörterbuchattacken) einfach falsch ist.

Den Begriff Entropie kann man im Zusammenhang mit Passwörtern in verschiedenen Blickwinkeln betrachten. Wenn man einfach nur das Wort Entropie in die Gegend wirft, dann geh ich davon aus, dass du damit meinst, dass die Entropie des Passwortes möglichst hoch ist.
z.B. hat das Passwort 11221122 eine relativ niedrige Entropie
Das Passwort HalloWelt hat aber eine viel höhere Entropie - ist aber garantiert unsicherer, weil es sogenannte Wörterbücher gibt.



Also was bitte erzählst du hier von Entropie? Ich bin echt (und das ohne Ironie) gespannt, wie du die Brücke zwischen Entropie und menschlich erfundenen Zeichenfolgen schlagen willst. Ich bin kein Experte für Entropie, aber von dem was ich gelernt hab, wäre das für mich durchaus etwas neues!

 

[Stefan_Sch]

Ich habe nur fälschlicherweise angenommen, dass du das Wort "Entropie" als Synonym für für die Anzahl der möglichen Zeichen pro Stelle im Passwort genommen hast, da das Wort Entropie hier in diesem Zusammenhang (Passwortstärke - Wörterbuchattacken) einfach falsch ist.

Interessant, was du alles so annimmst. Vielleicht solltest du weniger "annehmen" und dich mehr auf die Fachbegriffe konzentrieren.

Das soll doch eine Diskussion zwischen "Profis" sein. Die wolltest du doch haben, nicht wahr?

Ich bin kein Experte für Entropie!

Dann wird es Zeit das du einer wirst.

Ich bin der Meinung, dass Sonderzeichen die Passwortsicherheit erheblich verringern.

Allein schon für diesen Satz müsste es einen Satz heiße Ohren geben.

Ich empfehle dir dringend dich mit den Publikationen des NIST vertraut zu machen. Das National Institute of Standards and Technology (NIST) ist eine Bundesbehörde der Vereinigten Staaten und ist für Standardisierungsprozesse zuständig aus denen unter anderen die Verschlüsselungsalgorithmus DES wie auch AES hervorgegangen sind.

Da arbeiten Mathematiker und Kryptologen, die im Gegensatz zu dir wissen, wovon sie sprechen bzw. schreiben.

Anfangen kannst du mit dem Paper "INFORMATION SECURITY"

http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf

und Appendix A.

Appendix A: Estimating Password Entropy and Strength

Claude Shannon coined the use of the term “entropy” in information theory. The concept has many applications to information theory and communications and Shannon also applied it to express the amount of actual information in English text. Shannon says, “The entropy is a statistical parameter which measures in a certain sense, how much information is produced on the average for each letter of a text in the language. If the language is translated into binary digits (0 or 1) in the most efficient way, the entropy H is the average number of binary digits required per letter of the original language.”

Entropy in this sense is at most only loosely related to the use of the term in thermodynamics. A mathematical definition of entropy in terms of the probability distribution function is:

H(X) := -Σ P(X=x) log2 P(X=x)

where P(X=x) is the probability that the variable X has the value x.

Shannon was interested in strings of ordinary English text and how many bits it would take to code them in the most efficient way possible. Since Shannon coined the term, “entropy” has been used in cryptography as a measure of the difficulty in guessing or determining a password or a key. Clearly the strongest key or password of a particular size is a truly random selection, and clearly, on average such a selection cannot be compressed. However it is far from clear that compression is the best measure for the strength of keys and passwords, and cryptographers have derived a number of alternative forms or definitions of entropy, including “guessing entropy” and “min-entropy.” As applied to a distribution of passwords the guessing entropy is, roughly speaking, an estimate of the average amount of work required to guess the password of a selected user, and the min-entropy is a measure of the difficulty of guessing the easiest single password to guess in the population.

[...]