Zyboarg schrieb:
Ist es also besser ein "einfaches" Passwort aus normalen Wörtern zu benutzen oder einen kryptischen Code so wie z.B. [[]|11|3/-\?£ (ComBase)
Ein Bsp. für ein "hacksichereres" Passwort wäre also z.B. "ComputerForenPasswortGenerator" ?
Diese Frage lässt sich so NICHT beantworten.
Dazu eine Vorabbemerkung: Passwörter werden nicht gebrochen, sondern umgangen. Daher ist die praktische Passwortsicherheit meist eine andere, als die theoretische, was meist vergessen oder komplett ausgeblendet wird. Die theoretische Sicherheit sagt also erstmal herzlich wenig.
Aus dieser Hinsicht muss man immer den Zusammenhang betrachten zwischen: Angreifer, Software/Hardware bzw. Implementierung, Nutzer VOR dem Rechner.
Mit Hinblick auf die ganze NSA-Geschichte der letzten Monate muss man erstmal festhalten, dass es fast keine Software/Hardware gibt, die man nicht angreifen kann. Es gibt wohl einige Programme/Mechanismen, die (wenn richtig benutzt) funktionieren, wie z.B. OTR-Messaging und PGP (wenn ich mich nicht irre).
Die sinnvollste Unterscheidung ist wohl die, nach Angreifer. Wer greift dich an? Die NSA? Die haben 0-days, die haben die Netzwerkkontrolle, die haben notfalls enorme bruteforce Kapazitäten, die haben ggf. Generalschlüssel bzw. Hintertüren in Software. Wenn du deine Passwortsicherheit gegen die NSA vergleichen willst, dann musst du zwingend die Sicherheit der Software/Hardware und Übertragungskette betrachten.
Betrachtest du einen Malware-Bot, der versucht, dein eMailkonto zu hacken, dann stellt sich ebenfalls die Frage nach der Sicherheit der Implementierung von Schutzmechanismen. Der letzte Promihack bei Apple hat es ja gezeigt, wie schnell das schief gehen kann, obwohl die Passwörter vielleicht sogar "sicher" waren.
Wenn der eMailanbieter nur 10 Falscheingaben zulässt, ehe er das Konto sperrt, spielt es eine untergeordnete Rolle, ob du jetzt eine kürzere, zufallsgenerierte Zeichenkette oder eine längere Wortakkumulation verwendest. Wenn diese Schutzfunktion nicht implementiert ist, greifen immer noch andere Limitierungen, wie z.B. Rechenkapazitäten oder Bandbreiten. Von daher sollte man ab einer gewissen Passwortlänge ohnehin sicher gegen bruteforce sein.
Es macht tendenziell ab dann einen Unterschied, wenn jemand z.B. Zugriff auf die Datenbank mit den verschlüsselten Passwörtern erlangt hat. Ich persöhnlich kann mir das aber nicht vorstellen, dass ein Hacker damit wirklich was anfangen kann, da man ja vorher kaum wissen kann, wo es was zu holen gibt und wo ein "einfaches" Passwort verwendet wurde. Der Aufwand, ein halbwegs ordentliches Passwort mit bruteforce oder Wörterbuchattacken anzugreifen, müsste bei einer ganzen DB wirklich lohnenswert sein. Jetzt musst du dich fragen, wo du ein lohnenswertes Ziel bist und wie wahrscheinlich es ist, dass sich jemand genau dich herausgreift. Das kann ich zum Glück nicht wirklich abschätzen.
Ein weiteres Angriffsszenario ist z.B. dein privater Rechner, wenn du dich gegen Eltern/Kinder/Putzkolonne absichern willst. Da reicht es eigentlich schon aus, dass das Passwort keinen Zusammenhang zu dir haben sollte (aus der Hinsich emfinde ich "ComputerForenPasswortGenerator" ggf. zu erraten) und nirgendwo notiert ist.
Leider wird das Ganze an einem Punkt wieder komplett hinfällig, wenn dir jemand einen USB-Keylogger an die Tastatur hängt und du das nicht mitbekommst. (gab gerade eine Geschichte dazu, über einen TAZ (?) Redakteur, der da spioniert haben soll)
Angriffe zielen bei den heutigen Passwortlängen und Verfahren eigentlich immer darauf, die Passwörter zu umgehen. Social Engineering (dazu gab's einen interessanten Vortrag auf dem letzten CCC, wenn ich das richtig in Erinnerung habe), Spoofing, Phishing .. Da verliert die theoretische Passwortsicherheit deutlich an Bedeutung, solange die Passwörter ausreichend zufällig/lang gewählt sind, dass ein wahlloser bruteforce in keiner sinnvollen Zeit zu einem Ergebnis kommen würde.
Meine Meinung: Du musst dir überlegen, gegen wen/was du dich absichern willst und wie hoch das Schadenspotenzial ist. Es sollte nichts gegen Wortakkumulationen sprechen, insofern die Wörter nicht zu kurz sind und nicht mit deiner Person (Vorlieben, Wissen, etc..) in Verbindung zu bringen (und damit zu erraten) sind oder einer gewissen statistischen Verteilung entsprechen.
Die Empfehlung liegt aber eigentlich darin, sich mit der Software zu beschäftigen und darauf zu achten, dass da alles korrekt läuft. Gegen einen Keylogger oder Heartbleed hilft das beste Passowort nichts.
HappyFeet schrieb:
Ganz einfach die Passwortlänge ist im Exponenten bedeutet du benötigst ein langes Passwort. Die Basis ist jedoch dein Zeichenvorrat.
Genau dort wird gerade +ber dein gewähltest Beispiel gemekert. Das "ComputerForenPasswortGenerator" hat nur das Alphabet aus groß und kleinschreibung.
also 52^28=4.13130192e44
(die 52 kommt aus dem Alphabet 26 klein + 26 groß buchstaben die 28 sind die Zeichen deines Passworts)
Würdest du jetzt dein Passwort mit Zahlen und sonderzeichen ausschmücken ala 1! würde deine Basis steigern.
also
ComputerForenPasswortGenerat1!
96^28=3.1885595e+55
Meiner Meinung nach ein Beispiel von ungünstiger Anwendung der Theorie.
Bei diesen Zahlen triffst du zwei Annahmen: Einerseits gehst du davon aus, dass der Angreifer die korrekte Passwortlänge kennt, zweitens, dass der Angreifer weiß, dass keine Zahlen enthalten sind.
Die erste Annahme verringert die Anzahl der möglichen Passwörter eigentlich noch. Die Eigentlich Zahl ist also für einen Angreifer deutlich höher, wenn er bei gleichem Zeichenvorat auch kürzere Passwörter durchprobiert. Demnach wäre die Summe noch höher, selbstverständlich nicht signifikant. Will nur sagen, wenn ich als Angreifer per bruteforce rangehe und ich weiß, dass bei diesem Verfahren der Rechenaufwand exponentiell wächst, dann breche ich doch sowieso ab einem gewissen Punkt ab, wo die Rechenzeit nicht mehr sinnvoll ist. Von daher würde es keinen Unterschied machen, ob da nun "ComputerForenPasswortGenerator" dasteht, oder "z9z9z9z9z9z9z9z9z9z9z9z9z9z9z9".
Die zweite Annahme hängt vom speziellen Wissen des Angreifers ab. Wenn der Angreifer sowieso Zahlen und Sonderzeichen mit einbezieht, dürfte es keinen großen Unterschied machen, ob man nur Buchstaben oder auch erweiterte Zeichen benutzt, da der Algorithmus diese sowieso durchprobiert. Aber damit will ich mich nicht zu weit aus dem Fenster lehnen, es erscheint mir lediglich logisch.
Nebenbei: Würde man aus "ComputerForenPasswortGenerator" "ComputerUNDForenPasswortGenerator" machen, dann verändert sich die Anzahl der Varianten auf die selbe Größenordnung, wie das Erweitern des Zeichenvorrates von 52 auf 96.
Eine Rolle spielt das genau dann, wenn ein Angreifer spezielles Wissen hat, sei es um den Zeichenvorrat, die Beschaffenheit oder sonstige Informationen.
ps: Es ist schon vorgekommen, dass gewisse Hashverfahren von der (Falsch-) Implementierung her wohl zu lange Passwörter einfach abgeschnitten haben, ohne dass der Eingebende das wusste. Da macht es dann auch keinen Unterschied mehr, ob man 28 Stellen oder 2800 Stellen hat
pps: xkcd ftw