Passwort sicherer durch wiederholung?

Jump to last post
Äther

Äther

...hat kein real life!
Registriert
22 Juli 2013
Beiträge
327
Ort
Im Reagenzglas
Hallo,

kleine Frage, wenn ich ein Passwort erstelle, bedeutet es einen hohen Mehrwert, wenn ich eine reihenfolge wiederhole?

z.b abc123--> abc123abc123 oder abc123123abc

mfg Äther
 
Bei allen Angriffsmethoden die mir einfallen definitiv.

Mehr Länge hilft immer und wenn du einfach einen ganzen Satz nimmst. Selbst so Dinger wie:
"Das ist mein Passwort für SeiteXY.de."

Ist schon besser als gängige Gebrauchsgegenstände123/4 oder Vornamen123/4.

Denn bei Online Angriffen werden idR nur 10-500 Versuche durchgeführt, bei offline Angriffen vermutlich auch höchstens ein paar Millionen. Man muss halt spätestens den Strompreis dem potentiellen Nutzen entgegen halten. Kannst dir ja ein paar Listen besorgen und rumprobieren.
 
  • Thread Starter Thread Starter
  • #3
Bei aes gibts ja in der praxis glaub ich nur brutforce :unknown: ich hatte nur iwo mal gehört dass es rein gar nichts bringen sollen, wenn man dadurch das passwort künstlich verlängert, was ich mir ehrlich gesagt nicht vorstellen kann...
 
Korrekt, die Aussage das es garnix bringt ist Blödsinn. Es erhöht den Aufwand halt statistisch/theoretisch nur "vergleichsweise geringfügig"(Faktor 2-3 im Vergleich zu weiteren "Zufallszeichen", die theoretisch einen Faktor von bis ~50 pro Zeichen bringen).

Aber wie sich schon daraus wieder ableiten lässt:
Mit Passwortlänge ist das wie mit Gewalt, wenns dein Problem nicht löst hast du nicht genug davon benutzt. Nur wird halt oft "Stellenffizienz" mit "Sicherheit" verwechselt.

Erklärung:
You do not have permission to view link please Anmelden or Registrieren
 
Viele Brute Force- oder Dictionary Attack-Programme bieten von Haus aus die Möglichkeit, das Kennwort mehrfach hintereinander zu reihen, um eben jene künstlich verlängerten Kennwörter mit einzuschließen. Wie alter_Bekannter schon sagte, wird dadurch aber der Rechenaufwand nur um einen geringen Faktor vergrößert.

Wenn der Angreifer beispielsweise zu jedem Kennwort noch prüfen möchte, ob eine 2. Wiederholung des Kennworts zum Ziel führt, so würde der Rechenaufwand verdoppelt werden. Wenn der Angreifer auf genau drei Wiederholungen spekuliert, würde der Aufwand ebenfalls nur verdoppelt werden!
Nur wenn er sich nicht sicher ist oder keine Vermutung hat, wie oft das Kennwort wiederholt wird, kannst du diesen Faktor noch steigern. Das wäre beispielsweise der Fall, wenn der Angreifer prüfen möchte, ob das Kennwort einmal oder zweimal wiederholt werden würde - dann hätte man schon den Faktor 3 für die Erhöhung des Rechenaufwands. In der Praxis ist dieser aber angesichts des deutlich größeren Rechenaufwands einen zufälligen Zeichens verschwindend gering.

Was jedoch schon besseren Schutz bieten würde, weil viele Programme keine entsprechende Funktion bereitstellen: Du wiederholst dein Kennwort, lässt aber bei der Wiederholung einen Buchstaben weg. Beispiel:

abcd1234abcd123
oder
apfelkuchenapfelkuche

Damit hätte man - sofern das Brute Force-Programm nicht explizit eine solche Modifizierung des Kennworts unterstützt - ein Kennwort, dessen Rechenaufwand künstlich um einen sehr hohen Faktor vergrößert wurde.
 
Eine Diskussion zum Thema Passwortsicherheit hatten wir ja bereits hier. Generell würde ich weiterhin einfach einen Satz nehmen den man sich einfach merken kann (ggf. mit Eselsbrücken) anstatt irgendwelche abstrusen Zeichenkombinationen zu nehmen oder einfach das Passwort mehrfach zu schreiben. Das mehrfache Schreiben bietet nur so lange Sicherheit wie der Angreifer nichts darüber weis.

MfG
Mr. J
 
Das blöde ist doch, dass man bei den meisten Seiten ein Passwort wählen muss, welches Groß- und Kleinbuchstaben, Zahlen und am besten noch Sonderzeichen enthält. Wenn die Betreiber dieser Seiten um Sicherheit besorgt wären, könnten sie doch einfach die Anzahl der Logins pro Zeiteinheit festlegen, oder sehe ich das falsch?
 
Die Login-Versuche zu limitieren, hilft wenig und führt u.U. sogar zu einer gezielten DoS-Möglichkeit auf einzelne Benutzerkonten: Ein Angreifer kann gezielt Benutzerkonten temporär sperren lassen, indem er fehlgeschlagene Login-Versuche erzeugt. Das Problem wurde in der Vergangenheit z.B. von `Freezern` für diverse Instant-Messenger-Benutzerkonten aktiv ausgenutzt.

Abgesehen davon ist ein Online-Angriff auf nicht-triviale Passwörter ohnehin wenig erfolgversprechend, und um Trivialpasswörter zu verhindern, sind die Einschränkungen (speziell eine minimale Zeichenzahl und das Erzwingen von zumindest Gross- und Kleinbuchstaben) durchaus sinnvoll. Viel wichtiger ist, dass keine Passwörter mehrfach (für verschiedene Websites) verwendet werden. Relevant sind starke Passwörter für Offline-Angriffe z.B. auf verschlüsselte Daten oder Hash-Werte.

Ansonsten kann ich mich Mr_J nur anschliessen, sowohl was den Hinweis auf die bestehende Diskussion als auch deren Fazit betrifft.
 
Das siehst du falsch. Denn dann wäre einem Angreifer möglich, absichtlich falsche Logins bei beispielsweise Adminkonten durchzuführen, damit weitere, auch legitime, Loginversuche nicht mehr gültig sind.

Edit: Kugelfisch kam mir zuvor...
 
Wie lange dauert es wohl noch bis das Password so lang werden muss, dass man es nur noch per USB-Stick "laden kann" weil das eintippen 2 Stunden dauern würde:coffee:

[Ironie ON] Wenn das alles so richtig ist was man so von der Quantentechnik aufschnappt hat sich das Thema Password dann eh erledigt. [Ironie OFF]

Ich brauche nur an die Enigma zu denken. Galt im Krieg lange als unknackbar. Aber als die ersten mit Röhren bestückten Computer verfügbar waren, war der Drops gelutscht. Dauerte dann keine 2 Stunden mehr. Der erste brutfoce-Angriff:D
 
Ist viel trockener Stoff.
Aber auch die "klügsten Köpfe" haben sich schon in der Vergangenheit oft geirrt. z.B. Thomas J. Watson meinte es gebe einen weltweiten Bedarf an vielleicht 5 Computern
Die berühmte Cray-I von Cray-Research. 1988? Der weltweit schnellste Hochleistungscomputer. (Im Deutschen Museum zu besichtigen, habe Fotos von) Heute steht in jedem Kinderzimmer was viel schnelleres.
Die erste Festplatte die ich gesehen habe stand neben einem TandyTRS80. 8" mit 64KB Speicher! Ich habe jetzt im Smartphone eine MicroSD mit 64GB.
In einem Physikbuch aus der Schulzeit von meinem Ur-Großvater steht:"Das drahtlose telegrafieren ist undenkbar"

Es haben sich viele namhafte hochkarätige Wissenschaftler schon so oft getäuscht. Ich behaupte jetzt einfach mal ganz frech: Es ist alles eine Frage der Zeit bis es die Technik gibt um auch den 256Bit-Schlüssel innerhalb weniger Stunden zu knacken.
 
  • Thread Starter Thread Starter
  • #13
naja kann schon sein dass es ne möglichkeit gibt, aber ich denke dann nicht über stumpfes ausprobieren aller schlüssel. es gab glaub ich mal dieses DES oder so, was n schlüsselraum von 56 bit hatte was ja 2^56 ist, also iwas bei billarden möglichkeiten, nun gut aber 256 bit ist ja nicht 5x1billarden, sondern 2^256= 1.1579209e+77 möglichkeiten. und selbst n rechner der milliarden mal schneller rechnet, als alle rechner der welt, bräuchte immer noch 100k jahre :D kp ob das richtig gerechnet ist, mein physik cousin hatte mir das mal grob erklärt ^^

@cybercat
wo ist eig dein alter avatar, den fand ich iwie besser ;)
 
Zuletzt bearbeitet:
Äther schrieb:
@cybercat
ich glaub selbst mit n quantencomputer sind die schwer zu knacken:
You do not have permission to view link please Anmelden or Registrieren
Zum Vergrößern anklicken....

Hast du so in etwa grob eine Vorstellung wie Quantencomputer funktionieren oder warum sie für aktuelle Kryptographieverfahren problematisch sind? Zum Beispiel basiert RSA auf dem
You do not have permission to view link please Anmelden or Registrieren
, welches wahrscheinlich durch Quantencomputer deutlich effizienter gelöst werden kann. Es geht also nicht um eine erhöhte Rechenkapazität sondern man greift die zugrunde liegende Mathematik an.

MfG
Mr. J
 
  • Thread Starter Thread Starter
  • #15
ich meinte eig, dass durch ein reines ausprobieren aller schlüssel, selbst ein quantenrechner nicht in annehmbarer zeit zu einer lösung kommt. zumindest kann ich mir das durch logisches denken allein bei der schirren anzahl der möglichkeiten nicht vorstellen - zu allen anderen methoden fehlt mir leider das vorwissen, als dass ich dazu ne aussage machen könnte. wie gesagt mein cousin studiert physik und ich glaub auch mathe, vll kann er mir das "faktorisierungproblem" erläutern ;)

mfg äther
 
Äther schrieb:
ich meinte eig, dass durch ein reines ausprobieren aller schlüssel, selbst ein quantenrechner nicht in annehmbarer zeit zu einer lösung kommt[...]
Zum Vergrößern anklicken....

Da man so einen Angriff auf einem Quantenrechner nicht durchführen würde, ist diese Überlegung eher theoretischer Natur.

MfG
Mr. J
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben