Die Problematik, die ich angesprochen habe, ist eher folgende: Angenommen ich habe eine Hashfunktion h, die den Wert 2 auf 281 abildet. Nun finde ich eine Schwachstelle in der Hashfunktion, mit der es mir gelingt, eine Kollision zu finden, sodass h(x) = 281 ist, wobei x meine Kollision ist.
Die Kollision ist möglicherweise (je nachdem, was für eine Schwachstelle man gefunden hat und um was für einen Algorithmus es geht) aber deutlich länger als ein normales Kennwort es wäre.
Dann würde man einer solchen Problematik entgehen, indem man die Länge des Kennworts beim Login auf beispielsweise 20 Zeichen begrenzt, auch wenn ich es für unwahrscheinlich halte, dass so ein Angriff in der Praxis überhaupt stattfinden könnte (da die Kollision vermutlich nicht von Menschen lesbar sein wird, sondern auch Steuerzeichen usw enthalten kann).
Dann unterliegst du meiner Ansicht nach immer noch dem Irrtum, dass die Länge des Hashwertes von der Passwortlänge abhängig ist.
Übrigens... Wenn ein längeres Passwort zwangsläufig einen längern Hash erzeugen würde, dann wäre die Wahrscheinlichkeit einer Hashkollision doch geringer. Denn 30 identische Zeichen in einer bestimmten Reihenfolge zu treffen, dürfte unwahrscheinlicher sein, als nur 20 identische Zeichen in der richtigen Reihenfolge.
Sagen wir so, ich wusste schon vorher von diesem Irrtum, aber ich versteh nicht ganz was diese Entropie bedeutet bzw. wie man auf diese Werte kommt.
Kann dir hier so ac hoc wohl keiner gut verständlich beantworten. Gibt aber
hier und
hier schicke Lektüre dazu.
Wenn alle Stricke reißen, hilft vielleicht der liebe Onkel Harald weiter.
http://www.youtube.com/watch?v=4VS0LR5iIMU Schau ich mir gleich auf jeden Fall mal an. Ist ja meist recht interessant, was der so erzählt.
Interessant ist die Thematik allemal. Denn angeblich ist der komplett ausgeschriebene Satz (bzw. sinnvolle Wörter) als Passwort ja leichter zu merken und
sicherer (das Wesentliche mal unterstrichen
).
Umgekehrt ist es aber so, dass Satzzeichen unterschiedlich häufig benutzt werden. In der deutschen Sprache liegt z.B. (soweit ich weiß) das "e" auf Platz 1. Jepp - und die restlichen Platzierungen kann man sich selbst anschauen.
Klick
Die Verteilung im Text sollte sich auch maschinell herausfinden lassen. Insofern würde ich vermuten, dass ein deutscher Satz als Passwort eher ungünstig ist, weil man an der Häufigkeit der Buchstaben im Satz Rückschlüsse auf die Satzzeichen ziehen kann. Außerdem müssten zumindest die einzelnen Wörter ja einen Sinn ergeben. Hier vermute ich allerdings stark, dass die Maschine bei einer Deutung dem Menschen unterlegen ist.
Die Entropie müsste außerdem geringer sein, denn:
"Bei einer kleinen Entropie enthält der Informationstext Redundanzen oder statistische Regelmäßigkeiten." Das ist übrigens auch im Beispiellink von Mr_J der Fall. Bis auf das "c" kommen dort alle Buchstaben mehrfach vor.
Mein Ansatz, warum so eine Passwortkombination trotzdem sicherer ist:
Die Zahl der verwendeten Zeichen ist wesentlich höher (11:25
ohne Leerzeichen). Und jedes verwendete Zeichen kann entweder richtig oder falsch sein.
Probiere ich ein Passwort aus, habe ich also bei dem längeren Passwort häufiger die Chance, daneben zu liegen und ein falsches Zeichen einzugeben => höhere Entropie. Das deckt sich dann auch wieder mit:
"Noch einfacher formuliert, ist die Entropie die durchschnittliche Anzahl von Entscheidungen (bits), die benötigt werden, um ein Zeichen aus einer Zeichenmenge zu identifizieren oder zu isolieren."
So - und jetzt warte ich mal auf eine Erklärung von Mr_J. Ganz explitzit erläutern und vorrechnen lassen wir uns das dann von Kugelfisch.