Aus dem Hash kannst du eh keine Schlussfolgerung ziehen (wenn es ein geeigneter ist) und die Länge ist immer gleich.Zitat von Knuddelbearli
Gehackt wirst du in der Praxis durch eine Wörterbuchattacke, ein Datenleck, oder mit einem Klappmesser am Hals. Wobei bei einer Wörterbuchattacke eine Wiederholung des gleichen Passworts (z.b. "Schlumpf") wahrscheinlicher erraten werden kann als eine 21-stellige Passphrase (z.B. "SchlumpfineMachtGanzWildeSachen").
Je mehr System im Passwort ist, desto unsicherer ist es.
...also, jetzt will ich die wilden Sachen von Schlumpfine sehen
Mit Naturgesetzen kann man nicht verhandeln. --Harald Lesch
Ein Atomkrieg würde die Menschheit auslöschen. Hätte aber auch Nachteile.
Ihr Künstlername war Gina...also, jetzt will ich die wilden Sachen von Schlumpfine sehen
Technologieoffenheit bedeutet Entscheidungsschwäche
Glaubhafte Politik setzt voraus, dass man erstmal vor der eigenen Haustür kehrt!
Kluge Köpfe sprechen über Ideen, mittelmäßige über Vorgänge und schwache über andere Leute.
Aber "SchlumpfineMachtGanzWildeSachen" hat doch 31 Stellen.
Nicht auf die Technik, sondern auf die Länge kommt es an.
Und was sagt Schlumpf dazu...also, jetzt will ich die wilden Sachen von Schlumpfine sehen
Die Story die ich euch 2014 versprochen habe!
Doch, die Technik ist sehr relevant, auch wenn ne gewisse Länge natürlich gegeben sein sollte.Nicht auf die Technik, sondern auf die Länge kommt es an.
Für die nicht-technik-affinen Mitleser: Wenn man blind ein Passwort der Länge n erraten will, muss man im Wesentlichen jede Ziffer erraten (wenn man kein a-priori Wissen mitbringt). Das bedeutet, je länger das PW, desto mehr Stellen muss man erraten. Aber: wenn das sog. Alphabet (wie viele verschiedene Arten von Zeichen benutzt werden) sehr klein ist, bringen auch viele Zeichen nicht zwangsläufig viel.
Wenn man nur Zahlen verwendet, hat man pro Stelle 10 Möglichkeiten (0,...,9). 10 Stellen brauchen dann, wenn man alles durchprobieren will, 10x10x... = 10^10 = 10.000.000.000 Versuche. Allgemein gilt, wenn das Alphabet m Zeichen umfasst und das Passwort Länge n hat, dass man m^n Kombinationen probieren muss.
Mit Groß- und Kleinbuchstaben (ohne Umlaute etc.) kommt man schon auf m=62. Mit Sonderzeichen muss ein Angreifer theoretisch pro Zeichen sehr viel probieren.
Aber: das setzt voraus, dass die Zeichen zufällig gewählt wurden. Bello123456789 hat zwar 14 Zeichen und man bräuchte 62^14 unfassbar viele Versuche, aber es ist sehr simpel aufgebaut und kann auch leicht erraten werden. Umgekehrt wäre _7-M9 random, aber selbst wenn dadurch das Alphabet ~100 Zeichen enthält, kommt man bei 100^5 = 10.000.000.000 ras was jetzt für nen Rechner auch nicht wahnsinnig viel ist.
Deshalb sollte beides stimmen - Komplexität und Länge.
E: https://www.security.org/how-secure-is-my-password/ hier kann man sich das auch anzeigen lassen, wie lange ein Computer durch blindes erraten des Passwortes bräuchte. Für das Passwort "y7O5^5Dh" mit nur 8 Stellen (aber Sonderzeichen, Zahlen, Buchstaben) bräuchte man 8h. Für "92365839" (nur Zahlen) sind es sogar nur 2 Millisekunden.
Für Passwörter mit Zahlen, Sonderzeichen, Buchstaben spuckt das Tool aus:
n = 8: 8h
n = 9: 3 Wochen
n = 10: 5 Jahre
n = 11: 400 Jahre
n = 12: 34.000 Jahre
n = 13: 2 Mio. Jahre
n = 14: 200 Mio. Jahre
n = 15: 15 Mrd. Jahre
n = 16: 1 Billion Jahre
20 Zahlen kommen auf 79 Jahre.
Geändert von Mongke Khan (17. September 2022 um 17:51 Uhr)
Die Gewichtung sollte andersherum sein. Wenn es keine besonders dummen Fehler bei der Technik gibt, kommt es vor allem auf die Länge an. Nehmen wir mal an nur Kleinbuchstaben, ß, Umlaute und Ziffern, dann ist man schon bei m=40 und spart sich unnötige Verenkungen aka habe-ich-jetzt-wirklich-Shift-an-der-richtigen-Stelle-genutzt-?. 40^40 ist eigentlich eine gute Faustregel, solange die Zeichenfolge von außen nicht wesentlich von Zufall zu unterscheiden ist.Doch, die Technik ist sehr relevant, auch wenn ne gewisse Länge natürlich gegeben sein sollte.
Mit Passwortmanagern kann man die Sicherheit natürlich noch optimieren, weil das Erfordernis manueller Eingabefähigkeit verschwindet. Ich bin aber nicht so recht davon überzeugt, dass das wirklich so eine gute Idee ist, da es ja auch wieder zusätzliche Fehlerquellen kreiert.
Dazu drei Gedanken:
- manche Seiten haben eine Restriktion bei der Länge. Da muss man dann die Komplexität in die Anzahl an Zeichen stecken
- die Diskussion ist bei PW-Managern ja egal. Die können auch 100^100 nehmen. Generell ist, unter der Voraussetzung, dass die PWer zufällig sind, ein kurzes komplexes und ein langes simples nicht "besser" oder "schlechter", wenn sie genau gleich viel Versuche bräuchten.
- für manuelle Passwörter ist Länge irgendwann nervig (weil es mehr Zeit braucht und man irgendwann Flüchtigkeitsfehler macht). Kürzere, aber komplexere Passwörter, sind nicht zwangsläufig schwerer zu merken, aber angenehmer zu verwenden.
Erfahrungsgemäß stört mich Länge schneller (wegen Flüchtigkeitsfehler), während Sonderzeichen/ Shift etc. eh in die Muscle-Memory übergeht.
Bei Online-Diensten sind die Angriffsszenarien allerdings speziell.
Wenn ich Mongkes Postfach einsehen will und mir seine Mailadresse bekannt ist, dann habe ich gar nicht die Möglichkeit, Passwörter (in nennenswertem Umfang) durchzuprobieren. Weil sein Mailanbieter nach dem x-ten Versuch meinerseits mir eine Wartezeit gibt.
Ähnlich ist es ja bei Pincodes im Handy. Oder am Bankomaten.
Besonders lustig übrigens das Online-Banking der Sparkasse. Da braucht man GENAU 5 Zeichen. Und es muss Kleinbuchstabe, Großbuchstabe und Ziffer enthalten sein. Also alles Pillepalle. Um das sicher zu kriegen wird dann das Konto vom Onlinebanking ausgesperrt bei dem sich irgendwer x mal anzumelden versuchte
Die Passwortsicherheit wird dann interessant, wenn der Angreifer beliebig schnell alle Passwörter durchprobieren kann. Zum Beispiel bei einer verschlüsselten Datei. Oder wenn er die Datenbank des Online-Anbieters klauen konnte.
Was macht er dann mit dem Passwort? Wenn der Datenbankleak nicht bekannt ist, kann sich der Angreifer bei diesem Account im Live-System unter geklauter Identität einloggen. Ansonsten hat der Angreifer die Möglichkeit, das Passwort zu entschlüsseln und bei anderen Diensten auszuprobieren.
Die wichtigste Doktrin bei Online-Diensten ist also, überall ein anderes Passwort zu verwenden. Das geht über die Sicherheit der Passwörter an sich. Und daher geht das Leben leider nur mit Notizbuch oder Passwortmanager.
Verstand op nul, frituur op 180.
Das ist jetzt natürlich subjektiv. Wenn man sich keine Sorgen machen muss, Shift an der richten Stelle nutzen zu müssen, ist die Eingabe angenehmer.
Bei einer Gewichtung auf die Länge kommt man daher leichter auf die gleiche Versuchsanzahl. Um beim Beispiel 40^40=1,2e64 zu bleiben: Bei m=62 bräuchte es dafür wahlweise 62^35=5,4e62 oder 62^36=3,4e64. Fünf Zeichen zu sparen wäre mir den Mehraufwand nicht wert.
Wer über die Eingabe nachdenken muss, benutzt das Passwort zu seltenDas ist jetzt natürlich subjektiv. Wenn man sich keine Sorgen machen muss, Shift an der richten Stelle nutzen zu müssen, ist die Eingabe angenehmer.
Warum Gewichtung? Beides ist wichtig. Ich könnte genauso gut sagen "Wenn es keine besonders dummen Fehler bei der Länge gibt, kommt es vor allem auf die Technik an." Das führt aber zu nichts, weil man einfach so oder so keine Fehler machen sollte.
Berechtigungen
Zitieren