Allgemeine Frage zu Passwort und Verschlüsselungsverfahren

Internet Internet Sicherheit
#1

Hallo zusammen,

ich habe folgende Frage:

Wie hängen die Passwortlänge und das Verschlüsselungsverfahren (Bsp. AES) zusammen bzw. wie ist der technische Ablauf davon.

Ich weiß dass es für unterschiedliche Zwecke unterschiedliche Verschlüsselungsverfahren / Vorgehensweisen gibt:

Beispiel den sicheren Nachrichtenaustausch zwischen Client Browser und Serverwebseite über TLS.

Oder beim Emailverkehr mit Hilfe von Zertifikaten.

Etc. aber wie verhält es sich wenn ich einen Ordner oder ein Dokument mit einem Passwort versehe – nehmen wir 10stellig – und anschließend noch mit zum Beispiel AES verschlüssele. Wird aus dem Passwort ein Hashwert durch das Verschlüsselungsverfahren generiert und anschließend noch durch das Verschlüsselungsverfahren um 256Bit verlängert?!

Und wenn es durch das Verschlüsselungsverfahren verlängert wird, wozu dann ein langes Passwort?!

Und wird eigentlich der Windows Login auch verschlüsselt?! Und wenn ja mit welchem Verfahren?!

Es gibt viele Informationen darüber aber der zusammenhang zwischen Passwort / Passwortlänge und Verschlüsselungsverfahren konnte ich keine Erklärung finden die mich zufrieden stellt. Ich bin auch an guten Links dankbar. Man muss hier nicht alles erläutern.

Ich danke euch für das Lesen und eure Antworten.

Schönen Tag

#2

Einfach gesprochen, erhöht die Passwortlänge die Zeit, die es braucht um alle möglichen Kombinationen durchzuprobieren.
Aber nicht nur das. Auch komplexe Passwörter machen das durchprobieren schwerer.

Also 1111111111111111111111111111111111111111111111111111111111 ist sehr lang, aber ganz erheblich weniger sicher als :shark:ɷ🃊Õù𪶁Ж}❵:dog::waning_crescent_moon:

Das gilt für jedwedes Verschlüsselungsverfahren. Also egal wie sicher dein Verfahren, mit einem schwachen Passwort ist es unsicher.
ABER ein sicheres Passwort mit einem schwachen Verschlüsselungesverfahren ist auch unsicher.

Deswegen hängt die Sicherheit sowohl vom Passwort als auch vom Verfahren ab.

Man nimmt das vermutlich zu kurze Passwort vom Benutzer, salzt das und macht über Hashfunktionen genau die richtige Schlüssellänge daraus.

Das Salz ist zufällig aber bekannt, macht das Verfahren also nicht gegen einfaches Durchprobieren sicherer, sondern nur gegen vorberechnete Tabellen Passworten mit ihren bekannten Schlüsseln. Deswegen ist ein unsicheres Passwort auch hiernach weiterhin unsicher.

https://itsecblog.de/rijndael-aes-sichere-block-und-schluesselgroessen/#caption-attachment-1324

Was meinst du damit, dass du einen Ordner oder ein Dokument mit einem Passwort versiehst? Wie stellst du dir das vor?

wie meinst du „anschließend“? Sorry, mach das mal noch klar.

Lies mal den Link oben. Aus dem Benutzerpasswort wird der Schlüssel in der richtigen Länge erzeugt. Und damit wird dann verschlüsselt. Erst das letzte ist dann AES. Wie der Schlüssel generiert wird, ist dem Standard egal, solange die Schlüssellänge passt.