Hallo allemiteinander,
Wollte mich mal auf den neuesten Stand begeben, welche Passwortlänge man Heute, Herbst 2012, braucht, um vor brute-force geschützt zu sein.
2010 hörte ich, es seien 10 Zeichen. Reichen Heutzutage z.B 11 Zeichen, sind 10 immer noch genug, oder muß man alle 16 Zeichen ausreizen? Man weiß es nicht genu, zumindest ich nicht, daher die Frage.
Gruß, Zera
Moin
2010 hörte ich, es seien 10 Zeichen. Reichen Heutzutage z.B 11
Zeichen, sind 10 immer noch genug, oder muß man alle 16
Zeichen ausreizen?
Da wäre die Frage welche Verschlüsselungsart gemeint ist.
SHA .
aber im durchschnitt steigt pro Buchstabe das ganze ums 100 fache an.
Ergo wenn in der letzten Zeit kein GPU ums 100 fache gewachsen ist, dann wird man mit 10 Zeichen immer noch ein paar Jahre brauchen an nur einem Rechner.
Eine pauschale Antwort ist hier nicht möglich.
Zuerst einmal gibt es kein „sicher“ sondern nur eine relative Sicherheit, bei der der Aufwand zur Überwindung die Messlatte ist.
Viel wichtiger als die Frage nach der Länge ist die Frage der Komplexität des Kennwortes. Ist der Zeichenvorrat klein (Buchstaben+Ziffern), sind 15 Stellen schlechter als 10 Stellen, die auch seltene Sonderzeichen enthalten.
Verheerend sind aber Kennworte, die man aus Wörterbüchern zusammensetzen kann: Michael1969 ist trotz 11 Zeichen sicherlich schnell geknackt.
Für eine fundierte Antwort bräuchte man schon mehr Informationen, für welchen Anwendungsfall man das Kennwort benötigt und ob man bestimmte Angriffsszenarien befürchten muss.
Allgemein lässt sich aber sagen, dass die klassische Kombination aus Kennung und Kennwort schon länger ein Auslaufmodell ist.
Ciao, Allesquatsch
Hallo Zera,
2010 hörte ich, es seien 10 Zeichen. Reichen Heutzutage z.B 11
Zeichen, sind 10 immer noch genug, oder muß man alle 16
Zeichen ausreizen? Man weiß es nicht genu, zumindest ich
nicht, daher die Frage.
Das kommt immer auch noch auf den Kontext an.
Wenn du ein System hast, welches z.B. nur jede Sekunde einen Einloggversuch zulässt, dann nützt dir der schnellste Rechner nichts.
Wenn sich dann noch das System nach 3 Fehlversuchen für 10 Minuten sperrt, dauert Bruteforce noch länger …
MfG Peter(TOO)
Hallo,
grundsätzlich gibt es keine absolute Sicherheit gegen Bruteforce-Angriffe. Wenn ein Angreifer unendlich viel Zeit hätte, wäre auch das beste und längste Passwort nicht sicher.
Die Länge des Passwortes ist ein Parameter, die Kompexität (Verwendung des gesamten Zeichenvorrats) ein anderer.
Hier eine nette Seite zur Berechnung der Passwortsicherheit:
http://www.1pw.de/brute-force.html
Andere Angriffsszenarien z.B. über Rainbow-Tabellen
http://de.wikipedia.org/wiki/Rainbow_Table
solltest du auch nicht vernachlässigen.
Ist alles immer kontextabhängig.
Grüße
godam
Hi,
Keepass macht das z.B. Je öfter ich erfolglos versuche das pw zu erraten, desto weniger Versuche pro Sekunde habe ich. Das macht dann irgendwann nur noch den Superrechnern der NSA Spass…
http://www.keepass.info/help/base/security.html#secd…
Für mich absolute Nr. 1 um meine pw zu verwalten
Gruss
K
Moin,
Andere Angriffsszenarien z.B. über Rainbow-Tabellen
http://de.wikipedia.org/wiki/Rainbow_Table
solltest du auch nicht vernachlässigen.
Ist alles immer kontextabhängig.
Auf „bestimmten“ Webseiten gibts mittlerweile sogar vorgesalzene Rainbow-Tables.
Je komplexer ein Passwort ist, desto schwieriger wirds für den Angreifer. Aber völlige Sicherheit gibts nicht.
Gruss Jakob
Moin, moin!!!
Ich srimme dir zu: „Sicherheit ist kein Zustand, Sicherheit ist ein Prozeß“. Sehr frei nach Bruce Schneier o.ä.
Rainbow-Tables mit/für Salted Hashes?!
Kann ich mir nicht so recht vorstellen. Kann aber auch an meinen mangelnden Kenntnissen liegen. Hast du irgendeine Quelle?
Grüße
godam
Moin,
Rainbow-Tables mit/für Salted Hashes?!
Kann ich mir nicht so recht vorstellen. Kann aber auch an
meinen mangelnden Kenntnissen liegen. Hast du irgendeine
Quelle?
Soll es geben. Hab ich vor kurzem in einem Newsletter gelesen, weiss nur jetzt nicht mehr obs von TrendMicro, Sonicwall o.ä. war (man wird da ja richtig zugekippt).
Eine Quelle hatten die aus verständlichen Gründen nicht genannt 
Und bei meinen Recherchen werden solche „bösen“ Seiten aus gutem Grund geblockt.
Aber allein die Tatsache dass es sowas in bestimmten Kreisen geben soll lässt einen schon nachdenken.
Andererseits: Wundern tut´s mich nicht. Die Junx schlafen ja auch nicht.
Gruss Jakob
Halte ich auch für 'ne Urban Legend
Rainbow-Tables mit/für Salted Hashes?!
Kann ich mir nicht so recht vorstellen. Kann aber auch an
meinen mangelnden Kenntnissen liegen. Hast du irgendeine
Quelle?
Hallo godam,
gehe hier mit Dir konform.
Vorgesalzene Rainbow tables können nur dort Sinn machen, wo Seeds auf Grund eines Designfehlers von vorherein bekannt sind oder der Werteraum falsch gewählt wurde.
Die Erstellung von Rainbow Tables ist weniger effizient als Bruteforce.
Für eine vernünftige Kennwortkomplexität ist das nichts, was Kiddies mal schnell mit dem Gamer-PC erstellen.
Selbst Vereine wie die NSA haben sicherlich bessere Methoden, um Zugang zu Systemen zu erlangen als Quadrillionen Festplatten für unterschiedliche Salze vorzuhalten.
Ciao, Allesquatsch
1 Like
Hallo,
endlich mal jemand, der mich versteht! Natürlich gibt es im Netz auch fertige Rainbow-Tables für gesalzene Hashes, die aber - wie von dir absolut richtig benannt - bestimmte Designfehler ins Visier nehmen. Guter Bleistift ist - leider mal wieder - Microsoft:
http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29#…
Entscheidend und m.E. in vielen Diskussionen unterbewertet ist der physische Zugang zum Rechner. Dieser ermöglicht diverse Angriffsszenarien, zumindest dann, wenn die Daten in unverschlüsselter Form vorliegen. Und dies ist leider meist der Fall, obwohl eine Echtzeitverschlüsselung bei zeitgemäßen Rechnern keinen relevanten Performance-Verluste mit sich bringt.
Solange aber Zugangsdaten u.a, per unverschlüsselter Email-Korrespondenz ausgetauscht, Nachrichten nicht digital signiert werden und Passworte entweder sehr einfach śind oder - bei hoher Komplexität - per Haftie am Bildschirm kleben - spielt dies alles keine relevante Rolle.
Sicherheit - so, oder so ähnlich, Herr Schneier - ist eben kein Zustand, sondern ein Prozeß.
Wer seine Daten vor dem Zugriff staatlicher oder technisch ebenbürtigen privaten Stellen, Institutionen schützen will, weiß schon was er zu tun hat.solche Maßnahmen sind aber in der Regel nicht Gegenstand einer öffentlichen Diskussion.
HaLof!
goam
1 Like
Entscheidend und m.E. in vielen Diskussionen unterbewertet ist
der physische Zugang zum Rechner.
Da stimme ich Dir zu, auch wenn ein Remote-Zugriff auf Systemebene kaum unterschiedlich ist.
Gesalzene Kennwort-Hashes helfen aber ja auch nicht gegen diese Angriffe sondern stellen nur sicher, dass der Schaden begrenzt werden kann und mit einem erfolgreichen Angriff nicht gleich das komplette Business kollabiert.
Wenn die Schwachstelle behoben ist, sind (bei hinreichend komplexen Kennworten) maximal die Identitäten korrumpiert, die während der Angriffsdauer authentifiziert wurden.
Dieser ermöglicht diverse
Angriffsszenarien, zumindest dann, wenn die Daten in
unverschlüsselter Form vorliegen.
Auch Verschlüsselung nutzt in diesem Fall nicht viel, wenn man auf der Systemebene oder Anwendungsebene Zugriff hat, wenn für die Verarbeitung müssen die Daten zu entschlüsselt sein. Dann ist eine Verschlüsselung auf Datei- oder Datenbankebene schon aufgehoben.
Und dies ist leider meist
der Fall, obwohl eine Echtzeitverschlüsselung bei zeitgemäßen
Rechnern keinen relevanten Performance-Verluste mit sich
bringt.
Zumindest bei vielen Business-Problemen nutzt auch Verschlüsselung wenig. Bereits aus den bekannten Strukturen lässt sich dann rekonstruieren, welche z.B. Großkunden sich hinter den Chiffren verbergen. Bei Anwendungen wie Salesforce muss man schon bereit sein, dem Provider zu vertrauen.
Ciao, Allesquatsch
1 Like
Moin,
Entscheidend und m.E. in vielen Diskussionen unterbewertet ist
der physische Zugang zum Rechner.
Da gehe ich mit. Viel wird aber auch über Social Engeneering gemacht. Oft ist es aber auch Sorglosigkeit der Mitarbeiter in Unternehmen (der berühmte gelbe Post-It mit dem Kennwort am Bildschirm, am besten noch von ausserhalb des Büros erkennbar).
Das war auch das Ergebnis der Bitkom Umfrage im vergangenen Jahr:
Die meisten Sicherheitsrisiken gehen eben vom User selbst aus. Sei es nun über mail oder manipulierte Wechseldatenträger, manipulierte Smartphones (wobei hier die Gefahr meiner Ansicht nach immernoch stark unterschätzt wird).
In meinem Bereich kann ich die Kollegen immer nur sensibilisieren, was aber eine Sisyphusarbeit darstellt.
Aber auch sträflich ungesicherte Netzwerke sind noch an der Tagesordnung.
Gruss Jakob
Da kannst du man beim Bundesamtes für Sicherheit in der Informationstechnik (BSI) nachsehen. Da stehen meistens immer Empfehlungen auf die man sich beziehen kann, so ist man immer auf der sicheren Seite, wenn doch mal jemand meckert.
In einer Pressemitteilung von 2011 hat zum Beispiel ein gutes Passwort mindestens acht Zeichen, steht nicht im Wörterbuch und enthält Ziffern und Sonderzeichen.
Siehe hier:
Ausserdem kommt es natürlich darauf an, wo das Passw…
Hallo.
Keepass macht das z.B. Je öfter ich erfolglos versuche das pw
zu erraten, desto weniger Versuche pro Sekunde habe ich. Das
macht dann irgendwann nur noch den Superrechnern der NSA
Spass…
Wobei sich das in dem Fall, genauso wie in so ziemlich allen Fällen, wo auf dem eigenen Rechner versucht wird, das Passwort zu knacken, umgehen lässt. Z.B. vorher die zu entschlüsselnde Datei kopieren, um den Zähler zurückzusetzen. Oder mehrere Rechner gleichzeitig an eigenen Kopien versuchen lassen, oder…
Das liest sich aber so, als wäre die Zeit konstant. Es werden einfach so viele Runden verwendet, dass ein Entschlüsseln, egal ob erfolgreich oder nicht, eine gewisse Zeit, z.B. 1 Sekunde, dauert. Es wird damit aber nicht immer wieder länger, je häufiger du falsch rätst. Das lässt sich dann in der Tat nur durch einen schnelleren Rechner beschleunigen.
Für mich absolute Nr. 1 um meine pw zu verwalten
Das ist es für mich auch…
Sebastian.
‚Die Rente ist sicher‘
In einer Pressemitteilung von 2011 hat zum Beispiel ein gutes
Passwort mindestens acht Zeichen, steht nicht im Wörterbuch
und enthält Ziffern und Sonderzeichen.
Dummerweise prägt sich diese Aussage um so mehr ein, je länger sie kolportiert wird. Allerdings stammt die Aussage aus Zeiten, als PCs noch mit Kohle betrieben wurden.
Ob 8 Zeichen ausreichend sind, hängt vom Bedrohungsszenario ab.
Einem professionellen Angriff auf einen md5-Hash, wie er in vielen Foren, Shop und WCMS üblich ist, hält ein solches Kennwort nicht mal einem Tag stand.
Erst recht nicht, wenn ein 6-stelliges Wort wegen der Passwort-Policy schnell mal um eine Ziffer und ein Sonderzeichen erweitert wird. Dann packt es ein ordentlicher Gamer-PC im Schnitt innerhalb eines Tages.
http://www.phpgangsta.de/passwortmythen-oder-%E2%80%…
Ciao, Allesquatsch