14
Wörterbuchattacken auf Zitate
Moin Kollegen!
Es ist unlängst bekannt geworden, dass Wörterbücher, welche für Attacken auf Kennwörter genutzt werden, mittlerweile oft auch Strings gebildet aus Initialen von Sprichwörtern und berühmten Zitaten (siehe z.B. http://www.brainyquote.com/ ) enthalten.
Kennt jemand eine solche Liste von Strings aus Initialen? Ich würde diese gerne in unserer Domäne verbieten und müsste sie dazu in unser Wörterbuch einpflegen, welches unsere Kennwortsoftware zur Prüfung benutzt.
PS: Ich bitte darum, dass hieraus keine Diskussion über Kennwortsicherheit entstehen möge.
Es ist unlängst bekannt geworden, dass Wörterbücher, welche für Attacken auf Kennwörter genutzt werden, mittlerweile oft auch Strings gebildet aus Initialen von Sprichwörtern und berühmten Zitaten (siehe z.B. http://www.brainyquote.com/ ) enthalten.
Kennt jemand eine solche Liste von Strings aus Initialen? Ich würde diese gerne in unserer Domäne verbieten und müsste sie dazu in unser Wörterbuch einpflegen, welches unsere Kennwortsoftware zur Prüfung benutzt.
PS: Ich bitte darum, dass hieraus keine Diskussion über Kennwortsicherheit entstehen möge.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201824
Url: https://administrator.de/contentid/201824
Printed on: April 24, 2024 at 10:04 o'clock
14 Comments
Latest comment
http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html
wird man so oder so sämtlicher Illusionen über sichere Passwörter beraubt....
Mist, hätte fast eine Diskussion angefangen... Sorry
Hallo,
vielleicht sollte Dww die Einschränkung wegen der Passwort Sicherheit noch mal überdenken.
Ein Beitrag der 3 positive Bewertungen und 3 Forenmitglieder hat die dem Beitrag folgen ohne das es eine Antwort gibt, verdient es am Leben gehalten zu werden.
Btw. mit einer Passwortrichtlinie die 2 Zahlen und 2 Sonderzeichen enthält, sollte auch eine Sammlung von Anfangsbuchstaben diverser Zitaten kein PRoblem mehr sein.
brammer
vielleicht sollte Dww die Einschränkung wegen der Passwort Sicherheit noch mal überdenken.
Ein Beitrag der 3 positive Bewertungen und 3 Forenmitglieder hat die dem Beitrag folgen ohne das es eine Antwort gibt, verdient es am Leben gehalten zu werden.
Btw. mit einer Passwortrichtlinie die 2 Zahlen und 2 Sonderzeichen enthält, sollte auch eine Sammlung von Anfangsbuchstaben diverser Zitaten kein PRoblem mehr sein.
brammer
Hi.
Den CT-Artikel habe ich gelesen. Unbenommen von technischen Entwicklungen bleibt ein Kennwort wie G$!7JHg#2qh2 sicher genug, selbst für gehobene Ansprüche. Eins wie WaeGg,fsh.123 jedoch nicht (3mal dürft Ihr raten, was sich dahinter verbirgt).
Ok, ich werde mich dann mal auf die Suche begeben und Ergebnisse melden.
@brammer: Versteh ich noch nicht, was davon soll ich überdenken?
Ich habe schon Demonstrationen dazu gesehen, Abwandlungen von Kennwortsätzen aus Sprichwörtern/Initialen von berühmten Zitaten sind in Wortlisten drin, siehe mein Obiges "Wer anderen eine Grube..." - garantiert enthalten.
Den CT-Artikel habe ich gelesen. Unbenommen von technischen Entwicklungen bleibt ein Kennwort wie G$!7JHg#2qh2 sicher genug, selbst für gehobene Ansprüche. Eins wie WaeGg,fsh.123 jedoch nicht (3mal dürft Ihr raten, was sich dahinter verbirgt).
Ok, ich werde mich dann mal auf die Suche begeben und Ergebnisse melden.
@brammer: Versteh ich noch nicht, was davon soll ich überdenken?
Ich habe schon Demonstrationen dazu gesehen, Abwandlungen von Kennwortsätzen aus Sprichwörtern/Initialen von berühmten Zitaten sind in Wortlisten drin, siehe mein Obiges "Wer anderen eine Grube..." - garantiert enthalten.
Hallo ,
die Passwortgenerierung via Zitate ist doch schon nicht schlecht. Besser als Klebezettel unter der Tastatur.
Ich weiss keine Diskussion... sorry
Hab mich aber mal ins dunkle Internet begeben um solche Liste zu finden... ohne wirklichen Erfolg.
Mein Russisch ist zu schlecht.....
Jedoch werden oft zu den "Normalen" Woerterbuchlisten generierte Passwoerter z.B via pwgen -y -n 16 den Passwortlisten hinzugefuegt.
P.S
um G$!7JHg#2qh2 zu knacken braucht ein Rechner 344000 Jahre...
fuer WaeGg,fsh.123 braucht ein Rechner 51 Millionen Jahre....
von http://howsecureismypassword.net/
jedoch bei
https://review.datenschutz.ch/passwortcheck/check.php
sieht es ganz anders aus...
Gruss
die Passwortgenerierung via Zitate ist doch schon nicht schlecht. Besser als Klebezettel unter der Tastatur.
Ich weiss keine Diskussion... sorry
Hab mich aber mal ins dunkle Internet begeben um solche Liste zu finden... ohne wirklichen Erfolg.
Mein Russisch ist zu schlecht.....
Jedoch werden oft zu den "Normalen" Woerterbuchlisten generierte Passwoerter z.B via pwgen -y -n 16 den Passwortlisten hinzugefuegt.
P.S
um G$!7JHg#2qh2 zu knacken braucht ein Rechner 344000 Jahre...
fuer WaeGg,fsh.123 braucht ein Rechner 51 Millionen Jahre....
von http://howsecureismypassword.net/
jedoch bei
https://review.datenschutz.ch/passwortcheck/check.php
sieht es ganz anders aus...
Gruss
fuer WaeGg,fsh.123 braucht ein Rechner 51 Millionen Jahre....
Eben nicht, da vernünftige Angreifer Ihr bruteforce mit Wörterbüchern unterstützen - das ist doch gerade der Grund, warum ich ein solches WB haben will.
Ich nehme für Passwörter, die ich mir merken muss, auch die Anfangsbuchstaben von Phrasen, erweitere diese aber ggf. mit eingestreuten Sonderzeichen oder (!) leicht zu tippenden Tastenkombis auf der Tastatur wie z. B. "qawsed". Damit haben WB-Attacken kaum noch eine Chance.
Hallo warum nicht den Passwortgenerator Zebus
der generiert bis zu 9999 Buchstaben Sonderzeichen
und Zahlen passt auf einen USB Stick und muß nicht
installiert werden.Dann verwende ich Chipdrive
My Key kostet ca € 20.-. Ist ein USB Dongle mit einer Simkarte
abziehen und keiner kann ohne den USB Dongle
etwas öffnen den es ist ein Passwortmanager auf Hardware Basis.
Meine Passwörter sind 30 Zeichen lang
die nicht mehr zu knacken sind.
Hier der Link vom Heise Verlag
http://www.heise.de/download/zebus-passwort-generator-1114177.html
Nicht abschrecken lasse er funktioniert auch auf Windows 7
der generiert bis zu 9999 Buchstaben Sonderzeichen
und Zahlen passt auf einen USB Stick und muß nicht
installiert werden.Dann verwende ich Chipdrive
My Key kostet ca € 20.-. Ist ein USB Dongle mit einer Simkarte
abziehen und keiner kann ohne den USB Dongle
etwas öffnen den es ist ein Passwortmanager auf Hardware Basis.
Meine Passwörter sind 30 Zeichen lang
die nicht mehr zu knacken sind.
Hier der Link vom Heise Verlag
http://www.heise.de/download/zebus-passwort-generator-1114177.html
Nicht abschrecken lasse er funktioniert auch auf Windows 7
Moin joebigfoot und -WeBu-, ich danke Euch, aber das war nicht wirklich Thema hier. Ich möchte unsere Strategie nicht ändern, sondern lediglich unser Prüfwörterbuch erweitern.
Stimmt, in deinem Eingangspost hast du das geschrieben.
Vor dem Hintergrund fände ich es spannend, ob in gängigen Wörterbuchlisten auch gängige Tastaturreihenfolgen zu finden wären, was ja meine Präferenz ist. Wenn Du also bei Deiner Recherche auf solche Tastenfolgen stößt, würde ich mich über eine Rückmeldung freuen.
Vor dem Hintergrund fände ich es spannend, ob in gängigen Wörterbuchlisten auch gängige Tastaturreihenfolgen zu finden wären, was ja meine Präferenz ist. Wenn Du also bei Deiner Recherche auf solche Tastenfolgen stößt, würde ich mich über eine Rückmeldung freuen.
Hallo,
@-WeBu-
dazu braucht es keine Wörterbuchattacken...
das erkennen die meisten Angriffstools direkt bei der Eingabe..
Hier noch 2 Links zu Wörterbüchern:
http://www.openwall.com/mirrors/
http://www.outpost9.com/files/WordLists.html
brammer
@-WeBu-
dazu braucht es keine Wörterbuchattacken...
das erkennen die meisten Angriffstools direkt bei der Eingabe..
Hier noch 2 Links zu Wörterbüchern:
http://www.openwall.com/mirrors/
http://www.outpost9.com/files/WordLists.html
brammer
@-WeBu-
Unsere Software von Anixis, welche die Kennwörter auf dem DC prüft, prüft auch Tastaturmuster, sogar Zickzack und solche Scherze.
Unsere Software von Anixis, welche die Kennwörter auf dem DC prüft, prüft auch Tastaturmuster, sogar Zickzack und solche Scherze.
Ich versuch's nochmal: Das ist mir schon klar, dass reine Tastaturmuster bereits erkannt werden. Ich aber sprach davon, in Anfangsbuchstabenkombis von Phrasen diese Tastaturkombis irgendwo einzufügen:
Das Beispiel von oben mit der Grube sähe dann so aus: WaeGgqawsed,fsh.123
Selbst wenn WBs Phrasen berücksichtigen, wie würden sie ahnen können, wo Tastaturkombis eingestreut sind? Ich wähn(t)e mich eigentlich mit meiner Methode sicher, würde mich aber gerne eines besseren belehren lassen.
Das Beispiel von oben mit der Grube sähe dann so aus: WaeGgqawsed,fsh.123
Selbst wenn WBs Phrasen berücksichtigen, wie würden sie ahnen können, wo Tastaturkombis eingestreut sind? Ich wähn(t)e mich eigentlich mit meiner Methode sicher, würde mich aber gerne eines besseren belehren lassen.
-Es ist die zu vermeidende Diskussion geworden- 
Wann immer ein System dahinter steckt, das auch andere nutzen könnten, könnten Sie es auch in Ihr Wörterbuch schreiben.
Natürlich wird Dein so erzeugtes Kennwort nicht in meiner Liste stehen, und vielleicht auch in keiner auf der Welt, aber es ist eine Kombination aus 2 Techniken, die beide für sich genommen in Listen auftauchen - todsicher ist es also nicht. Anixis PPE testet auch auf Einschlüsse, zum Beispiel H1a2U3s würde nicht zugelassen.
Nahezu todsicher sind eher Initialen von Fantasiesätzen wie
JAk1Kv,dgwzEs
(Jeden Abend kommt 1 Kumpel vorbei, dann gehen wir zusammen Eisbären schießen)
Es würde mich freuen, wenn keine weiteren Diskussionen entstehen. Können wir mal an anderer Stelle machen
Wann immer ein System dahinter steckt, das auch andere nutzen könnten, könnten Sie es auch in Ihr Wörterbuch schreiben.
Natürlich wird Dein so erzeugtes Kennwort nicht in meiner Liste stehen, und vielleicht auch in keiner auf der Welt, aber es ist eine Kombination aus 2 Techniken, die beide für sich genommen in Listen auftauchen - todsicher ist es also nicht. Anixis PPE testet auch auf Einschlüsse, zum Beispiel H1a2U3s würde nicht zugelassen.
Nahezu todsicher sind eher Initialen von Fantasiesätzen wie
JAk1Kv,dgwzEs
(Jeden Abend kommt 1 Kumpel vorbei, dann gehen wir zusammen Eisbären schießen)
Es würde mich freuen, wenn keine weiteren Diskussionen entstehen. Können wir mal an anderer Stelle machen
Ich wollte keine Diskussion, ich wollte eine Antwort und die hast Du mir gegeben, als du schriebst, dass meine Methode nicht in Wörterbüchern zu finden wäre! That's it! Danke!
