derwowusste
Goto Top

Effect of password policies on keyspace reduction

Es geht um Kennwortkomplexität, Kennwortrichtlinien und brute-force-Angriffe.
Microsoft fordert beispielsweise in seinen Komplexitätsanforderungen ja 3 aus 4 Zeichengruppen. Warum nicht gleich alle 4?
Dieser Link könnte die Antwort sein - sie lautet: weil 3 von 4 sicherer gegen Brute Force ist, als 4 von 4.
Wenn der Angreifer die Kennwortrichtlinien kennt, so kann er von vornherein einen großen Prozentsatz von Kennwörtern ausschließen.

Warum? ->Alle 4 Zeichengruppen nutzen zu müssen, vermindert die Anzahl der möglichen Kennwörter erheblich, beispielsweise bei der Länge 8 um satte 54% (auf 45.61% des vollen Kennwortraumes mit der Länge 8) ! Der Link zeigt dies in einer Tabelle.

http://openwall.info/wiki/john/policy

Content-Key: 263330

Url: https://administrator.de/contentid/263330

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: psannz
psannz 15.02.2015 um 09:54:17 Uhr
Goto Top
Sers DWW,

Dank dir für den Inhalt, der Daumen ist oben!

Grüße,
Philip
Mitglied: brammer
brammer 16.02.2015 um 15:15:40 Uhr
Goto Top
Hallo,

die Zahlen sind eigentlich selbstredend...

Aber für den Otto Normal User müssten da mindestens mal ein paar bunte Powerpoint und vor allen Grafiken dabei sein damit das Risiko bewusst wird...

brammer
Mitglied: DerWoWusste
DerWoWusste 16.02.2015 um 15:34:36 Uhr
Goto Top
Der Otto...user verwendet Kennwortrichtlinien?
Mitglied: brammer
brammer 16.02.2015 um 15:48:55 Uhr
Goto Top
Hallo,

@dww

nein aber damit könnte man ihmd as Risiko bewusster machen, 123456 ist nun mal potentiell unsicher.... face-smile

brammer
Mitglied: DerWoWusste
DerWoWusste 16.02.2015 aktualisiert um 16:02:29 Uhr
Goto Top
Hallo Brammer,

ich verstehe nicht, worauf Du hinaus willst. Was hat mein Link mit Risikobewusstsein von Endnutzern zu tun? Er ist für Admins interessant, die durch (gut gemeinte) Verschärfung von Kennwortrichtlinien (z.B. durch externe Tools wie Anixis PPE) dem Brute-Forcer unbewusst das Leben leichter machen.
Um das zu verdeutlichen, braucht man keine Grafiken.
Mitglied: brammer
brammer 16.02.2015 um 16:05:04 Uhr
Goto Top
Hallo,

@dww
richtig...
Aber, ich habe die Erfahrung gemacht das man ein Sicherheitskonzept besser umsetzen kann wenn die User die Maßnahmen verstehen....
Und dazu sind Grafiken besser...

Außerdem sollte sich mancher User auch mal Gedanken darüber machen wie er sein Passwort zuhause wählt ....
Und auch dazu sind bunte Bilder hilfreicher als trockene Zahlen...

brammer