7
Sätze als Passwörter
Hallo,
ich hab gerade überlegt, wie sicher ganze Sätze als Passwörter sind. Hier mal meine Überlegung. Wie steht ihr dazu?
-wenn man von einem Grundwortschatz von 70.000 Wörtern ausgeht(https://de.wikipedia.org/wiki/Wortschatz#Deutscher_Wortschatz)
-Wenn man den Satz aus nur 4 Wörtern baut hat man (70000 über 4) * 4! = 2,4*10^19 Kombinationen(dictionary Angriff)
-bei 10 Zufalls Zeichen 70^10=2,8*10^18 Kombinationen(brute force)
=>Sätze mit 4 oder mehr Wörten(Wenn die 4 Wörter zusammen min 10 Zeichen haben) sind sicherer als ein 10 Zeichen Zufalls-PW
ich hab gerade überlegt, wie sicher ganze Sätze als Passwörter sind. Hier mal meine Überlegung. Wie steht ihr dazu?
-wenn man von einem Grundwortschatz von 70.000 Wörtern ausgeht(https://de.wikipedia.org/wiki/Wortschatz#Deutscher_Wortschatz)
-Wenn man den Satz aus nur 4 Wörtern baut hat man (70000 über 4) * 4! = 2,4*10^19 Kombinationen(dictionary Angriff)
-bei 10 Zufalls Zeichen 70^10=2,8*10^18 Kombinationen(brute force)
=>Sätze mit 4 oder mehr Wörten(Wenn die 4 Wörter zusammen min 10 Zeichen haben) sind sicherer als ein 10 Zeichen Zufalls-PW
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 293216
Url: https://administrator.de/contentid/293216
Printed on: April 26, 2024 at 14:04 o'clock
7 Comments
Latest comment
Hallo,
hier ein guter Link dazu:
http://security.stackexchange.com/questions/22717/how-secure-are-passwo ...
Gruß
hier ein guter Link dazu:
http://security.stackexchange.com/questions/22717/how-secure-are-passwo ...
Gruß
Hi.
An diesen Überlegungen versuchen sich immer wieder alle. Alle möglichen Theorien entstehen - nie wird dabei jedoch das Wichtigste beachtet:
Kennt der potentielle Angreifer das Schema, oder nicht? Das macht einen riesigen Unterschied.
Weiß er, dass Du Wörter nimmst? Dann wird er nicht 70.000 testen, sondern die gebräuchlichsten 1-2000 und hat Dein Kennwort in Minuten gebruteforcet.
Aber gut, Dein Vorhaben in Ehren, ich will mal dies beisteuern: https://en.wikipedia.org/wiki/Diceware
An diesen Überlegungen versuchen sich immer wieder alle. Alle möglichen Theorien entstehen - nie wird dabei jedoch das Wichtigste beachtet:
Kennt der potentielle Angreifer das Schema, oder nicht? Das macht einen riesigen Unterschied.
Weiß er, dass Du Wörter nimmst? Dann wird er nicht 70.000 testen, sondern die gebräuchlichsten 1-2000 und hat Dein Kennwort in Minuten gebruteforcet.
Aber gut, Dein Vorhaben in Ehren, ich will mal dies beisteuern: https://en.wikipedia.org/wiki/Diceware
obligatrischer XKCD-Link: Password Strength
Aber die @DerWoWusste schon sagt, sobald der Angreiffer weiß, wie euer Schema aussieht, bringt die ganze Entropie-Rechnerei nichts mehr.
Wenn ich als Angreiffer weiß, dass Sätze das Passwort bilden, dann stelle ich mein Programm darauf ein, nicht auf Sonderzeichen und Zahlen zu testen und probiere mein Wörterbuch in einer Manier durch, die dem knacken von Zahlenfolgen entspricht.
Jedes Wort ist dann wieder nur 1 unbekanntes Zeichen, da ich davon ausgehen kann, dass alle verwendeten Wörter im Wörterbuch zu finden sind.
Gruß,
@Snowman25
Aber die @DerWoWusste schon sagt, sobald der Angreiffer weiß, wie euer Schema aussieht, bringt die ganze Entropie-Rechnerei nichts mehr.
Wenn ich als Angreiffer weiß, dass Sätze das Passwort bilden, dann stelle ich mein Programm darauf ein, nicht auf Sonderzeichen und Zahlen zu testen und probiere mein Wörterbuch in einer Manier durch, die dem knacken von Zahlenfolgen entspricht.
Jedes Wort ist dann wieder nur 1 unbekanntes Zeichen, da ich davon ausgehen kann, dass alle verwendeten Wörter im Wörterbuch zu finden sind.
Gruß,
@Snowman25
Moin,
Due vergißt, daß die entropie entscheidend ist. Die Entropie ist eine Aussage darüber, wieviel bit Information in Deinem Schema steckt. Dabei ist der Informationsgehalt von einzelnen Wörtern sehr gering, insbesondere dann, wenn sie zu demn "beliebten" Wörtern gehören. Und sofern der Angreifer etwas über Dein Paßwortschema weiß, reduziert sich die Entropie nochmals deutlich. Daher kannst Du nicht so ohne weiteres ableiten ob ein 10Zeichen-Zufallspaßwort wirklich "unsicherer" als nur 4 Wörter.
Wenn, dann solltest Du richtig lange "unsinnige" Sätze nehmen und nicht nur 4 Worte
lks
Due vergißt, daß die entropie entscheidend ist. Die Entropie ist eine Aussage darüber, wieviel bit Information in Deinem Schema steckt. Dabei ist der Informationsgehalt von einzelnen Wörtern sehr gering, insbesondere dann, wenn sie zu demn "beliebten" Wörtern gehören. Und sofern der Angreifer etwas über Dein Paßwortschema weiß, reduziert sich die Entropie nochmals deutlich. Daher kannst Du nicht so ohne weiteres ableiten ob ein 10Zeichen-Zufallspaßwort wirklich "unsicherer" als nur 4 Wörter.
Wenn, dann solltest Du richtig lange "unsinnige" Sätze nehmen und nicht nur 4 Worte
lks
Zitat von @Lochkartenstanzer:
Wenn, dann solltest Du richtig lange "unsinnige" Sätze nehmen und nicht nur 4 Worte
Nachdem man den Rechner gestiefelt und sich eingemeldet hat, startet man einen Blätterer. Entweder den Zwischennetz Forscher von Winzigweich oder den Feuerfuchs. Dann geht man auflinie, indem man eine Verbindung zu einem Ruf-bei-Ruf-Anbieter oder einem Zwischennetzversorger wählt, um dann im Zwischennetz von Heimatseite zu Heimatseite wellenzureiten. Bei besonders schönen Seiten macht man vielleicht noch einen Bildschirmschuß. Manchmal ist ein Glied auch nicht erreichbar.Wenn, dann solltest Du richtig lange "unsinnige" Sätze nehmen und nicht nur 4 Worte
Und duck und wech ...
Zählt das Anmelden am PC schon zur Arbeitszeit?
Kommt auf Deine Arbeitsvertag an.
lks
PS. Im allgemeinen geh tman davon aus, daß bei Büroarbeit normalerweise die Arbeitszeit anfängt, sobald man sein Büro betreten udn seinen mantel udn Vesper abgelegt hat. Das erste Kaffeeholen/-aufsetzen ist bei Admins schon meistens Arbeitszeit.
