Mindestlänge Shared Secret für VPN
Moin,
gibt es eigentlich eine Begrenzung für die Länge eines Shared Secret bei VPN-Verbindungen oder gilt hier je länger desto besser?
Danke für informative Antworten und ein schönes Wochenende.
Uwe
gibt es eigentlich eine Begrenzung für die Länge eines Shared Secret bei VPN-Verbindungen oder gilt hier je länger desto besser?
Danke für informative Antworten und ein schönes Wochenende.
Uwe
Please also mark the comments that contributed to the solution of the article
Content-Key: 180401
Url: https://administrator.de/contentid/180401
Printed on: April 25, 2024 at 14:04 o'clock
5 Comments
Latest comment
Manche Umsetzungen haben Probleme bei Shared Secrets mit weniger als 8 Zeichen (dadrunter isset auch schon gemeingefährlich)
Da du nicht geschrieben hast, auf welcher Basis dein VPN arbeitet, gibts noch ein paar allgemeine Tipps.
Bei manchen Umsetzungen (PPTP+MPPE) hängt die Sicherheit der Verschlüsselung an der Länge des Passworts. Erfolgreiche Angriffe wurden aber noch nicht offiziell bestätigt. Bei vielen anderen Systemen kann die Sicherheit des Tunnels nur aufgrund des Passworts gefährdet werden. Aus dem Grund führe ich keine Aufzeichnungen zu den verwendeten Shared Secrets sondern tausche die so durch. Die Länge ist aber auch größer als 31 Zeichen, damit ein Brute-Force-Angriff keinerlei Möglichkeit hat. Bei IPSec sollte man zusätzlich auf ein regelmäßiges Rekeying und dass man nicht unbedingt DES nutzt achten
Da du nicht geschrieben hast, auf welcher Basis dein VPN arbeitet, gibts noch ein paar allgemeine Tipps.
Bei manchen Umsetzungen (PPTP+MPPE) hängt die Sicherheit der Verschlüsselung an der Länge des Passworts. Erfolgreiche Angriffe wurden aber noch nicht offiziell bestätigt. Bei vielen anderen Systemen kann die Sicherheit des Tunnels nur aufgrund des Passworts gefährdet werden. Aus dem Grund führe ich keine Aufzeichnungen zu den verwendeten Shared Secrets sondern tausche die so durch. Die Länge ist aber auch größer als 31 Zeichen, damit ein Brute-Force-Angriff keinerlei Möglichkeit hat. Bei IPSec sollte man zusätzlich auf ein regelmäßiges Rekeying und dass man nicht unbedingt DES nutzt achten
Stefan, das ist nicht ganz richtig. Es ist viel aufwendiger, bei IPSec aus einer unbestimmten Anzahl Pakete das Passwort zu errechnen, das Wort unmöglich will ich jetzt mal nicht erwähnen, auch wenn es zum jetzigen Punkt, bei einer als zur Zeit sicher eingestuften Konfiguration noch so gilt.
Bei Brute Force-Angriffen kannst du schon viel über die Länge verhindern. Wenn ich in der Schule richtig aufgepasst habe, müssten im schlechtesten Fall für die Länge deines ersten Passworts 352870329957600! (Taschenrechner wollte das nicht ausrechnen, also eine sehr sehr sehr große Zahl) Passwörter durchprobiert werden, beim zweiten wären es 409705619895! (auch schon zu groß)
Beim zweiten Passwort bin ich von einem Keyspace mit 110 Zeichen ausgegangen. Ob es real mehr oder weniger sind, die nutzbar sind, kann ich nicht sagen.
Bei Brute Force-Angriffen kannst du schon viel über die Länge verhindern. Wenn ich in der Schule richtig aufgepasst habe, müssten im schlechtesten Fall für die Länge deines ersten Passworts 352870329957600! (Taschenrechner wollte das nicht ausrechnen, also eine sehr sehr sehr große Zahl) Passwörter durchprobiert werden, beim zweiten wären es 409705619895! (auch schon zu groß)
Beim zweiten Passwort bin ich von einem Keyspace mit 110 Zeichen ausgegangen. Ob es real mehr oder weniger sind, die nutzbar sind, kann ich nicht sagen.