nicht angemeldet
Passwortsicherheit
0 0 0 0 0 0 0 0 
Auge
0
0
Passwortsicherheit
Moin!
Ich habe da mal eine etwas mathematische, kryptographische Frage, die mich schon länger beschäftigt.
Es heißt ja immer man solle als Passwörter Buchstaben-Sonderzeichenkombinationen verwenden, die aus mind. 12 Zeichen bestehen, damit ein Erraten umso schwieriger fällt oder um z.B. auch eine Wörterbuch-Attacke ins Leere laufen zu lassen.
Angenommen ich habe jetzt ein Passwort wie '100111010000', also auch zwölf Zeichen, das jedoch nur aus 1en und 0en besteht. Warum ist dieses Passwort nun jedoch unsicherer wenn man davon ausgeht das derjenige, der das Passwort zu knacken versucht nicht weiß, aus welchen Zeichen es besteht und daher einfach alle Kombinationen durchzuprobieren hat. Dann sollte doch so ein Passwort genauso sicher sein, wie jedes andere aus zwölf Zeichen, oder?
Danke für die Aufklärung!
-
Moin!
Ich habe da mal eine etwas mathematische, kryptographische Frage, die mich schon länger beschäftigt.
Es heißt ja immer man solle als Passwörter Buchstaben-Sonderzeichenkombinationen verwenden, die aus mind. 12 Zeichen bestehen, damit ein Erraten umso schwieriger fällt oder um z.B. auch eine Wörterbuch-Attacke ins Leere laufen zu lassen.
Angenommen ich habe jetzt ein Passwort wie '100111010000', also auch zwölf Zeichen, das jedoch nur aus 1en und 0en besteht. Warum ist dieses Passwort nun jedoch unsicherer wenn man davon ausgeht das derjenige, der das Passwort zu knacken versucht nicht weiß, aus welchen Zeichen es besteht und daher einfach alle Kombinationen durchzuprobieren hat. Dann sollte doch so ein Passwort genauso sicher sein, wie jedes andere aus zwölf Zeichen, oder?Danke für die Aufklärung!
Also wenn dich jemand sieht, wie du das passwort eingibst, was heißt eingibst, ehergesagt wie du auf der eins und der null rumhackst wird es eher ein leichtes für ihn sein, als wenn du wirre irgendwo auf der Tastatur rumschreibst.
Schöne grüße
Justus
-
Hi,
Also wenn dich jemand sieht, wie du das passwort eingibst, was heißt eingibst, ehergesagt wie du auf der eins und der null rumhackst wird es eher ein leichtes für ihn sein, als wenn du wirre irgendwo auf der Tastatur rumschreibst.
Ja da bin ich auch deiner Meinung, aber da das nicht wirklich die Frage war ist das wieder ein anderes Problem.
Um die eigentliche Frage zu beantworten, versteh ich die Überlegungen sehr gut und glaub auch dass du recht hast. Kenn mich aber nicht so gut auf diesem Gebiet aus.
MfG
Simon-
Hi,
Also wenn dich jemand sieht, wie du das passwort eingibst, was heißt eingibst, ehergesagt wie du auf der eins und der null rumhackst wird es eher ein leichtes für ihn sein, als wenn du wirre irgendwo auf der Tastatur rumschreibst.
Ja da bin ich auch deiner Meinung, aber da das nicht wirklich die Frage war ist das wieder ein anderes Problem.
Um die eigentliche Frage zu beantworten, versteh ich die Überlegungen sehr gut und glaub auch dass du recht hast. Kenn mich aber nicht so gut auf diesem Gebiet aus.
MfG
SimonVon den anderen aspekten her gesehen ist es schon schwerer wirrkürliche Zeichenfolgen zu nehmen, da es solche Programme gibt die jede Zifferreihenfolge durchlaufen, angefangen von zahlen bis buchstaben bis kombinationen, aber du kannst dir das ja vorstellen wie lange das dauern würde, daswegen ist es zu empfehlen immer kobinationen zu verwenden die Sinnfrei sind.
Aber Raten oder sowas, da gewinnt man eher im Lotto und hätte denk ich auch mal mehr davon, also Lotto zu spielen :D
Schönen Gruß
Justus
-
Aber Raten oder sowas, da gewinnt man eher im Lotto und hätte denk ich auch mal mehr davon, also Lotto zu spielen :D
Wenns um einen Rateversuch geht gewinnt man in der Tat eher im Lotto (z.B. 6 aus 45 - etwa 8 Millionen Kombinationen wenn ich nicht irre) als mit einem Versuch ein 8-stelliges Dezimal-Passwort zu erraten (100 Millionen)
-
Hi,
Wenns um einen Rateversuch geht gewinnt man in der Tat eher im Lotto (z.B. 6 aus 45 - etwa 8 Millionen Kombinationen wenn ich nicht irre) als mit einem Versuch ein 8-stelliges Dezimal-Passwort zu erraten (100 Millionen)
es gibt 49 Zahlen beim Lotto, oder? Das macht ca. 14 Mio. Kombinationen.
Wie auch immer, es ist ein voellig unsinniger und in dem Fall gefaehrlich verharmlosender Vergleich. Grund: Lotto kann man nur einmal pro Woche spielen.
Viele Gruesse,
der Bademeister-
Tach,
Lotto (z.B. 6 aus 45 - etwa 8 Millionen Kombinationen wenn ich nicht irre)
es gibt 49 Zahlen beim Lotto, oder?ganz Gallien? ;-)
mfg
Woodfighter-
Hi,
ganz Gallien? ;-)
wow, sooo viele Spielsysteme...
Ich hatte einigermassen fest damit gerechnet, dass jemand widerspricht, dass man Lotto nur einmal die Woche spielen koenne - das ist ja glaub ich irgendwie falsch. Dass aber Lotto nicht mal gleich Lotto ist - ich hatte ja keine Ahnung ... ;-)
Danke, viele Gruesse,
der Bademeister-
Hallo
ganz Gallien? ;-)
wow, sooo viele Spielsysteme...
... Dass aber Lotto nicht mal gleich Lotto ist - ich hatte ja keine Ahnung ... ;-)
Schau dir mal den Heckmeck um den italienischen Lottojackpot und die Lottotouries an, die ihn haben wollen (da sind über 130 Mio EURO drin). Dort spielt man 6 aus 90, was auch erklärt, warum der Jackpot so lange nicht geknackt wurde. Die Wahrscheinlichkeit, sechs Richtige zu haben, ist bei 6 aus 90 sehr viel geringer als z.B. bei 6 aus 45 oder 6 aus 49.
Tschö, Auge
--
Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
Terry Pratchett, "Wachen! Wachen!"
Veranstaltungsdatenbank Vdb 0.3-
Tach,
Die Wahrscheinlichkeit, sechs Richtige zu haben, ist bei 6 aus 90 sehr viel geringer als z.B. bei 6 aus 45 oder 6 aus 49.
wobei der deutsche Lottojackpot ja 6 aus 49 _und_ 1 aus 10 ist, da ist die Wahrscheinlichkeit nicht mehr so großartig unterschiedlich (Faktor 5, wenn ich das richtig überschlagen habe).
mfg
Woodfighter
-
-
-
-
es gibt 49 Zahlen beim Lotto, oder? Das macht ca. 14 Mio. Kombinationen.
Ja bei euch :p
Grund: Lotto kann man nur einmal pro Woche spielen.
So ein Blödsinn :) Das geht auch 2x
-
-
-
-
-
-
Hi Franz,
Warum ist dieses Passwort nun jedoch unsicherer wenn man davon ausgeht das derjenige, der das Passwort zu knacken versucht nicht weiß, aus welchen Zeichen es besteht
ganz einfache Antwort: Er weiss es nicht, aber er wird es ahnen. In einer Umgebung, in der die Benutzer, die sich ein Passwort geben, unbedarft sind in dieser Hinsicht (denke etwa an Facebook oder so), werden die meisten Passwoerter schlecht gewaehlt. Ich habe mal gerade ueberschlagen: Wenn fuer ein Passwort "nur" (Gross- und Klein-)Buchstaben und Ziffern erlaubt sind, dann bestehen von allen moeglichen Passwoertern der Laenge <= 12
- nur ca. 13% nur aus Buchstaben
- nur je ca. 0,003% nur aus Gross- bzw. nur aus Kleinbuchstaben
- nur ca. 0,00000003% nur aus Ziffern.
Aber gerade in den unteren beiden Kategorien findet man oft ca. 90% aller benutzten Passwoerter. Da duerfte wohl klar sein, wo jeder Brute-Force-Angriff ansetzt, wenn er Passwoerter knacken will. Es lohnt sich also, sich mit seinem Passwort irgendwo in die scheinbar unendlichen Weiten des Raumes aller moeglichen Passwoerter zu begeben, anstatt sich mit all den anderen zusammen in die klitzekleine Ecke dieses Raumes zu stellen, die bei Angriffen immer als erste abgegrast wird.
und daher einfach alle Kombinationen durchzuprobieren hat.
^^^^
Das ist genau der Irrtum. Man muss nur so lange probieren, bis man es gefunden hat. "Alle" ist aus Deiner Sicht das Best-Case-Szenario, aber das ist bei der Sicherheit eines Krypto-Systems uninteressant.Viele Gruesse,
der Bademeister-
und daher einfach alle Kombinationen durchzuprobieren hat.
^^^^
Das ist genau der Irrtum. Man muss nur so lange probieren, bis man es gefunden hat. "Alle" ist aus Deiner Sicht das Best-Case-Szenario, aber das ist bei der Sicherheit eines Krypto-Systems uninteressant.Ums mal mit anderen Worten zu formulieren:
Ein potentieller Angreifer wird zuerst alle Zahlenkombinantionen mit 4 bis 8 Stellen durchprobieren - die viele Benutzer verwenden Teile Ihres Geburtsdatums oder vergleichbares verwenden. Ebenso werden Kombinationen wie abc123, 12345 oder asdf ganz weit oben in den Wortlisten stehen.
Nach etwa über 100 000 000 Versuchen hat man alle die "wichtigsten" durch.
-
Nach etwa über 100 000 000 Versuchen hat man alle die "wichtigsten" durch.
Nachtrag: natürlich ist es auch nicht sicherer, 99 999 999 als 8-stelliges Password zu verwenden, weil es bei einem Brute-Force-Angriff am "längsten" durchhält.
Die Passwortliste könnte bei jedem Angriff dynamisch zufällig erstellt (oder zumindest teilweise) werden um "in der Mitte" beginnen. Somit ist man zwar im mittel bei zufälligen Passwörtern zwar theoretisch nicht schneller aber die Wahrscheinlichkeit dass jemand 00000001 oder 99999999 als Passwort hat ist einfach geringer als irgendwas zwischendrin - der Berechenbarkeit des Menschen hilft hierbei :)
-