Re: Schwachstelle Passwort! - Schwachstellen
passwort Zusatz:
bei einer statistischen Untersuchung von den von mir gebrochenen
scheinbar “sicheren” Zufalls-Passworten stellte ich fest, dass eine
deutliche Regelmäßigkeit der Buchstabenhäufigkeit zu erkennen war.
Sprich das “e” und das “a” etwa tauchten häufiger auf als das “x”
oder “y”. Einige der Passwortbrecher-Programme berücksichtigen diese
Unregelmäßigkeit, deshalb ist man gut beraten, selbst scheinbar
unregelmäßige Passphrasen noch einmal zu überarbeiten, bis solche
Unregelmäßigkeiten sich auflösen.
Die Sicherheit eines Passwortes berechnet sich bekanntlich aus der
Bit-Tiefe. Alles bis 60 Bit ist schon mit verhältnismäßig geringem
Aufwand und einem mäßigen PC zu knacken. Ein paar Beispiele:
Passworte aus 10 Zahlen
Bei einer Passwortlänge von “l” aus “n” möglichen Ziffern haben wir l
* (log n/log 2) Bit. 10 Ziffern entsprechen also 10* log 10/log 2= 33
Bit
Passworte aus 26 Buchstaben
10 Zeichen aus 26 Buchstaben entsprechen somit 47 Bit
Groß und Kleinbuchstaben sind zusammen 52 Buchstaben 10 Ziffern
macht 62 Zeichen. 10 Zeichen aus 52 entsprechen somit 59 Bit
Wirkliche Sicherheit erreicht man jedoch erst ab allermindestens 128,
besser 256 Bit.
Wenn wir herkömmliche Worte nehmen, dann haben wir in der Regel einen
durchschnittlich zu erwartenden Wortschatz von 5000 Worten. Dabei
wird nicht berücksichtigt, dass diese Worte nicht einmal in
gleichmäßiger Häufigkeit auftreten.
Passphrasen aus 10 Wörtern aus 5000 Worten sind somit etwa 122 Bit
stark. Dieses Ideal wird dabei jedoch BEI WEITEM nicht erreicht, weil
schon mit wenigen Worten ein Großteil der deutschen (oder englischen)
Sprache abgedeckt werden kann. Buchstabenhäufigkeitsuntersuchungen
zeigen (de.wikipedia.org/buchstabenhäufigkeit), dass es nur wenige
statistisch korrekte Möglichkeiten gibt, dass ein Buchstabe auf den
anderen folgt. Ebenfalls ist die Häufigkeit von Worten stark
konzentriert auf einige wenige. Wer sich deshalb darauf verläßt, dass
ein Passsatz ihm Sicherheit garantiert, kann schnell eine böse
Ãœberraschung erleben.
Die Regelmäßigkeiten von Anfangsbuchstaben in deutschen Sätzen sind
sehr deutlich zu erkennen und die Sicherheit eines 10-Zeichen
Anfangsbuchstaben-Passwortes aus einem Pass-Satz liegt deutlich unter
dem von rein zufälligen Zeichen. Die Bittiefe läßt sich mit Hilfe
eines halbwegs intelligenten Algorithmus schnell reduzieren. Zu
bemerken ist hierbei, dass herkömmliche Passwortknacker wie “john”
solche Reduzierungen noch nicht einmal vornehmen, dahingehend aber
relativ einfach modifizierbar sind.
Wieviel Bit knackt ein “john” durchschnittlich? John generiert auf
einem typischen 32-Bit 3 GHz-System etwa 3.3 Mio Passcodes pro
Sekunde, das entspricht 22 Bit. An Passwörtern generiert john im
inkrementellen Modus -i:all nur etwa 7.3 Mio Passwörter pro Sekunde,
das entspricht 23 Bit pro Sekunde. Dieser Wert ist mit einem
effizienten Algorithmus geschätzt noch gut und gern um mindestens
Faktor 1000 zu verbessern, damit käme man auf 7.3 Milliarden
Passworte pro Sekunde oder 32 Bit.
Ein dreistelliges Passwort aus Groß- und Kleinbuchstaben, sowie
Ziffern und Sonderzeichen hat etwa 19 Bit. Ein gültiges Datum hat
weniger als 19 Bit.
Gruß Hanno
Mai 26th, 2008 - Posted in Allgemein | |
2 Responses to ' Re: Schwachstelle Passwort! - Schwachstellen '
Leave a reply
You must be logged in to post a comment.
on Juni 15th, 2008 at 21:04
[…] bitte.. javascript-validierung bei passwörtern ist höchstens > if länge_ok and passwort1=passwort2 oder sowas.. das haut doch dann > noch hin, oder nicht? Ich hatte da auch an Laengenchecks und […]
on September 13th, 2008 at 23:19
[…] > man sich für diverse Sachen auch diverse Passwörter aufschreiben. > Genau da liegt das Problem: jeder fordert ein Login, keine Seite sagt, wie die UserID denn zumindest vom System her aussieht (ein […]