Prüfsysteme für Passwörter verraten gar nicht, was sicher ist

Prüfsysteme sollen dafür sorgen, dass die Nutzer bei der Registrierung bei Web-Diensten keine einfach zu erratenden Passwörter auswählen. Auch wenn den Anwendern etwas anderes suggeriert wird: Ihr Aufgabe erfüllen solche Werkzeuge mehr schlecht als ... mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ist doch klar! "Wenn überhaupt" dann kommt es auf die Länge an. Ob da jetzt möglichst verschiedene Zeichen vorkommen ist recht egal. Der Password Knacker Muss eh alles durchprobieren auch wenn es nicht vorkommt.
 
@BadMax: Es ist doch allgemein bekannt, dass es nicht auf die Länge ankommt. Es ist alles eine Frage der Technik. ^^
 
@Rumulus: Technik stimmt schon aber der Tackt muss auch einer Nähmaschiene nacharmen !!! lol
 
@BadMax: Es kommt auf die Laenge und die Zeichen an. Hast du a-z hast du 26 Zeichen zu testen bei einem ein stelligen password. Hast du a-z,A-Z,0-9,!-? hast du wohl mehr Zeichen zu testen. Glaubst du die Zeit dauert fuer 26 Zeichen genauso lang wie fuer 256 Zeichen?
 
@-adrian-: Wenn man aber theoretisch alle Zeichen verwenden kann, man aber nur a-z nutzt, muss doch trotzdem alles geprüft werden oder nicht?
 
@treyy: Und wenn der Passwortknacker erst alle Kombinationen von a-z versucht und danach erst die schwierigeren?
 
@gutenmorgen1: Dann vielleicht: %derrestderpasswortsistegalhauptsachelang
Kenne mich nicht sooo gut aus, von daher überlege ich einfach nur, was ein einfaches Passwort zum merken aber ein schwieriges zu knacken ist :P
 
@-adrian-: Der der das Passwort knacken möchte, weiß aber nicht welche Zeichen das Passwort beinhaltet.
 
@BadMax: ja, da macht es microsoft den hackern mit seinen windows live konten echt einfach... maximal 16 zeichen und keine sonderzeichen. frag mich, wie lange das gut geht...

und zu den passwortbewertungsdiensten - deren aufgabe ist, möglichst viele paßwörter zu sammeln. aus welchem grund? ja, vielleicht sind sie ja nebenbei entwickler von rainbowtables für brute force attacken. ich hab nicht nur einmal im netz gelesen, daß man keine paßwörter verwenden soll, die man bei so einem dienst eingegeben hat... warum nur?
 
@stereodolby: Ich weiß ja nicht was du für ein "Windows Live Konto" hast aber mein Microsoft Konto Passwort hat Sonderzeichen. Und zwar das schon seit bereits mindestens 7 Jahren als es noch Hotmail und MSN gab.
 
@Matti-Koopa: Ja es hat sonderzeichen - ist trotzdem nur 16 Zeichen lang :)
 
@-adrian-: Ein Passwort gilt meines Wissens nach derzeit ab 14 Zeichen als "sicher".
 
@Matti-Koopa: 12345678901234 ist also sicher? ;D
 
@dodnet: Dies erscheint vermutlich in einfachen Wörterbüchern auf also eher nicht. Aber vermutlich sicherer als P4$$w0rD.
 
@Matti-Koopa: Vermutlich nicht. Man wuerde naemlich erst die kombinationen durchlaufen statt direct mit Sonderzeichen zu beginnen
 
@-adrian-: Aber bis zu welcher Stelle? Wenn du bis zur 14. Stelle erstmal nur Kleinbuchstaben durchläufst dann dauert das schon eine sehr, sehr, sehr lange Zeit. Und in Zwischenzeit hast du kein einfacheres/kürzeres Passwort gefunden dass Sonderzeichen oder Großbuchstaben beinhaltet.
 
@BadMax: Definitionssache. Die Länge allein ist nicht aussagekräftig. Wenn man einfach ein langes normales Wort nimmt, ist das zwar länger als ein kurzes Wort, bei einem Wörterbuchangriff aber extrem schwach. Und 123456789012345678901234567890 ist auch alles andere als sicher, aber schön lang...
 
@BadMax: In der Realität kommen aber Passwort-Listen (+ ev. Filter/Modifikatoren) zum Einsatz. Auch wenn die Entropie von "123456" und "e&k-3A" gleich ist, ist wohl für jeden offensichtlich, dass die Passwörter unterschiedlich gut sind. Passwört-Sicherheit hat nur zweitrangig was mit Länge und Entropie zu tun. Es geht darum wie einfach es erraten werden kann, da Menschen in der Regel schlecht sind Zufällige Zeichenketten zu bilden gibt es statistische Häufungen und genau die machen den Unterschied bei der Sicherheit von Passwörter.
Experiment um zu zeigen, dass Menschen schlecht mit Zufällen sind.
Schreib auf einen Zettel die Ziffer "7". Dann frag einen Freund er soll rasch eine zufällige Zahl zwischen 1 u. 10 nennen. Die meisten wählen 7, am zweit häufigsten kommt 3.
 
Ist jetzt nicht überaschend.
nur zufällige lange passwörter sind sicher aber nur weil der Prüfalgorythmus kein Muster erkennt heißt das ja nicht das keins vorhanden ist....
Prüfen kann man nur auf anwesenheit eines bekannten systems und nicht auf abwesenheit.
 
Ich wette diese Prüfsystem speichern, die Passwörter dann auch noch in einer Datenbank.
 
Microsoft laesst passwoerter laenger als 16 Zeichen nicht mal zu. Wirklich ein Trauerspiel. Mit Sicherheit wird dort im Hintergrund schon lange dran gearbeitet laengere Zeichen zu ermoeglichen. Langsam wirds naemlich dafuer mal Zeit
 
@-adrian-: Weil 16 Stellen nicht mehr als genug sind?

Weißt du was viel effektiver ist als 256stellige Passwörter? Den Account nach x Versuchen einfach direkt sperren mit E-Mail (oä) an den Nutzer.

Und bei 16 Stellen kann x auch problemlos 100 oder 1000 sein.

Eine Bankpin hat üblicherweise nur 4 Stellen, motzt du da auch über deine Bank?
 
ach, wie neu^^ klar bringen die nix, wie auch wissen ja auch nicht mit welchen wordlisten etc gearbeitet wird ;)
 
Heutzutage kommt es gar nicht mehr so auf dieses "Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen" an. Wörterbuch-Angriffe sind nicht mehr die größte Bedrohung. Die Rechenleistungen heutzutage probieren einfach per Brute Force alles durch.
Ein Passwort aus nur Kleinbuchstaben aber 14 Zeichen ist also mittlerweile viel sicherer als ein Passwort aus 8 Zeichen mit Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen.
 
@Matti-Koopa: Hängt noch von anderen Faktoren ab. Ist aber Grundsätzlich nicht ganz falsch ;)

ysexdrcftvgzbh
Benötigte Zeit (Sekunden): 2895379589234.987

wertzuiopasdfs
Benötigte Zeit (Sekunden): 809121.83

a1$F5/s@
Benötigte Zeit (Sekunden): 16249399.688
 
@wertzuiop123: Natürlich. Wenn man sein Script jetzt darauf programmiert nur a-z durchzugehen dann ist man bis zu einer gewissen Stellenanzahl schneller. Stellt sich jedoch die Frage ob das sinnvoll ist. Man erratet, zumindest im höheren Stellenbereich, mehr Passwörter wenn man auch Großbuchstaben, Zahlen und Sonderzeichen reinnimmt.
 
Stimmt doch gar nicht! Mein Frisör ist über das aktuelle Tagesgeschehen ganz gut informiert und auch sonst weiß der auch zu vielem eine Antwort!

Nein, ernsthaft, diese Einzeluntersuchung ist für mich nicht so besonders sinnig. Die Frage wäre ja auch, wie viele fehlerhafte Einlogversuche sind möglich, werden auch andere Dinge, wie z.B. der Rechnername überprüft usw.
 
Wenn Web services endlich mal auf den Trichter kommen die Seiten nach20 Fehlversuchen dicht zu machen und dem User ne mail mit Reaktivierungsinstruktionen unter Verwendung von Sicherheitsfragen zu senden bräuchte keine Sau ewig lange Passwörter im Web.

Lange PWs können nur vor einem Schützen: Brute Force.
Und Brute force lässt sich sehr einfach unmöglich machen.
 
Das ganze Paßwortsystem ist inzwischen inhärent unsicher. Egal wie kurz oder lang da was ist.

Ansonsten war das Ergebnis zu erwarten - anders hätte es ausgesehen, wenn *ein einzelner* Prüfer inkonsistente Ergebnisse geliefert hätte.

Aber zwei verschiedene Implementationen von zwei verschiedenen Entwicklern werden logischerweise mindestens zwei verschiedene Ideen haben, *was* ein sicheres Paßwort überhaupt *sein soll*.

Und hier liegt der Hund begraben. Wenn neun Entwickler zehn verschiedene Vorstellungen haben können, was "sicher" sein soll, dann fehlt es ganz offensichtlich an der objektiven(!) Sicherheit selber.

Wir machen ja nichts anderes: wir haben unsere Annahmen(!), wie ein Paßwort zu knacken gehen könnte und erklären auf Basis dessen, wie das theoretische Paßwort aussehen müßte, wo es auf Basis eben jener Annahme möglichst lange dauert, um dieses wieder zu rekonstruieren.

ABER. Wer garantiert uns, daß es nicht noch *andere* Wege gibt? Auf Basis eines anderen "Knack-Konzeptes" wären logischerweise auch andere Paßwörter "sicher" oder "unsicher" als diejenigen, die *wir* darunter verstehen.

Ein Beispiel. Ich behaupte: "ZZZZzzzz" ist sicherer als "AAAAaaaa".

Ansatz 1: Man probiert alle Kombinationen der Reihe nach durch und landet zuerst bei dem A-Paßwort. Deshalb ist es sicherer.

Ansatz 2: Man probiert alle Kombinationen stark parallelisiert aus (divide+conquer) und hat so beide Paßwörter in etwa gleichzeitig.

Nach (1) wäre die Behauptung richtig, nach (2) aber offensichtlich falsch.

Tatsache bleibt, Paßwörter sind heutzutage inhärent unsicher. Abhilfe schaffen nur weitere Sicherungssysteme, erstmal unabhängig davon, wie genau diese implementiert sind: eine Sperrung des betroffenen Accounts nach beliebig, aber fix vielen Fehlversuchen würde schon einiges erreichen und ein vernünftiges Challenge/Response-System würde zumindest auf der Paßwort-Ebene selber unknackbar werden.
 
@RalphS: Warum sollte ein Passwort sicherer als ein anderes sein, nur weil es in einer Abarbeitungsliste "früher" als ein anders geknackt wird? Ein Algorithmus kann auch genau das annehmen und von hinten anfangen, dann ist deine Aussage hinfällig.
 
Da bin ich froh, dass ich mich auf meine Erfahrung verlassen kann. Im Gegensatz zu diesen Prüfsystemen hat mich die noch nie enttäuscht.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles