Wörterbuch Angriff auf Passwörter

691
jsigned

Ich bezweifle den allgemeinen Ratschlag, Wörterbücher in einem Satz nicht als Passwort zu verwenden. Zum Beispiel mit "Mein Name ist Sue!" als Passwort. Auf den Websites, die ich hoste und verwalte, wenn Sie nicht genau diese Zeichenfolge eingeben, mit der Sie nicht reinkommen. Ich habe mir die Wörter angesehen, die von einigen Crackern verwendet werden. Ich gab schnell den Versuch auf, ein Wort zu finden, das nicht in jeder geschriebenen Sprache vorhanden war. Ein niederländisches Schimpfwort macht also ein mieses Passwort. Aber da waren keine Phrasen drin, und selbst wenn die Anzahl der möglichen Phrasen und ihre Permutationen nicht einfach eine andere Form von Brute-Force-Angriff darstellen würden?

Warum also der Rat, keine Wörterbücher in einem Satz für eine Passphrase zu verwenden?

(Seifenkiste) Ich denke, die IT hat den Benutzern einen schlechten Dienst erwiesen, indem sie immer komplexere und unmöglichere Kennwörter erforderte, anstatt den Ratschlag zur Verwendung einer Passphrase zu geben. Ich bin auf der Suche nach einer vernünftigen Antwort, warum ich falsch denke und auf den allgemeinen Rat zurückgreifen sollte. (/ Seifenkiste)

2
Dies wäre im IT-Sicherheitsforum besser. Siehe: http://security.stackexchange.com/questions/6308/are-there-state-of-the-art-techniques-or-theory-specifically-for-attacking-passp David Marshall vor 11 Jahren 1
Hier eine ähnliche Frage aus dem Sicherheitsbereich: http://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase ernie vor 11 Jahren 1

3 Antworten auf die Frage

1
Hennes

Wie schwer es ist, ein Passwort brutal zu erzwingen, hängt von mindestens zwei Variablen ab:

  • Passwortlänge.
  • Zulässige Passwortzeichen

Der erste ist offensichtlich. Wenn ich mich auf nur Buchstaben beschränke (26 Kleinbuchstaben + 26 Großbuchstaben), dann

  1. Ein einziges Buchstabenkennwort kann in höchstens 52 Versuchen erraten werden.
  2. Ein aus zwei Buchstaben bestehendes Passwort kann in höchstens 2704 Versuchen erraten werden (52 × 52).
  3. Ein aus drei Buchstaben bestehendes Passwort kann in höchstens 140608 Versuchen erraten werden (52 × 52 × 52).

Wie Sie sehen, steigt die Anzahl der Kombinationen schnell an. Je länger das Passwort ist, desto schwieriger ist es daher, Gewalt anzuwenden. Die IT sollte lange Passwörter fördern.

Viele alte Anwendungen akzeptieren jedoch nur Passwörter bis zu einer Länge von 8. Dies ist einfach zu kurz für eine gute Sicherheit. Wenn Sie auf 8 Zeichen beschränkt sind. Wenn Sie die Anzahl der Kennwörter einschränken oder wissen Sie, dass Ihre Benutzer keine langen Kennwörter verwenden, gibt es eine andere Möglichkeit, Kennwörter schwerer zu machen: Bringen Sie für das Kennwort einen größeren Eingabesatz als nur Buchstaben in Betracht. Ziffern hinzufügen Fügen Sie seltsame Dinge auf der Tastatur hinzu .

Dies ist keine gute Lösung. Es ist eine Problemumgehung, um den durchschnittlichen Benutzer oder alte Systeme auszugleichen. Ein Passwort wie BatteryHorseStaple (Länge 18) ist viel schwieriger zu knacken als die meisten kurzen, aber komplexen Passwörter. Die meisten Leute werden jedoch zu faul sein, um das einzugeben.

Möglicherweise stellen Sie fest, dass ich den Begriff Brute Force konsequent verwendet habe und kein Passwort knacken . Dies liegt daran, dass es andere Möglichkeiten gibt, Passwörter von Personen zu ermitteln. Zum Beispiel könnte man nur raten.

Wörterbücher sind nichts weiter als große Wortlisten, die zu erraten sind, und Programme zum Knacken von Passwörtern sind klug genug, um Variationen von Wörtern in Wörterbüchern auszuprobieren.

Dies macht die Wörter in einem solchen Wörterbuch für beide Passwörter und die Verwendung in Passphrasen ungeeignet.

Wenn Sie die Heftklammerreferenz für Akkus verwenden, können Sie auch auf [den Comic] (http://xkcd.com/936/) klicken. ernie vor 11 Jahren 0
1
ernie

Sie vergleichen Passwörter mit Passwörtern . Passphrasen gelten im Allgemeinen als überlegen, solange die Menschen keine gebräuchlichen Phrasen verwenden.

1
Jan Doggen

As 'Ernie' already said you are comparing passwords with passphrases. The advice not to use dictionary words is solid. But using passphrases as a combination of dictionary words is only 'one step' less dangerous, as are other tricks trying to make a memorable password/phrase.

Nowadays, in the situation where an attacker has the encrypted version of your password(phrase), he will not just do an ordinary dictionary attack. The hackers know all the tricks (leetspeak, concatenating words, adding numbers etc).

Extended info in Security Now episode 366 "Password Cracking Update: The Death of 'Clever'" (or read its transcript).

I suggest you use a good password generator like LastPass (also entensively discussed in Security Now episode 256) to generate random passwords for you. Humans are bad at random (either generating it or detecting it)

If you really want memorable passwords, you might want to use the password haystacks technique as an alternative to hard to remember random combinations. Here you append a repetitive string (123 123 123) to a short string containing maximum entropy (D0g!).

Whatever method you choose, make your passwords at least 12 characters. All 8 character passwords can now be cracked in 13 hours on a build-it-yourself machine that costs $12000 (mainly for the GPUs)

Verwandte Probleme