[Vaddibaer]

Hallo,
gerade eben habe ich wieder einen Sicherheitshinweis gelesen, in dem geraten wird Sonderzeichen in ein mind. 10 stelliges Passwort einzubauen um ein hohes Maß an Sicherheit zu gewähren.


Aus diesem Grund habe ich soeben den Taschenrechner gezogen und bin zu folgendem gelangt:

Es gibt etwa 95 ASCII-Zeichen pro Stelle, die für ein Passwort in Frage kommen.
Bei einem 10stelligen Passwort wären das dann ~6*10^19 Möglichkeiten

Wenn man nun aber das reine Alphabet benutzt also aAbBcC...zZ kommt man auch auf ca. 50 Zeichen
Bei einem 12stelligen Passwort wären das dann ~2*10^20 Möglichkeiten

-> Meine Schlussfogerlung ist also:
Ein 10 stelliges Passwort mit Sonderzeichen ist per brut-force schneller geknackt als ein alphabetisches Passwort mit 12 Stellen.

Meiner Meinung nach kann man sich "uIka ArbS AuZh" einfach besser einprägen als
"/L| {[K %^i°", da man es zumindest annähernd als Wort aussprechen kann ;-)



Das Ganze gilt natürlich unter der Vorraussetzung, dass die Zeichenfolgen in beiden Fällen keinem System oder Alltagswerten/Namen genügen.


Eure Meinung?

Grüße
Vaddibaer

Dieser Beitrag wurde von Vaddibaer bearbeitet: 05. September 2007 - 13:33

[ShadowHunter]

Es geht nicht darum NUR Sonderzeichen zu verwenden. Abgesehen davon werden meist erstmal Woerterbuch attacken gestartet.

[Gitarremann]

Eben, es geht ja darum möglichst Buchstaben, Zahlen und Sonderzeichen zu benutzen und nicht nur eins davon an dann potenzieren sich ja die Möglichkeiten. Vor Allem geht es darum, in Wörterbüchern vorkommende Begriffe auszuschließen.

Dieser Beitrag wurde von Gitarremann bearbeitet: 05. September 2007 - 13:47

[Vaddibaer]

da stimme ich euch beiden natürlich voll und ganz zu.
meine frage ist ja nur generell:
kann man auf zahlen und sonderzeichen in einem 10stelligen passwort verzichten, wenn man noch 2 Buchstaben hinten dran hängt?

Anders herum könnte man auch fragen:
warum rät jedes Anmeldeformular im Internet, Sondereichen in die eigenen Passwörter einbauen, die es meiner Meinung nach erschweren, sich das Passwort einzuprägen?

Ob man nun ein 10stelliges Passwort aus einem Pool mit 95 Zeichen aufbaut
oder ein 12 stelliges Passwort mit alphabetischen Buchtaben
oder eine 20 stellige Zahl nimmt, ändert doch theoretisch absolut nichts an der Sicherheit des Passwortes.

ODER etwa doch ?


über das thema: benutze keine haustiernamen und starwarshelden für ein passwort, sind wir doch schon längst hinaus

Dieser Beitrag wurde von Vaddibaer bearbeitet: 05. September 2007 - 14:34

[ShadowHunter]

Je laenger umso besser, auch wenn das sehr pauschalisiert ist. Wenn Progamme dann doch (AOL) das Passwort beschneiden bringt das auch nix. Was ist das Problem sich das zu merken, einfach nen System ausdenken und gut ist. Sonst koennte ich mir meine 40-50stelligen Passwoerter ja nie merken.

[Vaddibaer]

das Passwörter mit ihrer Länge sicherer werden ist ja richtig und nichts neues, aber ich will doch nur sagen, dass ich nicht nachvollziehen kann weshalb man sonderzeichen benutzen soll.

Beispiel:

Das Binärpasswort:
"1111111111111111"

ist genau so sicher wie das Hexadezimalpasswort:
"FFFF"

obwohl es immer 4x so lang ist.

Da der Zeichensatz des Alphabetes aAbBcC...zZ in etwa halb so groß wie der ASCII Zeichensatz inklusive Zahlen und Sonderzeichen, macht es doch wenig Sinn, den großen, schwer merkbaren Zeichensatz zu verwenden, da sich das kaum auf die Sicherheit des Passwortes bei fast gleichbleibender Länge auswirkt.

Dieser Beitrag wurde von Vaddibaer bearbeitet: 05. September 2007 - 15:10

[theposterity]

Ein "sicheres passwort !" :
1. passwort sollte aus möglichst vielenschriftliche zeichen bestehen (zahlen,sonderzeichen und buchstaben)
2. um verwechsung zu vermeiden sollten gleich aussende ziffern ausgeschlossen werden
3. die ziffern sollten möglichst durcheinander gewält werden und kein wort ergeben !
4. die kombination der ziffern sollte möglichst lang gewählt sein (länger gleich besser)
5. unsicher z.b. : 12345,13579,qwert,sex,mama...
6. eher als sicher einzustufen : x:qw!24?ag:s,Z1z3=5*6=30
7 die aus beispiel 5 und 6 nicht verwenden

nun zur theorie warum das ganze ?
wöterbuch-attake funktioniert z.b. so:
es werden einfach alle wörter in einem wörterbuch (meist als text datei)
der reihe nach durchprobiert bis ein wort oder evtl eine bekannte viel
werwendete kombination das richtige ergebniss ausgibt

bruteforce-angriff
der brute-force-angriff funktioniert änlich der wöterbuch-attake
nur das keine vorgegebenen wörterlisten vorhanden ist sondern
es wird einfach brutal das alphabet und zahlen durchprobiert:
a -> z
A -> Z
0 -> 9
und alle mit der tastatur erzeugbaren zeichen
man kann meisst die suche einschranken anhand veschidener parametern
z.b. nur zahlen,nur kleinschreiben,nur großschreiben,nur sonderzeichen,
oder selbst definiert z.b. wenn man weiss welche zeichen vorkommen
aber da ja meisst nicht bekannt ist welche zeichen vorkommen oder nicht werden alle genannten
metoden durchprobiert bis das gesuchte ergebniss vorliegt

du möchtest wissen wie "sicher" dein passwort ist ?
wenn derjenige der dein passwort viel zeit hat und viel geduld
ist KEIN passwort sicher !
es kommt auserdem darauf wie (in welcher form) passwort
gesichert wierd/wurde ein im klartext gespeichertes passwort braucht
man/frau nicht einmal knacken und wenn ein passwort z.b. immer
an der gleichen stelle mit der gleichen länge steht braucht amn/frau es einfach
nur löschen und durch ein bekanntes austauschen
offt werden passwörter in form vom md5 hashcodes gespeichert
wenn man dann z.b. ein wort selbst wält und es selber im form
eines md5 hash wertes speichert und dann auch weiss wo das
original steht ist es unter umständen sogar möglich das original
auszutauschen (überschreiben) und somit zugang zu bekommen.

naja wer interesse hat sollte für weitere infos mal im netz z.b.
nach rainbowtable,datenverschlüsselung,datensicherheit,
zugriffsschutz
evtl ausschau halten
es gibt durchaus möglichkeiten daten "sicher" zu sichern !?
nur die frage ist wie hoch soll der aufwand sein bzw ist nötig (kosten,wichtigkeit der daten)?

2007
theposterity
wer denkt das er sicher sei denkt unsicher !?

[linksta]

mal eine frage an die spezis. ändert ihr euer passwort regelmässig? und unterscheidet ihr zwischen "wichtigen accounts" und mehr oder weniger "unwichtigen" accounts

[Gitarremann]

Passwortlänge und Zusammensetzung bilden nur eine relative Sicherheit. Genauso wichtig ist der Umgang mit dem Passwort. Ein stinknormales Türschloß ist ja auch sicherer als das beste Sicherheitsschloß, wenn vom Sicherheitsschloß der Schlüssel unter der Fußmatte liegt.
So ist es für mich auch eine Komponente der Sicherheit, nicht zu erzählen, wie ich meine Passwörter erstelle oder ob es da ein bestimmtes Muster gibt. Das geht ja schon los, wenn man in mehreren Foren angemeldet ist und viel so über private Sachen plaudert. Wenn man da die Zielperson geschickt in ein Gespräch verwickelt, erzählt die einem unter Umständen die Antworten für die Standard-Sicherheitsabfragen für vergessene Passwörter in nem ganz anderen Forum. Name des Haustiers, Geburtsname der Mutter oder Name der Lieblingslehrerin oder was es da immer so gibt. Da nützt dann das längste Passwort mit den seltensten Sonderzeichen nix.

Dieser Beitrag wurde von Gitarremann bearbeitet: 05. September 2007 - 16:15

[Samstag]

Apropos Sonderzeichen: Könnt z.b. auch daran liegen das der grösste Teil der Welt mit den Sonderzeichen wie öäüß nix anfangen kann, weil die meist auf den deutschsprachigen Raum beschränkt sind.
Will sagen das der Australier z.b. höchstwahrscheinlich nicht das Passwort Agülöreß versuchen wird, weil er die Sonderzeichen eben gar nicht kennt und auch auf seiner Tastatur nicht finden wird.
Also Sinn macht das schon.

Dieser Beitrag wurde von Samstag bearbeitet: 05. September 2007 - 16:21

[Lofote]

Dafür kann man Umlaute auf einer englischen Tastatur nicht mal eben geschwind eingeben. Wenn also aus Versehen mal dein Windows die Loginmaske auf englische Tastatur stellt, oder du vom Ausland aus auf z.B. dein Webmailer drauf willst, haste schlechte Karten ...

Beim Aussuchen eines Passworts sollte man auch immer bedenken, für was es ist: Beispielsweise sperren viele Server einen Account für eine gewisse Zeit nach soundsoviel Fehlschlägen. Da funktioniert brute-force also nicht. Bei einer verschlüsselten RAR/ZIP/...-Datei oder wenn du auf einen Server physikalischen Zugriff hast, sieht es dann wieder anders aus.

[Langi0815]

Hi

Unter verwendung von Groß- und Kleinbuchstaben ergeben sich 62(hoch Anzahl der Zeichen) möglichkeiten. Bei einem acht Zeichen langen Passwort ergäben sich 218.340.105.584.896 Möglichkeiten bis das Passwort geknackt werden könnte.


Sofern eine Anwendung oder ein Anbieter die Verwendung von Sonderzeichen in Passwörtern unterstützt sollten auch sie verwendet werden sie erhöhen die Sicherheit eines Passwortes erheblich.
Für das Passwort gilt dann eine folgende Regel:
(255 Möglichkeiten des ASCII-Zeichensatz(hoch Anzahl der Zeichen)) d.h. bei acht Zeichen in einem Passwort ergäben sich rund 17.878.103.347.812.890.625 mögliche Passwörter.



MfG

[GMD]

Ich hänge mein Problemchen mal hier an, es passt ansatzweise.

Auf meinem Win XP gibt es zwei Konten, eines mit Administratorenrechten und ein eingeschränktes für den täglichen Gebrauch. Beide sind mit Passwörtern geschützt.

Beim Adminkonto ist auch ein Sonderzeichen im Passwort welches mit gedrückter AltGr-Taste eingegeben werden muss. Und hier liegt das Problem: Wenn ich den Computer soeben gebootet habe, wird dieses Zeichen nicht angenommen! Nichts passiert, kein Punkt erscheint in der Zeile, ich kann es schlicht nicht eingeben! Eine klemmende Taste kanns nicht sein, denn ohne AltGr funtioniert es. AltGr kann auch nicht defekt sein, andere Sonderzeichen mit dieser Taste gehen ebenfalls. Einzig und allein das von mir gewählte Sonderzeichen will er nicht akzeptieren!

Es kommt noch kurioser: Melde ich mich mit dem eingeschränkten Konto an und melde mich dort wieder ab, funktioniert das Sonderzeichen auf einmal und ich komme doch noch ins Administratorenkonto rein.

Hat jemand eine Ahnung, woher dieses störrische Verhalten kommen könnte und gibt es eine Möglichkeit, Windows diese Flausen auszutreiben? Vielen Dank im voraus!

[GunZen]

Hmm, in der Tat kurios...
Ist vielleicht nicht die Lösung, aber hast Du es mal mit der Bildschirmtastatur versucht? Macht die denn das Zeichen?

GunZen

[GMD]

Wie rufe ich die Bildschirmtastatur im Anmeldefenster auf? Geht das überhaupt?