WinFuture-Forum.de: Sicheres Passwort erstellen - WinFuture-Forum.de

Zum Inhalt wechseln

Hinweis

Alle neuen Themen werden vor der Veröffentlichung durch einen Moderator geprüft und sind deshalb nicht sofort sichtbar.
Seite 1 von 1

Sicheres Passwort erstellen How-to


#1 Mitglied ist offline   KingGozza 

  • Gruppe: aktive Mitglieder
  • Beiträge: 250
  • Beigetreten: 27. Januar 15
  • Reputation: 59
  • Geschlecht:Männlich

geschrieben 14. April 2015 - 10:49

Da immer wieder in den News zu lesen ist, dass unsicheres Passwörter zu Sicherheitslücken führen und unsichere Passwörter oft verwendet werden, hier nun ein Beispiel, wie man ein sicheres Passwort erstellt.

Sicheres Passwort:
Um ein sicheres Passwort zu erstellen, ist die Komplexität des Passworts wichtig.
Je länger das Passwort ist und je höher die Anzahl der verwendet Zeichen, desto schwerer ist das Passwort zu knacken.

Mögliche Zeichen:
Alphabet
(Deutschweizer Tastatur: 32 Zeichen)
ABCDEFGHIJKLMNOPQRSTUVWXYZ ÄÖÜÀÉÈ

Alphabet und Nummern
(Deutschweizer Tastatur: 42 Zeichen)
ABCDEFGHIJKLMNOPQRSTUVWXYZ ÄÖÜÀÉÈ0123456789

Alphabet, Nummern und übliche Sonderzeichen
(Deutschweizer Tastatur: 56 Zeichen)
ABCDEFGHIJKLMNOPQRSTUVWXYZ ÄÖÜÀÉÈ0123456789!@#$% ^&*()-_+=

Alphabet, Nummern und alle Sonderzeichen
(Deutschweizer Tastatur: 75 Zeichen)
ABCDEFGHIJKLMNOPQRS TUVWXYZÄÖÜÀÉÈ0123456789!@#$ %^&*()-_+=~`[]{}|\:;’“<>,.?!/

kompletter ASCII-Zeichensatz
96 Zeichen (ohne nicht darstellbare Steuerzeichen)

Passwort erstellen:
Um ein sicheres Passwort zu erstellen, sollte man mindestens das Alphabet, Nummern und die übliche Sonderzeichen verwenden.
Das entspricht 56 Zeichen.
Für die Länge des Passworts, nehme ich 12 Zeichen.

Zur Berechnung:
Anzahl der Zeichen ^ Passwort Länge = mögliche Kombinationen / Berechnungsgeschwindigkeit pro Sekunde
Das Ergebnis x Passwörter pro Sekunde

Für unser Beispiel:
56 ^ 12 = 951166013805414055936 / 2096204400
Das Ergebnis 453756329204 Passwörter pro Sekunde

Teilt man dieses Ergebnis nun durch die Anzahl der Sekunden im Jahr, weiß man, wie viele Jahre die Berechnung braucht.
453756329204 / 31536000 = 143775 (Jahre)

Erläuterung:
Die angegebene Berechnungsgeschwindigkeit pro Sekunde schaffen die heutigen, handelsüblichen Rechner theoretisch.
Auch müssen nicht alle möglichen Passwort-Kombinationen durchgetestet werden, da der Rechner nicht erst bei der
letzten Kombination, die richtige trifft.
Aber selbst, wenn der Rechner nur ein Hundertstel der Zeit benötigt, sind es noch immer rund 144 Jahre.
Ich habe hier mit Absicht kein Passwort als Beispiel angeführt, nicht dass dieses versehentlich verwendet wird. ;)
Meine Software

SpyderCPU - WeatherCast - InetCalculator v2 - YACPv² - HideMyFiles
Feedback und konstruktive Kritik, nehme ich gern entgegen
(bitte im jeweiligen Thread schreiben)
0

Anzeige



#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.803
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 14. April 2015 - 11:49

Die Berechnung haut nicht hin - wer ermittelt schon Paßwörter der Reihe nach? Wo es doch so schöne Multithread-Architektur gibt.

Wir sollten schnellstens davon wegkommen, solche "Zeitangaben" in den Raum zu werfen (und nein, damit meine ich nicht speziell Dich, KingGozza).


... Insbesondere ist auch die Frage, ob das, was "wir" uns unter "sicher" vorstellen, auch in etwa das ist, was sich der theoretische Paßwortknacker unter "sicher" vorstellt. Wozu zum Beispiel X viele Kombinationen durchprobieren, wenn dem Angreifer Rainbow-Tables vorliegen? Oder wenn Paßwörter eh mit einem längst geknackten Algorithmus verschlüsselt worden waren. Dann hat man gar nichts von seinen ach so toll komplexen Paßwörtern.

That said: Sich auf den ASCII-Zeichensatz zu beschränken, halte ich für den größeren Schwachpunkt an diesem Ansatz. Es gibt auch Unicode heutzutage, und mit Paßwortgeneratoren muß man nicht mal wissen, wie man die verwendeten Han/Kanji/kyrillischen Buchstaben/X ausspricht, um sie zu verwenden.

- Verwendet Paßphrasen, soweit es geht. Nicht jeder Anbieter erlaubt Leerzeichen in Paßwörtern - aber wenn sie es tun, verwendet Phrasen, die man sich leicht merken kann. Brute Force hat dann kaum eine Chance.

Als Websitebetreiber... würde ich sagen, sollte man möglichst anfangen damit, von Paßwörtern wegzugehen. Gut, die sind das bequemste von allen Methoden - aber leider auch das Bequemste für die Angreifer. Idealwerweise geht das Paßwort gar nicht erst über die Leitung. Ein Ansatz, den man verfolgen könnte, wäre ein Challenge-Response-System ähnlich dem iTAN-Verfahren; kurz: es wird eine Liste von Einmal-Paßwörtern erstellt, die einen Index haben und der Benutzer wird dann beim Login aufgefordert, Paßwort "n" einzugeben. Dann, sobald der Benutzer das eingegeben und bestätigt hat, wird es *ungültig*, egal ob das zum Index gehörende PW richtig oder falsch war, und nach endlich vielen (Fehl-)Versuchen wird der Zugang gesperrt.

Wichtig hierbei: die Paßwörter sind möglichst nicht automatisiert zu generieren, sondern arbiträr zu erstellen und DANN dem Benutzer *zuzuordnen*. So wird sichergestellt, daß man sie nicht knacken kann. Über SQL Injection kommt man da zwar auch potentiell ran, aber das gilt für alle anderen Varianten genauso, ist also kein (zusätzlicher) Schwachpunkt.

Unbequem? Klar. Aber auf jeden Fall sicher(er).

Dieser Beitrag wurde von RalphS bearbeitet: 14. April 2015 - 12:06

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 Mitglied ist offline   KingGozza 

  • Gruppe: aktive Mitglieder
  • Beiträge: 250
  • Beigetreten: 27. Januar 15
  • Reputation: 59
  • Geschlecht:Männlich

geschrieben 14. April 2015 - 12:06

Ich gebe dir recht, dass die Werte nur theoretischer Natur sind.
Diese Berechnung basiert auf Multi-Threading, ich habe meinen i7 620M als beispiel genommen (hätte ich vielleicht dabei schreiben sollen).

Und ich gebe dir auch darin recht, dass Passwörter sicher nicht die beste Methode sind, um Acoounts und ähnliches abzusichern aber immer noch die effektivste.
Ich muss mich auf den Betreiber verlassen, dass die Passwörter angemessen verschlüsselt werden, auch bei der Übertragung, geschieht dies, sind Passwörter zwar noch nicht 100% sicher aber zu 98%.
Bisher wurde ich noch nicht von einem übernommenen Account überrascht und solange dies nicht geschieht, fühle ich mich mit entsprechenden Passwörtern auch sicher. :)

Edit:
Ich vergaß zu schreiben, dass dies auch nur aufzeigen soll, wie man Passwörter sicherer gestalten kann. Sicher geht da noch mehr, wie eben Unicode, was du schon erwähnt hast wobei auch noch oft die Website-Betreiber nachziehen müssen und ihre Datenbanken für mehr Zeichen optimieren müssen (wobei es bei MySQL ja nun wirklich keine Schwierigkeit ist).

Dieser Beitrag wurde von KingGozza bearbeitet: 14. April 2015 - 12:09

Meine Software

SpyderCPU - WeatherCast - InetCalculator v2 - YACPv² - HideMyFiles
Feedback und konstruktive Kritik, nehme ich gern entgegen
(bitte im jeweiligen Thread schreiben)
0

#4 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.945
  • Beigetreten: 24. Juni 05
  • Reputation: 162
  • Geschlecht:Männlich

geschrieben 14. April 2015 - 12:09

Am sinnvollsten würde ich es finden, wenn alle Anbieter eine Gedenkminute einlegen würden.
Also z.B. 3x das falsche Passwort = 15 Minuten warten, bis man es erneut eingeben kann.
0

#5 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.803
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 14. April 2015 - 12:15

Wo steht da was von MT? :unsure:

Parallel gehen Paßwörter zumindest in lc / #(thread) zu ermitteln, wobei l die Länge und c die Komplexität des Paßworts ist. Je mehr Threads also, desto schneller geht das, und wenn man zB ein Botnetz anstrengt, hat man auch ein l-AAA-nges Paßwort in Nullkommanix raus (*).

Paßwortsicherheit ist eher ein Fall von 'security through obscurity'. Man weiß nicht, was dahinter steht, also muß man die "Wichtigkeit" anderweitig bestimmen. Weil davon ausgegangen wird, daß Otto Normalmensch (relativ) uninteressant ist, sind Paßwörter auf dieser Basis entsprechend sicher (oder unsicher) - oder anders gesagt, diese Sicherheit leitet sich eben NICHT aus dem Sicherungssystem selbst her, sondern ganz einfach aus der Angriffsfläche.

Noch anders formuliert: Paßwörter sind solange sicher, wie sie keiner knacken WILL.



(*)
Hier ist natürlich die Frage gestattet: was ist "lang"? Da darf gerne diskutiert werden; Tatsache bleibt aber, daß ein "normales", also "lesbares" Paßwort, welches recht "unkomplex" ist und man sich auch noch relativ einfach merken kann (Ausnahme: Paßphrasen, die sind von Haus aus lang genug UND gut merkbar) in diesem Sinne *nicht* lang genug sind.

Dieser Beitrag wurde von RalphS bearbeitet: 14. April 2015 - 12:18

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0