Da immer wieder in den News zu lesen ist, dass unsicheres Passwörter zu Sicherheitslücken führen und unsichere Passwörter oft verwendet werden, hier nun ein Beispiel, wie man ein sicheres Passwort erstellt.
Sicheres Passwort:
Um ein sicheres Passwort zu erstellen, ist die Komplexität des Passworts wichtig.
Je länger das Passwort ist und je höher die Anzahl der verwendet Zeichen, desto schwerer ist das Passwort zu knacken.
Mögliche Zeichen:
Alphabet
(Deutschweizer Tastatur: 32 Zeichen)
ABCDEFGHIJKLMNOPQRSTUVWXYZ ÄÖÜÀÉÈ
Alphabet und Nummern
(Deutschweizer Tastatur: 42 Zeichen)
ABCDEFGHIJKLMNOPQRSTUVWXYZ ÄÖÜÀÉÈ0123456789
Alphabet, Nummern und übliche Sonderzeichen
(Deutschweizer Tastatur: 56 Zeichen)
ABCDEFGHIJKLMNOPQRSTUVWXYZ ÄÖÜÀÉÈ0123456789!@#$% ^&*()-_+=
Alphabet, Nummern und alle Sonderzeichen
(Deutschweizer Tastatur: 75 Zeichen)
ABCDEFGHIJKLMNOPQRS TUVWXYZÄÖÜÀÉÈ0123456789!@#$ %^&*()-_+=~`[]{}|\:;’“<>,.?!/
kompletter ASCII-Zeichensatz
96 Zeichen (ohne nicht darstellbare Steuerzeichen)
Passwort erstellen:
Um ein sicheres Passwort zu erstellen, sollte man mindestens das Alphabet, Nummern und die übliche Sonderzeichen verwenden.
Das entspricht 56 Zeichen.
Für die Länge des Passworts, nehme ich 12 Zeichen.
Zur Berechnung:
Anzahl der Zeichen ^ Passwort Länge = mögliche Kombinationen / Berechnungsgeschwindigkeit pro Sekunde
Das Ergebnis x Passwörter pro Sekunde
Für unser Beispiel:
56 ^ 12 = 951166013805414055936 / 2096204400
Das Ergebnis 453756329204 Passwörter pro Sekunde
Teilt man dieses Ergebnis nun durch die Anzahl der Sekunden im Jahr, weiß man, wie viele Jahre die Berechnung braucht.
453756329204 / 31536000 = 143775 (Jahre)
Erläuterung:
Die angegebene Berechnungsgeschwindigkeit pro Sekunde schaffen die heutigen, handelsüblichen Rechner theoretisch.
Auch müssen nicht alle möglichen Passwort-Kombinationen durchgetestet werden, da der Rechner nicht erst bei der
letzten Kombination, die richtige trifft.
Aber selbst, wenn der Rechner nur ein Hundertstel der Zeit benötigt, sind es noch immer rund 144 Jahre.
Ich habe hier mit Absicht kein Passwort als Beispiel angeführt, nicht dass dieses versehentlich verwendet wird.
Seite 1 von 1
Sicheres Passwort erstellen How-to
#1
geschrieben 14. April 2015 - 10:49
Meine Software
SpyderCPU - WeatherCast - InetCalculator v2 - YACPv² - HideMyFiles
Feedback und konstruktive Kritik, nehme ich gern entgegen
(bitte im jeweiligen Thread schreiben)
SpyderCPU - WeatherCast - InetCalculator v2 - YACPv² - HideMyFiles
Feedback und konstruktive Kritik, nehme ich gern entgegen
(bitte im jeweiligen Thread schreiben)
Anzeige
#2
geschrieben 14. April 2015 - 11:49
Die Berechnung haut nicht hin - wer ermittelt schon Paßwörter der Reihe nach? Wo es doch so schöne Multithread-Architektur gibt.
Wir sollten schnellstens davon wegkommen, solche "Zeitangaben" in den Raum zu werfen (und nein, damit meine ich nicht speziell Dich, KingGozza).
... Insbesondere ist auch die Frage, ob das, was "wir" uns unter "sicher" vorstellen, auch in etwa das ist, was sich der theoretische Paßwortknacker unter "sicher" vorstellt. Wozu zum Beispiel X viele Kombinationen durchprobieren, wenn dem Angreifer Rainbow-Tables vorliegen? Oder wenn Paßwörter eh mit einem längst geknackten Algorithmus verschlüsselt worden waren. Dann hat man gar nichts von seinen ach so toll komplexen Paßwörtern.
That said: Sich auf den ASCII-Zeichensatz zu beschränken, halte ich für den größeren Schwachpunkt an diesem Ansatz. Es gibt auch Unicode heutzutage, und mit Paßwortgeneratoren muß man nicht mal wissen, wie man die verwendeten Han/Kanji/kyrillischen Buchstaben/X ausspricht, um sie zu verwenden.
- Verwendet Paßphrasen, soweit es geht. Nicht jeder Anbieter erlaubt Leerzeichen in Paßwörtern - aber wenn sie es tun, verwendet Phrasen, die man sich leicht merken kann. Brute Force hat dann kaum eine Chance.
Als Websitebetreiber... würde ich sagen, sollte man möglichst anfangen damit, von Paßwörtern wegzugehen. Gut, die sind das bequemste von allen Methoden - aber leider auch das Bequemste für die Angreifer. Idealwerweise geht das Paßwort gar nicht erst über die Leitung. Ein Ansatz, den man verfolgen könnte, wäre ein Challenge-Response-System ähnlich dem iTAN-Verfahren; kurz: es wird eine Liste von Einmal-Paßwörtern erstellt, die einen Index haben und der Benutzer wird dann beim Login aufgefordert, Paßwort "n" einzugeben. Dann, sobald der Benutzer das eingegeben und bestätigt hat, wird es *ungültig*, egal ob das zum Index gehörende PW richtig oder falsch war, und nach endlich vielen (Fehl-)Versuchen wird der Zugang gesperrt.
Wichtig hierbei: die Paßwörter sind möglichst nicht automatisiert zu generieren, sondern arbiträr zu erstellen und DANN dem Benutzer *zuzuordnen*. So wird sichergestellt, daß man sie nicht knacken kann. Über SQL Injection kommt man da zwar auch potentiell ran, aber das gilt für alle anderen Varianten genauso, ist also kein (zusätzlicher) Schwachpunkt.
Unbequem? Klar. Aber auf jeden Fall sicher(er).
Wir sollten schnellstens davon wegkommen, solche "Zeitangaben" in den Raum zu werfen (und nein, damit meine ich nicht speziell Dich, KingGozza).
... Insbesondere ist auch die Frage, ob das, was "wir" uns unter "sicher" vorstellen, auch in etwa das ist, was sich der theoretische Paßwortknacker unter "sicher" vorstellt. Wozu zum Beispiel X viele Kombinationen durchprobieren, wenn dem Angreifer Rainbow-Tables vorliegen? Oder wenn Paßwörter eh mit einem längst geknackten Algorithmus verschlüsselt worden waren. Dann hat man gar nichts von seinen ach so toll komplexen Paßwörtern.
That said: Sich auf den ASCII-Zeichensatz zu beschränken, halte ich für den größeren Schwachpunkt an diesem Ansatz. Es gibt auch Unicode heutzutage, und mit Paßwortgeneratoren muß man nicht mal wissen, wie man die verwendeten Han/Kanji/kyrillischen Buchstaben/X ausspricht, um sie zu verwenden.
- Verwendet Paßphrasen, soweit es geht. Nicht jeder Anbieter erlaubt Leerzeichen in Paßwörtern - aber wenn sie es tun, verwendet Phrasen, die man sich leicht merken kann. Brute Force hat dann kaum eine Chance.
Als Websitebetreiber... würde ich sagen, sollte man möglichst anfangen damit, von Paßwörtern wegzugehen. Gut, die sind das bequemste von allen Methoden - aber leider auch das Bequemste für die Angreifer. Idealwerweise geht das Paßwort gar nicht erst über die Leitung. Ein Ansatz, den man verfolgen könnte, wäre ein Challenge-Response-System ähnlich dem iTAN-Verfahren; kurz: es wird eine Liste von Einmal-Paßwörtern erstellt, die einen Index haben und der Benutzer wird dann beim Login aufgefordert, Paßwort "n" einzugeben. Dann, sobald der Benutzer das eingegeben und bestätigt hat, wird es *ungültig*, egal ob das zum Index gehörende PW richtig oder falsch war, und nach endlich vielen (Fehl-)Versuchen wird der Zugang gesperrt.
Wichtig hierbei: die Paßwörter sind möglichst nicht automatisiert zu generieren, sondern arbiträr zu erstellen und DANN dem Benutzer *zuzuordnen*. So wird sichergestellt, daß man sie nicht knacken kann. Über SQL Injection kommt man da zwar auch potentiell ran, aber das gilt für alle anderen Varianten genauso, ist also kein (zusätzlicher) Schwachpunkt.
Unbequem? Klar. Aber auf jeden Fall sicher(er).
Dieser Beitrag wurde von RalphS bearbeitet: 14. April 2015 - 12:06
#3
geschrieben 14. April 2015 - 12:06
Ich gebe dir recht, dass die Werte nur theoretischer Natur sind.
Diese Berechnung basiert auf Multi-Threading, ich habe meinen i7 620M als beispiel genommen (hätte ich vielleicht dabei schreiben sollen).
Und ich gebe dir auch darin recht, dass Passwörter sicher nicht die beste Methode sind, um Acoounts und ähnliches abzusichern aber immer noch die effektivste.
Ich muss mich auf den Betreiber verlassen, dass die Passwörter angemessen verschlüsselt werden, auch bei der Übertragung, geschieht dies, sind Passwörter zwar noch nicht 100% sicher aber zu 98%.
Bisher wurde ich noch nicht von einem übernommenen Account überrascht und solange dies nicht geschieht, fühle ich mich mit entsprechenden Passwörtern auch sicher.
Edit:
Ich vergaß zu schreiben, dass dies auch nur aufzeigen soll, wie man Passwörter sicherer gestalten kann. Sicher geht da noch mehr, wie eben Unicode, was du schon erwähnt hast wobei auch noch oft die Website-Betreiber nachziehen müssen und ihre Datenbanken für mehr Zeichen optimieren müssen (wobei es bei MySQL ja nun wirklich keine Schwierigkeit ist).
Diese Berechnung basiert auf Multi-Threading, ich habe meinen i7 620M als beispiel genommen (hätte ich vielleicht dabei schreiben sollen).
Und ich gebe dir auch darin recht, dass Passwörter sicher nicht die beste Methode sind, um Acoounts und ähnliches abzusichern aber immer noch die effektivste.
Ich muss mich auf den Betreiber verlassen, dass die Passwörter angemessen verschlüsselt werden, auch bei der Übertragung, geschieht dies, sind Passwörter zwar noch nicht 100% sicher aber zu 98%.
Bisher wurde ich noch nicht von einem übernommenen Account überrascht und solange dies nicht geschieht, fühle ich mich mit entsprechenden Passwörtern auch sicher.
Edit:
Ich vergaß zu schreiben, dass dies auch nur aufzeigen soll, wie man Passwörter sicherer gestalten kann. Sicher geht da noch mehr, wie eben Unicode, was du schon erwähnt hast wobei auch noch oft die Website-Betreiber nachziehen müssen und ihre Datenbanken für mehr Zeichen optimieren müssen (wobei es bei MySQL ja nun wirklich keine Schwierigkeit ist).
Dieser Beitrag wurde von KingGozza bearbeitet: 14. April 2015 - 12:09
Meine Software
SpyderCPU - WeatherCast - InetCalculator v2 - YACPv² - HideMyFiles
Feedback und konstruktive Kritik, nehme ich gern entgegen
(bitte im jeweiligen Thread schreiben)
SpyderCPU - WeatherCast - InetCalculator v2 - YACPv² - HideMyFiles
Feedback und konstruktive Kritik, nehme ich gern entgegen
(bitte im jeweiligen Thread schreiben)
#4
geschrieben 14. April 2015 - 12:09
Am sinnvollsten würde ich es finden, wenn alle Anbieter eine Gedenkminute einlegen würden.
Also z.B. 3x das falsche Passwort = 15 Minuten warten, bis man es erneut eingeben kann.
Also z.B. 3x das falsche Passwort = 15 Minuten warten, bis man es erneut eingeben kann.
#5
geschrieben 14. April 2015 - 12:15
Wo steht da was von MT?
Parallel gehen Paßwörter zumindest in lc / #(thread) zu ermitteln, wobei l die Länge und c die Komplexität des Paßworts ist. Je mehr Threads also, desto schneller geht das, und wenn man zB ein Botnetz anstrengt, hat man auch ein l-AAA-nges Paßwort in Nullkommanix raus (*).
Paßwortsicherheit ist eher ein Fall von 'security through obscurity'. Man weiß nicht, was dahinter steht, also muß man die "Wichtigkeit" anderweitig bestimmen. Weil davon ausgegangen wird, daß Otto Normalmensch (relativ) uninteressant ist, sind Paßwörter auf dieser Basis entsprechend sicher (oder unsicher) - oder anders gesagt, diese Sicherheit leitet sich eben NICHT aus dem Sicherungssystem selbst her, sondern ganz einfach aus der Angriffsfläche.
Noch anders formuliert: Paßwörter sind solange sicher, wie sie keiner knacken WILL.
(*)
Hier ist natürlich die Frage gestattet: was ist "lang"? Da darf gerne diskutiert werden; Tatsache bleibt aber, daß ein "normales", also "lesbares" Paßwort, welches recht "unkomplex" ist und man sich auch noch relativ einfach merken kann (Ausnahme: Paßphrasen, die sind von Haus aus lang genug UND gut merkbar) in diesem Sinne *nicht* lang genug sind.
Parallel gehen Paßwörter zumindest in lc / #(thread) zu ermitteln, wobei l die Länge und c die Komplexität des Paßworts ist. Je mehr Threads also, desto schneller geht das, und wenn man zB ein Botnetz anstrengt, hat man auch ein l-AAA-nges Paßwort in Nullkommanix raus (*).
Paßwortsicherheit ist eher ein Fall von 'security through obscurity'. Man weiß nicht, was dahinter steht, also muß man die "Wichtigkeit" anderweitig bestimmen. Weil davon ausgegangen wird, daß Otto Normalmensch (relativ) uninteressant ist, sind Paßwörter auf dieser Basis entsprechend sicher (oder unsicher) - oder anders gesagt, diese Sicherheit leitet sich eben NICHT aus dem Sicherungssystem selbst her, sondern ganz einfach aus der Angriffsfläche.
Noch anders formuliert: Paßwörter sind solange sicher, wie sie keiner knacken WILL.
(*)
Hier ist natürlich die Frage gestattet: was ist "lang"? Da darf gerne diskutiert werden; Tatsache bleibt aber, daß ein "normales", also "lesbares" Paßwort, welches recht "unkomplex" ist und man sich auch noch relativ einfach merken kann (Ausnahme: Paßphrasen, die sind von Haus aus lang genug UND gut merkbar) in diesem Sinne *nicht* lang genug sind.
Dieser Beitrag wurde von RalphS bearbeitet: 14. April 2015 - 12:18
- ← Windows 7 Nachträglich Von Native-ide Auf Ahci
- HowTos & Guides
- [Windows 8] - AHCI nachträglich aktivieren →
Thema verteilen:
Seite 1 von 1