6
Effect of password policies on keyspace reduction
Es geht um Kennwortkomplexität, Kennwortrichtlinien und brute-force-Angriffe.
Microsoft fordert beispielsweise in seinen Komplexitätsanforderungen ja 3 aus 4 Zeichengruppen. Warum nicht gleich alle 4?
Dieser Link könnte die Antwort sein - sie lautet: weil 3 von 4 sicherer gegen Brute Force ist, als 4 von 4.
Wenn der Angreifer die Kennwortrichtlinien kennt, so kann er von vornherein einen großen Prozentsatz von Kennwörtern ausschließen.
Warum? ->Alle 4 Zeichengruppen nutzen zu müssen, vermindert die Anzahl der möglichen Kennwörter erheblich, beispielsweise bei der Länge 8 um satte 54% (auf 45.61% des vollen Kennwortraumes mit der Länge 8) ! Der Link zeigt dies in einer Tabelle.
http://openwall.info/wiki/john/policy
Microsoft fordert beispielsweise in seinen Komplexitätsanforderungen ja 3 aus 4 Zeichengruppen. Warum nicht gleich alle 4?
Dieser Link könnte die Antwort sein - sie lautet: weil 3 von 4 sicherer gegen Brute Force ist, als 4 von 4.
Wenn der Angreifer die Kennwortrichtlinien kennt, so kann er von vornherein einen großen Prozentsatz von Kennwörtern ausschließen.
Warum? ->Alle 4 Zeichengruppen nutzen zu müssen, vermindert die Anzahl der möglichen Kennwörter erheblich, beispielsweise bei der Länge 8 um satte 54% (auf 45.61% des vollen Kennwortraumes mit der Länge 8) ! Der Link zeigt dies in einer Tabelle.
http://openwall.info/wiki/john/policy
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 263330
Url: https://administrator.de/contentid/263330
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
6 Kommentare
Neuester Kommentar
Sers DWW,
Dank dir für den Inhalt, der Daumen ist oben!
Grüße,
Philip
Dank dir für den Inhalt, der Daumen ist oben!
Grüße,
Philip
Hallo,
die Zahlen sind eigentlich selbstredend...
Aber für den Otto Normal User müssten da mindestens mal ein paar bunte Powerpoint und vor allen Grafiken dabei sein damit das Risiko bewusst wird...
brammer
die Zahlen sind eigentlich selbstredend...
Aber für den Otto Normal User müssten da mindestens mal ein paar bunte Powerpoint und vor allen Grafiken dabei sein damit das Risiko bewusst wird...
brammer
Der Otto...user verwendet Kennwortrichtlinien?
Hallo,
@dww
nein aber damit könnte man ihmd as Risiko bewusster machen, 123456 ist nun mal potentiell unsicher....
brammer
@dww
nein aber damit könnte man ihmd as Risiko bewusster machen, 123456 ist nun mal potentiell unsicher....
brammer
Hallo Brammer,
ich verstehe nicht, worauf Du hinaus willst. Was hat mein Link mit Risikobewusstsein von Endnutzern zu tun? Er ist für Admins interessant, die durch (gut gemeinte) Verschärfung von Kennwortrichtlinien (z.B. durch externe Tools wie Anixis PPE) dem Brute-Forcer unbewusst das Leben leichter machen.
Um das zu verdeutlichen, braucht man keine Grafiken.
ich verstehe nicht, worauf Du hinaus willst. Was hat mein Link mit Risikobewusstsein von Endnutzern zu tun? Er ist für Admins interessant, die durch (gut gemeinte) Verschärfung von Kennwortrichtlinien (z.B. durch externe Tools wie Anixis PPE) dem Brute-Forcer unbewusst das Leben leichter machen.
Um das zu verdeutlichen, braucht man keine Grafiken.
Hallo,
@dww
richtig...
Aber, ich habe die Erfahrung gemacht das man ein Sicherheitskonzept besser umsetzen kann wenn die User die Maßnahmen verstehen....
Und dazu sind Grafiken besser...
Außerdem sollte sich mancher User auch mal Gedanken darüber machen wie er sein Passwort zuhause wählt ....
Und auch dazu sind bunte Bilder hilfreicher als trockene Zahlen...
brammer
@dww
richtig...
Aber, ich habe die Erfahrung gemacht das man ein Sicherheitskonzept besser umsetzen kann wenn die User die Maßnahmen verstehen....
Und dazu sind Grafiken besser...
Außerdem sollte sich mancher User auch mal Gedanken darüber machen wie er sein Passwort zuhause wählt ....
Und auch dazu sind bunte Bilder hilfreicher als trockene Zahlen...
brammer
