mimemmm
Goto Top

Sätze als Passwörter

Hallo,

ich hab gerade überlegt, wie sicher ganze Sätze als Passwörter sind. Hier mal meine Überlegung. Wie steht ihr dazu?


-wenn man von einem Grundwortschatz von 70.000 Wörtern ausgeht(https://de.wikipedia.org/wiki/Wortschatz#Deutscher_Wortschatz)
-Wenn man den Satz aus nur 4 Wörtern baut hat man (70000 über 4) * 4! = 2,4*10^19 Kombinationen(dictionary Angriff)
-bei 10 Zufalls Zeichen 70^10=2,8*10^18 Kombinationen(brute force)
=>Sätze mit 4 oder mehr Wörten(Wenn die 4 Wörter zusammen min 10 Zeichen haben) sind sicherer als ein 10 Zeichen Zufalls-PW

Content-ID: 293216

Url: https://administrator.de/contentid/293216

Ausgedruckt am: 13.11.2024 um 01:11 Uhr

michi1983
michi1983 15.01.2016 aktualisiert um 12:50:04 Uhr
Goto Top
DerWoWusste
Lösung DerWoWusste 15.01.2016 um 13:13:10 Uhr
Goto Top
Hi.

An diesen Überlegungen versuchen sich immer wieder alle. Alle möglichen Theorien entstehen - nie wird dabei jedoch das Wichtigste beachtet:
Kennt der potentielle Angreifer das Schema, oder nicht? Das macht einen riesigen Unterschied.
Weiß er, dass Du Wörter nimmst? Dann wird er nicht 70.000 testen, sondern die gebräuchlichsten 1-2000 und hat Dein Kennwort in Minuten gebruteforcet.

Aber gut, Dein Vorhaben in Ehren, ich will mal dies beisteuern: https://en.wikipedia.org/wiki/Diceware
Snowman25
Snowman25 15.01.2016 um 13:21:22 Uhr
Goto Top
obligatrischer XKCD-Link: Password Strength

Aber die @DerWoWusste schon sagt, sobald der Angreiffer weiß, wie euer Schema aussieht, bringt die ganze Entropie-Rechnerei nichts mehr.
Wenn ich als Angreiffer weiß, dass Sätze das Passwort bilden, dann stelle ich mein Programm darauf ein, nicht auf Sonderzeichen und Zahlen zu testen und probiere mein Wörterbuch in einer Manier durch, die dem knacken von Zahlenfolgen entspricht.
Jedes Wort ist dann wieder nur 1 unbekanntes Zeichen, da ich davon ausgehen kann, dass alle verwendeten Wörter im Wörterbuch zu finden sind.

Gruß,
@Snowman25
Lochkartenstanzer
Lösung Lochkartenstanzer 15.01.2016 um 13:50:42 Uhr
Goto Top
Moin,

Due vergißt, daß die entropie entscheidend ist. Die Entropie ist eine Aussage darüber, wieviel bit Information in Deinem Schema steckt. Dabei ist der Informationsgehalt von einzelnen Wörtern sehr gering, insbesondere dann, wenn sie zu demn "beliebten" Wörtern gehören. Und sofern der Angreifer etwas über Dein Paßwortschema weiß, reduziert sich die Entropie nochmals deutlich. Daher kannst Du nicht so ohne weiteres ableiten ob ein 10Zeichen-Zufallspaßwort wirklich "unsicherer" als nur 4 Wörter.

Wenn, dann solltest Du richtig lange "unsinnige" Sätze nehmen und nicht nur 4 Worte

lks
AnkhMorpork
AnkhMorpork 15.01.2016 um 14:15:25 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Wenn, dann solltest Du richtig lange "unsinnige" Sätze nehmen und nicht nur 4 Worte

Nachdem man den Rechner gestiefelt und sich eingemeldet hat, startet man einen Blätterer. Entweder den Zwischennetz Forscher von Winzigweich oder den Feuerfuchs. Dann geht man auflinie, indem man eine Verbindung zu einem Ruf-bei-Ruf-Anbieter oder einem Zwischennetzversorger wählt, um dann im Zwischennetz von Heimatseite zu Heimatseite wellenzureiten. Bei besonders schönen Seiten macht man vielleicht noch einen Bildschirmschuß. Manchmal ist ein Glied auch nicht erreichbar.

Und duck und wech ...
ArnoNymous
ArnoNymous 15.01.2016 um 14:21:34 Uhr
Goto Top
Zählt das Anmelden am PC schon zur Arbeitszeit?
Lochkartenstanzer
Lochkartenstanzer 15.01.2016 aktualisiert um 15:01:36 Uhr
Goto Top
Zitat von @ArnoNymous:

Zählt das Anmelden am PC schon zur Arbeitszeit?

Kommt auf Deine Arbeitsvertag an.

lks

PS. Im allgemeinen geh tman davon aus, daß bei Büroarbeit normalerweise die Arbeitszeit anfängt, sobald man sein Büro betreten udn seinen mantel udn Vesper abgelegt hat. Das erste Kaffeeholen/-aufsetzen ist bei Admins schon meistens Arbeitszeit. face-smile