Sicherheit von generierten Passwörtern
Hallo zusammen,
wie sicher sind Passwörter, die ich mit AES oder Hash aus einfachen Wörtern generiere?
Also z.B. nehme ich das sehr schlechte Passwort "anna"
die AES 256 bit Verschlüsselung macht da draus: PwCjOxOm1lJPsJ/18Eju7Q==
oder wenn ich einen Hash Generator anwerfe z.B.
Adler32: 040f019f
SHA-1: 2bc1ecb410e142bce83bce6f212b41e1781536dc
sind die Passwörter gut, weil genügend Anzahl und Arten von Zeichen,
oder sind sie schlecht weil sie letztendlich auf "anna" zurückzuführen sind und wohl in jeder
Wortdatei stehen?
Danke
wie sicher sind Passwörter, die ich mit AES oder Hash aus einfachen Wörtern generiere?
Also z.B. nehme ich das sehr schlechte Passwort "anna"
die AES 256 bit Verschlüsselung macht da draus: PwCjOxOm1lJPsJ/18Eju7Q==
oder wenn ich einen Hash Generator anwerfe z.B.
Adler32: 040f019f
SHA-1: 2bc1ecb410e142bce83bce6f212b41e1781536dc
sind die Passwörter gut, weil genügend Anzahl und Arten von Zeichen,
oder sind sie schlecht weil sie letztendlich auf "anna" zurückzuführen sind und wohl in jeder
Wortdatei stehen?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157847
Url: https://administrator.de/contentid/157847
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
9 Kommentare
Neuester Kommentar
die Antwort ist: 8!
Die frage ist doch was du für nen PW wählst und wo du das nutzt... Sollte dein PwCj... das Passwort sein dann ist das sicher - da keine Anwendung jeden möglichen Algorithmus nimmt und sowohl PlainText, MD5, Hash usw. durchprobiert. Das würde auch deutlich zu lang dauern - zumal du ja ggf. nur ne Teilsequenz aus einem Wort genommen hast (z.B. JPSJ/18).
Ist "Anna" dein Passwort so ist der algo dahinter egal - da das PW selbst zu simpel ist und recht schnell geknackt wird. Da is es mir egal ob du dahinter das ding mit 700 verschiedenen Systemen verschlüsselst. Is wie bei dir am Haus: Mir egal wie komplex deine Alarmanlage ist - wenn ich den Haustürschlüssel und den Code für die Alarmanlage habe dann schalte ich die eh einfach ab und geh spazieren....
Die frage ist doch was du für nen PW wählst und wo du das nutzt... Sollte dein PwCj... das Passwort sein dann ist das sicher - da keine Anwendung jeden möglichen Algorithmus nimmt und sowohl PlainText, MD5, Hash usw. durchprobiert. Das würde auch deutlich zu lang dauern - zumal du ja ggf. nur ne Teilsequenz aus einem Wort genommen hast (z.B. JPSJ/18).
Ist "Anna" dein Passwort so ist der algo dahinter egal - da das PW selbst zu simpel ist und recht schnell geknackt wird. Da is es mir egal ob du dahinter das ding mit 700 verschiedenen Systemen verschlüsselst. Is wie bei dir am Haus: Mir egal wie komplex deine Alarmanlage ist - wenn ich den Haustürschlüssel und den Code für die Alarmanlage habe dann schalte ich die eh einfach ab und geh spazieren....
Hallo,
unabhängig vom Hashwert sollte man nach aktuellem Stand der Dinge Passwörter mit mindestens 10 Zeichen verwenden die aus Buchstaben und Sonderzeichen sowie aus Zahlen bestehen.
Der Hash Wert ist nicht das Passwort sondern nur das was der Rechner speichert das mit dem eingebenen Passwort aus dem er den Hash dann gegenrechnet vergleicht.
Algorythmen wie AES 256 gelten zurzeit noch als sicher oder zumindest nicht in einem vernünftigen Zeitrahmen knackbar.
Adler32 ist alleine schon durch die länge des Hashwertes ziemlicher unsinn wenn man ihn als Passwort Hash einsetzen will.
brammer
unabhängig vom Hashwert sollte man nach aktuellem Stand der Dinge Passwörter mit mindestens 10 Zeichen verwenden die aus Buchstaben und Sonderzeichen sowie aus Zahlen bestehen.
Der Hash Wert ist nicht das Passwort sondern nur das was der Rechner speichert das mit dem eingebenen Passwort aus dem er den Hash dann gegenrechnet vergleicht.
Algorythmen wie AES 256 gelten zurzeit noch als sicher oder zumindest nicht in einem vernünftigen Zeitrahmen knackbar.
Adler32 ist alleine schon durch die länge des Hashwertes ziemlicher unsinn wenn man ihn als Passwort Hash einsetzen will.
brammer
Hallo,
je nach Bereich. Wenn es unbezahlbare Dinge geht und die NSA Dein Gegner, würde ich ein reines zufallskennwort verwenden. Sonst ist das so ok.
Siehe auch: http://www.script.skittel.de/common/password.php
Dies ist auch kein reines zufallskennwort, da ich keine richtigen Zufallszahlen verwende, aber durch die Vielzahl an Kennwörtern weiß Niemand welches man verwendet hat.
Stefan
je nach Bereich. Wenn es unbezahlbare Dinge geht und die NSA Dein Gegner, würde ich ein reines zufallskennwort verwenden. Sonst ist das so ok.
Siehe auch: http://www.script.skittel.de/common/password.php
Dies ist auch kein reines zufallskennwort, da ich keine richtigen Zufallszahlen verwende, aber durch die Vielzahl an Kennwörtern weiß Niemand welches man verwendet hat.
Stefan
hmm - und ich behaupte dann ist selbst das simpelste meiner Passwörter sicherer als deines. Denn ganz gleich welche Datei du bei mir am Rechner ansiehst - du wirst diese Passwörter NIRGENDS aufgeschrieben sehen. Was ist denn wenn z.B. jemand an deine Datei rankommt - schon bringen dir die passwörter nichts mehr.
Und für Unterwegs ist das noch unsinniger. Denn: Du merkst dir Anna und AES256. Morgen im Internet-Cafe hast du auch grad zufällig den passenden Code in der Tasche? SONST musst du irgendwo im Internet nen Generator haben, dort dein Wort verschlüsseln lassen, die passenden Zeichen raussuchen und woanders reinkopieren. Das ist derart umständlich - das macht keiner...
Jetzt nehm ich dagegen mal nen 08-15-Passwort (und zwar keines von denen die ich habe). Bei mir auf dem Tisch steht grad ne Dose Bären-Marke. Schon wäre ein Passwort: KaffeeBäMa7%
Ganz ohne Verschlüsselung, ganz ohne große Codes oder ähnliches. ICH muss mir nur merken: Ich trinke den Kaffee eben gern mit Milch von Bärenmarke (und die hat 7% fett). Das Kennwort kann durch einen Wörterbuch-Angriff nicht geknackt werden - da es kein Wort ist. Es enthält ne Zahl und ein Sonderzeichen - und es ist trotzdem für dich NICHT knackbar da du nicht weisst was sonst noch so auf meinem Tisch normal rumsteht. Trotzdem ist es einfach zu merken....
Oder: Ich benutze z.B. Firefox lieber als den IE8. Also könnte man FF4btIE8 nehmen -> Firefox 4 better than IE8. Viel Spass bei einem Wörterbuchangriff auf dieses Passwort. Das wird nix. Du weisst aber eben auch nicht anhand welches Objektes ich mir das Passwort generiere - und wie ich das zusammensetze. Damit hast du als fremde Person KEINEN Anhaltspunkt für "social engineering". Und das Passwort ist für dich nahezu unknackbar - grade bei Systemen die nach einer begrenzten Anzahl an Versuchen den Account erstmal sperren. Nehmen wir selbst 100 Versuche an, danach 1h Sperre. Wieviele Jahre willst du warten bis du ein solches PW geknackt hast...
Von daher: ETWAS Phantasie bei der Passwortwahl ist deutlich effektiver als diese ganzen "ich nehm nen Teil aus dem Code". Denn das musst du dir abschreiben, irgendwo speichern oder sonstwas. ICH behalte die Passwörter einfach im Kopf - und somit kann selbst jemand der Admin-Rechte auf meinem Rechner hat mein Passwort nicht sehen. Du kannst keinen Besitz an meinem Kopf übernehmen - und eine Verschlüsselungsschwäche gibt es dort auch nicht. Was machst du z.B. wenn du morgen feststellst das du zwar deine Passwörter in nem TrueCrypt-Container gespeichert hast - aber plötzlich wird bekannt das bei TC das Passwort "-1" leider nen Fehler ergibt und die Dateien entschlüsselt werden? Bei meinem KOPF kann ich garantieren das es sowas nicht gibt - bei einer Software kann ich dir dagegen garantieren das die IMMER einen Fehler haben wird! Bei TrueCrypt kannst du z.B. den ganzen Rechner wirklich einfrieren - schon bleibt das Passwort im Speicher. Gut - das mag bei meinem Kopf auch funktionieren - aber haust du meinen Kopf in flüssigen Stickstoff oä. dann ist das Passwort auch mein kleinstes Problem - ICH würde das eh nie wieder brauchen ;).
Und für Unterwegs ist das noch unsinniger. Denn: Du merkst dir Anna und AES256. Morgen im Internet-Cafe hast du auch grad zufällig den passenden Code in der Tasche? SONST musst du irgendwo im Internet nen Generator haben, dort dein Wort verschlüsseln lassen, die passenden Zeichen raussuchen und woanders reinkopieren. Das ist derart umständlich - das macht keiner...
Jetzt nehm ich dagegen mal nen 08-15-Passwort (und zwar keines von denen die ich habe). Bei mir auf dem Tisch steht grad ne Dose Bären-Marke. Schon wäre ein Passwort: KaffeeBäMa7%
Ganz ohne Verschlüsselung, ganz ohne große Codes oder ähnliches. ICH muss mir nur merken: Ich trinke den Kaffee eben gern mit Milch von Bärenmarke (und die hat 7% fett). Das Kennwort kann durch einen Wörterbuch-Angriff nicht geknackt werden - da es kein Wort ist. Es enthält ne Zahl und ein Sonderzeichen - und es ist trotzdem für dich NICHT knackbar da du nicht weisst was sonst noch so auf meinem Tisch normal rumsteht. Trotzdem ist es einfach zu merken....
Oder: Ich benutze z.B. Firefox lieber als den IE8. Also könnte man FF4btIE8 nehmen -> Firefox 4 better than IE8. Viel Spass bei einem Wörterbuchangriff auf dieses Passwort. Das wird nix. Du weisst aber eben auch nicht anhand welches Objektes ich mir das Passwort generiere - und wie ich das zusammensetze. Damit hast du als fremde Person KEINEN Anhaltspunkt für "social engineering". Und das Passwort ist für dich nahezu unknackbar - grade bei Systemen die nach einer begrenzten Anzahl an Versuchen den Account erstmal sperren. Nehmen wir selbst 100 Versuche an, danach 1h Sperre. Wieviele Jahre willst du warten bis du ein solches PW geknackt hast...
Von daher: ETWAS Phantasie bei der Passwortwahl ist deutlich effektiver als diese ganzen "ich nehm nen Teil aus dem Code". Denn das musst du dir abschreiben, irgendwo speichern oder sonstwas. ICH behalte die Passwörter einfach im Kopf - und somit kann selbst jemand der Admin-Rechte auf meinem Rechner hat mein Passwort nicht sehen. Du kannst keinen Besitz an meinem Kopf übernehmen - und eine Verschlüsselungsschwäche gibt es dort auch nicht. Was machst du z.B. wenn du morgen feststellst das du zwar deine Passwörter in nem TrueCrypt-Container gespeichert hast - aber plötzlich wird bekannt das bei TC das Passwort "-1" leider nen Fehler ergibt und die Dateien entschlüsselt werden? Bei meinem KOPF kann ich garantieren das es sowas nicht gibt - bei einer Software kann ich dir dagegen garantieren das die IMMER einen Fehler haben wird! Bei TrueCrypt kannst du z.B. den ganzen Rechner wirklich einfrieren - schon bleibt das Passwort im Speicher. Gut - das mag bei meinem Kopf auch funktionieren - aber haust du meinen Kopf in flüssigen Stickstoff oä. dann ist das Passwort auch mein kleinstes Problem - ICH würde das eh nie wieder brauchen ;).
Moin,
fange ich mal unten an: Ja, ein Admin kann so zimlich alles sehen was durch sein Netz geht - insbesondere dann wenn wir den legalen Bereich verlassen (und das können wir da vorraussetzen - denn er dürfte es eh nicht). Dann ist nen Keylogger oder sowas auf dem Rechner des Mitarbeiters kein Thema - der Admin hat ja die Möglichkeit etwas zu installieren. DA ändert es aber nichts dran ob du deine Passwörter jetzt im Kopf hast - oder in einer Datei -> "ich" greiffe ja die Übertragung ab, nicht die Quelle.
Dann gehe ich mal zum nächsten: Du hast für 100 Accounts 100 verschiedene Passwörter? Ich glaube das machen die wenigsten. Die meisten haben zwischen 1 und 5. Und dann ist auch ein Foren-Passwort intressant - da es oftmals nur wenig Variatonen benötigt um auch auf die anderen Passwörter zu kommen. Noch besser ist aber zugegebenermaßen ein Passwort für dein Email-Konto. Von hier aus gehts dann los das man sich die PWs der Systeme zuschicken lässt - d.h. ich bekomme dein Ebay-PW, deins für Amazon,...
Jetzt gehe ich noch nen schritt weiter: Du bist im Urlaub. Unterwegs stellst du fest: MIST, ich hab ne Auktion bei Ebay und das Passwort nicht. Jetzt hilft dir deine Datei nichts mehr. Genauso ist es wenn du eben deine PIN von der Karte vergessen hast - vorm Automaten in Spanien hast du immernoch ein Problem.
Von daher: Ich habe nur eine Handvoll Passwörter - eingestuft nach der Wichtigkeit des Systems. Dabei gibt es komplexe Passwörter die du auch in Jahren nicht knackst, mittelmäßig sichere für Foren u.ä. Kram - und Passwörter die jeder 3jährige knacken kann z.B. für Systeme bei denen du keinen Schaden anrichten kannst wenn du meinen Account knackst (ok, ggf. mal dir nen unbegrenzt oft ausdruckbaren Gutschein holen). Diese Passwörter haben ALLE einen Bezug - nur sind die für dich eben nicht knackbar da du den Bezugspunkt nicht kennen kannst. Und damit brauche ich mir nur ein paar Objekte (wie die beispielhaft gesagte Bärenmarke) merken - und schon habe ich die Passwörter im Kopf. Diese Objekte kann ich mir aber auch auf Malle merken - d.h. wenn ich plötzlich merke: Mist, die Mail "ganzWichtigeMail" ging an den anderen Account dann ist das kein Problem.... Es bleiben also nur noch die PIN-Nummern. Und DIE kann man natürlich gut z.B. im Telefonbuch verstecken - da das Telefon (zumindest bei mir) auch noch mit nem Passwort gesichert ist.
So - und zum Schluss: Kern meiner Aussage war: Es bringt nichts wenn du dir dein Leben kompliziert machst. Du nimmst dein "Anna", hast ggf. noch eine Seite im Kopf auf der die AES-Verschlüsselung richtig implementiert ist (sonst bekommst du dein PW ja eh nie wieder). Jetzt musst du aus dem Datenwust noch dein PW rausfinden. Wie hoch ist also die Chance das du HIER was falsch machst - z.B. weil die URL nicht mehr existiert und jemand zwar AES256 draufschreibt aber nur MD5 ausgibt? Oder das du eben dein "Basispasswort" vergisst - bei 100 Accounts müsstest du ja auch 100 Basispasswörter haben. Dazu brauchst du noch 100 verschiedene Startpositionen - da du ja vermutlich nicht immer die ersten 8 Zeichen nehmen kannst (wenn DAS jemand raus hat dann gilt dein Passwort als geknackt - da er das ja dann implementieren kann und die Wörterbuch-Attacke wieder funktioniert). Sei mir nicht böse - aber ich glaube die Chance sich DAS im Urlaub zu merken ist nahezu 0. Also müsstest du ne Text-Datei z.B. auf dein Telefon packen - und DIE wäre wieder recht einfach zu sehen...
Daher denke ich eben das es nichts bringt wenn man sich das Passwort-Erzeugen ZU komplex macht. Ok, das is dann ggf. sicherer - aber du kannst es dir auch selbst nicht merken.
fange ich mal unten an: Ja, ein Admin kann so zimlich alles sehen was durch sein Netz geht - insbesondere dann wenn wir den legalen Bereich verlassen (und das können wir da vorraussetzen - denn er dürfte es eh nicht). Dann ist nen Keylogger oder sowas auf dem Rechner des Mitarbeiters kein Thema - der Admin hat ja die Möglichkeit etwas zu installieren. DA ändert es aber nichts dran ob du deine Passwörter jetzt im Kopf hast - oder in einer Datei -> "ich" greiffe ja die Übertragung ab, nicht die Quelle.
Dann gehe ich mal zum nächsten: Du hast für 100 Accounts 100 verschiedene Passwörter? Ich glaube das machen die wenigsten. Die meisten haben zwischen 1 und 5. Und dann ist auch ein Foren-Passwort intressant - da es oftmals nur wenig Variatonen benötigt um auch auf die anderen Passwörter zu kommen. Noch besser ist aber zugegebenermaßen ein Passwort für dein Email-Konto. Von hier aus gehts dann los das man sich die PWs der Systeme zuschicken lässt - d.h. ich bekomme dein Ebay-PW, deins für Amazon,...
Jetzt gehe ich noch nen schritt weiter: Du bist im Urlaub. Unterwegs stellst du fest: MIST, ich hab ne Auktion bei Ebay und das Passwort nicht. Jetzt hilft dir deine Datei nichts mehr. Genauso ist es wenn du eben deine PIN von der Karte vergessen hast - vorm Automaten in Spanien hast du immernoch ein Problem.
Von daher: Ich habe nur eine Handvoll Passwörter - eingestuft nach der Wichtigkeit des Systems. Dabei gibt es komplexe Passwörter die du auch in Jahren nicht knackst, mittelmäßig sichere für Foren u.ä. Kram - und Passwörter die jeder 3jährige knacken kann z.B. für Systeme bei denen du keinen Schaden anrichten kannst wenn du meinen Account knackst (ok, ggf. mal dir nen unbegrenzt oft ausdruckbaren Gutschein holen). Diese Passwörter haben ALLE einen Bezug - nur sind die für dich eben nicht knackbar da du den Bezugspunkt nicht kennen kannst. Und damit brauche ich mir nur ein paar Objekte (wie die beispielhaft gesagte Bärenmarke) merken - und schon habe ich die Passwörter im Kopf. Diese Objekte kann ich mir aber auch auf Malle merken - d.h. wenn ich plötzlich merke: Mist, die Mail "ganzWichtigeMail" ging an den anderen Account dann ist das kein Problem.... Es bleiben also nur noch die PIN-Nummern. Und DIE kann man natürlich gut z.B. im Telefonbuch verstecken - da das Telefon (zumindest bei mir) auch noch mit nem Passwort gesichert ist.
So - und zum Schluss: Kern meiner Aussage war: Es bringt nichts wenn du dir dein Leben kompliziert machst. Du nimmst dein "Anna", hast ggf. noch eine Seite im Kopf auf der die AES-Verschlüsselung richtig implementiert ist (sonst bekommst du dein PW ja eh nie wieder). Jetzt musst du aus dem Datenwust noch dein PW rausfinden. Wie hoch ist also die Chance das du HIER was falsch machst - z.B. weil die URL nicht mehr existiert und jemand zwar AES256 draufschreibt aber nur MD5 ausgibt? Oder das du eben dein "Basispasswort" vergisst - bei 100 Accounts müsstest du ja auch 100 Basispasswörter haben. Dazu brauchst du noch 100 verschiedene Startpositionen - da du ja vermutlich nicht immer die ersten 8 Zeichen nehmen kannst (wenn DAS jemand raus hat dann gilt dein Passwort als geknackt - da er das ja dann implementieren kann und die Wörterbuch-Attacke wieder funktioniert). Sei mir nicht böse - aber ich glaube die Chance sich DAS im Urlaub zu merken ist nahezu 0. Also müsstest du ne Text-Datei z.B. auf dein Telefon packen - und DIE wäre wieder recht einfach zu sehen...
Daher denke ich eben das es nichts bringt wenn man sich das Passwort-Erzeugen ZU komplex macht. Ok, das is dann ggf. sicherer - aber du kannst es dir auch selbst nicht merken.
Die Ausgangsfrage war ja nicht wie sicher ist der Passworthash sonder wie sicher ist ein Passwort, dessen Klartext mit z.B. AES256 verschluesselt wurde.
[*PwCjOxOm1lJPsJ/18Eju7Q==*] hat 22 Zeichen, mit Ophcrack sowohl unter Windows XP mit Rainbowtable "WS-20K" als auch unter Windows Vista und Windows 7 mit Rainbowtable "Vista Special" kommt es zu keinem Ergebnis; der Grund ist einfach. Fuer Windows XP ist die maximal ermittelbare Passwortlaenge mittels Woerterbuchattacke auf 16 Zeichen beschraenkt, unter Vista und Windows 7 hillft nur noch Brute-force und die maximal ermittelbare Passwortlaenge reduziert sich dramatisch, jeh nach Komplexitaet auf maximal 6-9 Zeichen.
Dabei ist es voellig Wurst ob nun ein einfacher Angriff auf das zu ermittelnde Passwort ausgefuehrt, oder "Distributed" gearbeitet wird.
Saludos
Gnarff
[*PwCjOxOm1lJPsJ/18Eju7Q==*] hat 22 Zeichen, mit Ophcrack sowohl unter Windows XP mit Rainbowtable "WS-20K" als auch unter Windows Vista und Windows 7 mit Rainbowtable "Vista Special" kommt es zu keinem Ergebnis; der Grund ist einfach. Fuer Windows XP ist die maximal ermittelbare Passwortlaenge mittels Woerterbuchattacke auf 16 Zeichen beschraenkt, unter Vista und Windows 7 hillft nur noch Brute-force und die maximal ermittelbare Passwortlaenge reduziert sich dramatisch, jeh nach Komplexitaet auf maximal 6-9 Zeichen.
Dabei ist es voellig Wurst ob nun ein einfacher Angriff auf das zu ermittelnde Passwort ausgefuehrt, oder "Distributed" gearbeitet wird.
Saludos
Gnarff