nachtfuchs
Goto Top

Sicherheit von generierten Passwörtern

Hallo zusammen,

wie sicher sind Passwörter, die ich mit AES oder Hash aus einfachen Wörtern generiere?

Also z.B. nehme ich das sehr schlechte Passwort "anna"

die AES 256 bit Verschlüsselung macht da draus: PwCjOxOm1lJPsJ/18Eju7Q==
oder wenn ich einen Hash Generator anwerfe z.B.
Adler32: 040f019f
SHA-1: 2bc1ecb410e142bce83bce6f212b41e1781536dc

sind die Passwörter gut, weil genügend Anzahl und Arten von Zeichen,
oder sind sie schlecht weil sie letztendlich auf "anna" zurückzuführen sind und wohl in jeder
Wortdatei stehen?

Danke

Content-ID: 157847

Url: https://administrator.de/contentid/157847

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

maretz
maretz 02.01.2011 um 14:42:42 Uhr
Goto Top
die Antwort ist: 8!

Die frage ist doch was du für nen PW wählst und wo du das nutzt... Sollte dein PwCj... das Passwort sein dann ist das sicher - da keine Anwendung jeden möglichen Algorithmus nimmt und sowohl PlainText, MD5, Hash usw. durchprobiert. Das würde auch deutlich zu lang dauern - zumal du ja ggf. nur ne Teilsequenz aus einem Wort genommen hast (z.B. JPSJ/18).

Ist "Anna" dein Passwort so ist der algo dahinter egal - da das PW selbst zu simpel ist und recht schnell geknackt wird. Da is es mir egal ob du dahinter das ding mit 700 verschiedenen Systemen verschlüsselst. Is wie bei dir am Haus: Mir egal wie komplex deine Alarmanlage ist - wenn ich den Haustürschlüssel und den Code für die Alarmanlage habe dann schalte ich die eh einfach ab und geh spazieren....
brammer
brammer 02.01.2011 um 14:43:24 Uhr
Goto Top
Hallo,

unabhängig vom Hashwert sollte man nach aktuellem Stand der Dinge Passwörter mit mindestens 10 Zeichen verwenden die aus Buchstaben und Sonderzeichen sowie aus Zahlen bestehen.
Der Hash Wert ist nicht das Passwort sondern nur das was der Rechner speichert das mit dem eingebenen Passwort aus dem er den Hash dann gegenrechnet vergleicht.
Algorythmen wie AES 256 gelten zurzeit noch als sicher oder zumindest nicht in einem vernünftigen Zeitrahmen knackbar.
Adler32 ist alleine schon durch die länge des Hashwertes ziemlicher unsinn wenn man ihn als Passwort Hash einsetzen will.

brammer
StefanKittel
StefanKittel 02.01.2011 um 16:42:52 Uhr
Goto Top
Hallo,
je nach Bereich. Wenn es unbezahlbare Dinge geht und die NSA Dein Gegner, würde ich ein reines zufallskennwort verwenden. Sonst ist das so ok.

Siehe auch: http://www.script.skittel.de/common/password.php
Dies ist auch kein reines zufallskennwort, da ich keine richtigen Zufallszahlen verwende, aber durch die Vielzahl an Kennwörtern weiß Niemand welches man verwendet hat.

Stefan
Christian25
Christian25 02.01.2011 um 22:11:33 Uhr
Goto Top
Hi

vielen dank Stefan für deinen pw generator !

lg
nachtfuchs
nachtfuchs 03.01.2011 um 21:50:33 Uhr
Goto Top
Ich würde das codierte Wort nehmen mit mehr als 8/10/12 Zeichen, Groß- Kleinschreibung und Sonderzeichen ;)

Das problem bei den zufälligen Kennwörtern ist halt, dass man es immer irgendwo gespeichert haben muss.
In meinem Fall müsste ich mir dann nur "anna" und "AES 256" merken.

Sowas lohnt natürlich nur für einmalig wichtige Passwörter wie z.B. von der Kennwortdatei face-smile
maretz
maretz 03.01.2011 um 22:18:34 Uhr
Goto Top
hmm - und ich behaupte dann ist selbst das simpelste meiner Passwörter sicherer als deines. Denn ganz gleich welche Datei du bei mir am Rechner ansiehst - du wirst diese Passwörter NIRGENDS aufgeschrieben sehen. Was ist denn wenn z.B. jemand an deine Datei rankommt - schon bringen dir die passwörter nichts mehr.

Und für Unterwegs ist das noch unsinniger. Denn: Du merkst dir Anna und AES256. Morgen im Internet-Cafe hast du auch grad zufällig den passenden Code in der Tasche? SONST musst du irgendwo im Internet nen Generator haben, dort dein Wort verschlüsseln lassen, die passenden Zeichen raussuchen und woanders reinkopieren. Das ist derart umständlich - das macht keiner...

Jetzt nehm ich dagegen mal nen 08-15-Passwort (und zwar keines von denen die ich habe). Bei mir auf dem Tisch steht grad ne Dose Bären-Marke. Schon wäre ein Passwort: KaffeeBäMa7%

Ganz ohne Verschlüsselung, ganz ohne große Codes oder ähnliches. ICH muss mir nur merken: Ich trinke den Kaffee eben gern mit Milch von Bärenmarke (und die hat 7% fett). Das Kennwort kann durch einen Wörterbuch-Angriff nicht geknackt werden - da es kein Wort ist. Es enthält ne Zahl und ein Sonderzeichen - und es ist trotzdem für dich NICHT knackbar da du nicht weisst was sonst noch so auf meinem Tisch normal rumsteht. Trotzdem ist es einfach zu merken....

Oder: Ich benutze z.B. Firefox lieber als den IE8. Also könnte man FF4btIE8 nehmen -> Firefox 4 better than IE8. Viel Spass bei einem Wörterbuchangriff auf dieses Passwort. Das wird nix. Du weisst aber eben auch nicht anhand welches Objektes ich mir das Passwort generiere - und wie ich das zusammensetze. Damit hast du als fremde Person KEINEN Anhaltspunkt für "social engineering". Und das Passwort ist für dich nahezu unknackbar - grade bei Systemen die nach einer begrenzten Anzahl an Versuchen den Account erstmal sperren. Nehmen wir selbst 100 Versuche an, danach 1h Sperre. Wieviele Jahre willst du warten bis du ein solches PW geknackt hast...

Von daher: ETWAS Phantasie bei der Passwortwahl ist deutlich effektiver als diese ganzen "ich nehm nen Teil aus dem Code". Denn das musst du dir abschreiben, irgendwo speichern oder sonstwas. ICH behalte die Passwörter einfach im Kopf - und somit kann selbst jemand der Admin-Rechte auf meinem Rechner hat mein Passwort nicht sehen. Du kannst keinen Besitz an meinem Kopf übernehmen - und eine Verschlüsselungsschwäche gibt es dort auch nicht. Was machst du z.B. wenn du morgen feststellst das du zwar deine Passwörter in nem TrueCrypt-Container gespeichert hast - aber plötzlich wird bekannt das bei TC das Passwort "-1" leider nen Fehler ergibt und die Dateien entschlüsselt werden? Bei meinem KOPF kann ich garantieren das es sowas nicht gibt - bei einer Software kann ich dir dagegen garantieren das die IMMER einen Fehler haben wird! Bei TrueCrypt kannst du z.B. den ganzen Rechner wirklich einfrieren - schon bleibt das Passwort im Speicher. Gut - das mag bei meinem Kopf auch funktionieren - aber haust du meinen Kopf in flüssigen Stickstoff oä. dann ist das Passwort auch mein kleinstes Problem - ICH würde das eh nie wieder brauchen ;).
nachtfuchs
nachtfuchs 04.01.2011 um 19:03:18 Uhr
Goto Top
Ich habe dich weder angegriffen, noch spiele ich mich hier als Passwort-Experten auf der behauptet Passwörter müssen aus der Maschine kommen damit sie gut sind. Du attackierst mich in einigen Aussagen völlig zu unrecht, dass war bei dem HTTPS Thread auch schon, ist dir langweilig?? Welches Passwort stärker ist, spielt keine Rolle, denn mich interessiert es nicht ob das knacken 14 oder 15 tausend Jahre dauert. Mal davon abgesehen davon, dass ein Passwort mit ereichen der Mindesanforderung nur mit mehr Zeichen stärker werden kann und da ist das menschliche Gehirn im Nachteil. Ich habe natürlich auch einige Passwörter im Kopf, dazu beruflich bedingt viele weitere Zahlen, Kennzahlen etc. ich glaube jeder hat als Kind mal die Kombination von einem Schloss vergessen, sicherlich würde dir das niemals passieren, hast ja die Bärenmilch immer vor die stehen. Hat dir schonmal jemand beim zählen/rechnen eine Zahl gesagt und du warst total aus dem Konzept? Schonmal ein Kennzeichen oder Pin bekommen der deiner Telefonnummer ähnelte und auf einmal warst du unsicher? Es ging mir hier um ein sehr wichtiges Passwort, da möchte man kein Risiko eingehen. Natürlich hast du recht, in der wichtigespasswort.txt auf dem Desktop verliert so ein System auch an Attraktivität. Meinen Bankpin z.B. habe ich auch im Kopf, da ich ihn aber niemals vergessen möchte, habe ich dann auf irgendeinem Blatt in irgendeinem Ordner ne Zahlenkombination stehen 1864818694. da sehe ich meinen 4 stelligen Pin auf einen Blick. Aber kein anderer Mensch auf der Welt.
Für meine > 100 Accounts im Internet habe ich auch die verschiedensten Kennwörter, einige im Kopf, einige cryptisch irgendwo gespeichert. Wenn man vom Urlaubsort seine Mails lesen will ändert man es halt mal auf d0mR€p2011 und fertig.
Aber da sprichst du was interessantes an, wie würdest du Passwörter von vielen Accounts verwalten? Also diesen Freeware Passwortprogrammen traue ich nicht. Ich weiß auch garnicht, ob z.B. ein Passwort von einem Forum so kryptisch sein muss, die werden heutzutage doch eher direkt irgendwie ausgelesen oder? Das hatte ich zumindest einmal erlebt und dann gemerkt, dass ich diese eMail und Passwort kombination auch für ebay und amazon hatte. Ich habe aber wenigstens schnell geschaltet und heute zumindest alle einigermaßen wichtigen Accounts stärker und unterschiedlich gespeichert.
Du hast aber noch was interessantes gesagt, und zwar, dass das Kennwort im Kopf kein Admin sieht. Da möchte ich gerne den Bogen zu meinem HTTPS Thread schlagen. Da hattest du das nämlich als ein wenig naiv dargestellt, so nach dem Motto es geht alles durch das Firmennetzwerk, egal ob 256 Sonderzeichen und HTTPS, geht es duch das Adminnetz sieht der Admin es schon... also doch nicht?
Danke!
maretz
maretz 04.01.2011 um 19:49:52 Uhr
Goto Top
Moin,

fange ich mal unten an: Ja, ein Admin kann so zimlich alles sehen was durch sein Netz geht - insbesondere dann wenn wir den legalen Bereich verlassen (und das können wir da vorraussetzen - denn er dürfte es eh nicht). Dann ist nen Keylogger oder sowas auf dem Rechner des Mitarbeiters kein Thema - der Admin hat ja die Möglichkeit etwas zu installieren. DA ändert es aber nichts dran ob du deine Passwörter jetzt im Kopf hast - oder in einer Datei -> "ich" greiffe ja die Übertragung ab, nicht die Quelle.

Dann gehe ich mal zum nächsten: Du hast für 100 Accounts 100 verschiedene Passwörter? Ich glaube das machen die wenigsten. Die meisten haben zwischen 1 und 5. Und dann ist auch ein Foren-Passwort intressant - da es oftmals nur wenig Variatonen benötigt um auch auf die anderen Passwörter zu kommen. Noch besser ist aber zugegebenermaßen ein Passwort für dein Email-Konto. Von hier aus gehts dann los das man sich die PWs der Systeme zuschicken lässt - d.h. ich bekomme dein Ebay-PW, deins für Amazon,...

Jetzt gehe ich noch nen schritt weiter: Du bist im Urlaub. Unterwegs stellst du fest: MIST, ich hab ne Auktion bei Ebay und das Passwort nicht. Jetzt hilft dir deine Datei nichts mehr. Genauso ist es wenn du eben deine PIN von der Karte vergessen hast - vorm Automaten in Spanien hast du immernoch ein Problem.

Von daher: Ich habe nur eine Handvoll Passwörter - eingestuft nach der Wichtigkeit des Systems. Dabei gibt es komplexe Passwörter die du auch in Jahren nicht knackst, mittelmäßig sichere für Foren u.ä. Kram - und Passwörter die jeder 3jährige knacken kann z.B. für Systeme bei denen du keinen Schaden anrichten kannst wenn du meinen Account knackst (ok, ggf. mal dir nen unbegrenzt oft ausdruckbaren Gutschein holen). Diese Passwörter haben ALLE einen Bezug - nur sind die für dich eben nicht knackbar da du den Bezugspunkt nicht kennen kannst. Und damit brauche ich mir nur ein paar Objekte (wie die beispielhaft gesagte Bärenmarke) merken - und schon habe ich die Passwörter im Kopf. Diese Objekte kann ich mir aber auch auf Malle merken - d.h. wenn ich plötzlich merke: Mist, die Mail "ganzWichtigeMail" ging an den anderen Account dann ist das kein Problem.... Es bleiben also nur noch die PIN-Nummern. Und DIE kann man natürlich gut z.B. im Telefonbuch verstecken - da das Telefon (zumindest bei mir) auch noch mit nem Passwort gesichert ist.

So - und zum Schluss: Kern meiner Aussage war: Es bringt nichts wenn du dir dein Leben kompliziert machst. Du nimmst dein "Anna", hast ggf. noch eine Seite im Kopf auf der die AES-Verschlüsselung richtig implementiert ist (sonst bekommst du dein PW ja eh nie wieder). Jetzt musst du aus dem Datenwust noch dein PW rausfinden. Wie hoch ist also die Chance das du HIER was falsch machst - z.B. weil die URL nicht mehr existiert und jemand zwar AES256 draufschreibt aber nur MD5 ausgibt? Oder das du eben dein "Basispasswort" vergisst - bei 100 Accounts müsstest du ja auch 100 Basispasswörter haben. Dazu brauchst du noch 100 verschiedene Startpositionen - da du ja vermutlich nicht immer die ersten 8 Zeichen nehmen kannst (wenn DAS jemand raus hat dann gilt dein Passwort als geknackt - da er das ja dann implementieren kann und die Wörterbuch-Attacke wieder funktioniert). Sei mir nicht böse - aber ich glaube die Chance sich DAS im Urlaub zu merken ist nahezu 0. Also müsstest du ne Text-Datei z.B. auf dein Telefon packen - und DIE wäre wieder recht einfach zu sehen...

Daher denke ich eben das es nichts bringt wenn man sich das Passwort-Erzeugen ZU komplex macht. Ok, das is dann ggf. sicherer - aber du kannst es dir auch selbst nicht merken.
gnarff
gnarff 01.02.2011 um 15:32:52 Uhr
Goto Top
Die Ausgangsfrage war ja nicht wie sicher ist der Passworthash sonder wie sicher ist ein Passwort, dessen Klartext mit z.B. AES256 verschluesselt wurde.
[*PwCjOxOm1lJPsJ/18Eju7Q==*] hat 22 Zeichen, mit Ophcrack sowohl unter Windows XP mit Rainbowtable "WS-20K" als auch unter Windows Vista und Windows 7 mit Rainbowtable "Vista Special" kommt es zu keinem Ergebnis; der Grund ist einfach. Fuer Windows XP ist die maximal ermittelbare Passwortlaenge mittels Woerterbuchattacke auf 16 Zeichen beschraenkt, unter Vista und Windows 7 hillft nur noch Brute-force und die maximal ermittelbare Passwortlaenge reduziert sich dramatisch, jeh nach Komplexitaet auf maximal 6-9 Zeichen.

Dabei ist es voellig Wurst ob nun ein einfacher Angriff auf das zu ermittelnde Passwort ausgefuehrt, oder "Distributed" gearbeitet wird.

Saludos
Gnarff