derwowusste
Goto Top

Wörterbuchattacken auf Zitate

Moin Kollegen!

Es ist unlängst bekannt geworden, dass Wörterbücher, welche für Attacken auf Kennwörter genutzt werden, mittlerweile oft auch Strings gebildet aus Initialen von Sprichwörtern und berühmten Zitaten (siehe z.B. http://www.brainyquote.com/ ) enthalten.

Kennt jemand eine solche Liste von Strings aus Initialen? Ich würde diese gerne in unserer Domäne verbieten und müsste sie dazu in unser Wörterbuch einpflegen, welches unsere Kennwortsoftware zur Prüfung benutzt.

PS: Ich bitte darum, dass hieraus keine Diskussion über Kennwortsicherheit entstehen möge.

Content-ID: 201824

Url: https://administrator.de/contentid/201824

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

aqui
aqui 15.02.2013 aktualisiert um 19:21:42 Uhr
Goto Top
Wenn man das hier liest:
http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html
wird man so oder so sämtlicher Illusionen über sichere Passwörter beraubt....
Mist, hätte fast eine Diskussion angefangen... Sorry
brammer
brammer 15.02.2013 um 20:48:57 Uhr
Goto Top
Hallo,

vielleicht sollte Dww die Einschränkung wegen der Passwort Sicherheit noch mal überdenken.
Ein Beitrag der 3 positive Bewertungen und 3 Forenmitglieder hat die dem Beitrag folgen ohne das es eine Antwort gibt, verdient es am Leben gehalten zu werden.

Btw. mit einer Passwortrichtlinie die 2 Zahlen und 2 Sonderzeichen enthält, sollte auch eine Sammlung von Anfangsbuchstaben diverser Zitaten kein PRoblem mehr sein.

brammer
DerWoWusste
DerWoWusste 15.02.2013 aktualisiert um 21:26:11 Uhr
Goto Top
Hi.

Den CT-Artikel habe ich gelesen. Unbenommen von technischen Entwicklungen bleibt ein Kennwort wie G$!7JHg#2qh2 sicher genug, selbst für gehobene Ansprüche. Eins wie WaeGg,fsh.123 jedoch nicht (3mal dürft Ihr raten, was sich dahinter verbirgt).

Ok, ich werde mich dann mal auf die Suche begeben und Ergebnisse melden.
@brammer: Versteh ich noch nicht, was davon soll ich überdenken?
Ich habe schon Demonstrationen dazu gesehen, Abwandlungen von Kennwortsätzen aus Sprichwörtern/Initialen von berühmten Zitaten sind in Wortlisten drin, siehe mein Obiges "Wer anderen eine Grube..." - garantiert enthalten.
Alchimedes
Alchimedes 15.02.2013 aktualisiert um 22:14:21 Uhr
Goto Top
Hallo ,

die Passwortgenerierung via Zitate ist doch schon nicht schlecht. Besser als Klebezettel unter der Tastatur.
Ich weiss keine Diskussion... sorry

Hab mich aber mal ins dunkle Internet begeben um solche Liste zu finden... ohne wirklichen Erfolg.
Mein Russisch ist zu schlecht.....

Jedoch werden oft zu den "Normalen" Woerterbuchlisten generierte Passwoerter z.B via pwgen -y -n 16 den Passwortlisten hinzugefuegt.

P.S

um G$!7JHg#2qh2 zu knacken braucht ein Rechner 344000 Jahre...
fuer WaeGg,fsh.123 braucht ein Rechner 51 Millionen Jahre....

von http://howsecureismypassword.net/

jedoch bei

https://review.datenschutz.ch/passwortcheck/check.php
sieht es ganz anders aus...

Gruss
DerWoWusste
DerWoWusste 16.02.2013, aktualisiert am 17.02.2013 um 23:53:11 Uhr
Goto Top
fuer WaeGg,fsh.123 braucht ein Rechner 51 Millionen Jahre....
Eben nicht, da vernünftige Angreifer Ihr bruteforce mit Wörterbüchern unterstützen - das ist doch gerade der Grund, warum ich ein solches WB haben will.
-WeBu-
-WeBu- 18.02.2013 um 11:41:40 Uhr
Goto Top
Ich nehme für Passwörter, die ich mir merken muss, auch die Anfangsbuchstaben von Phrasen, erweitere diese aber ggf. mit eingestreuten Sonderzeichen oder (!) leicht zu tippenden Tastenkombis auf der Tastatur wie z. B. "qawsed". Damit haben WB-Attacken kaum noch eine Chance.
joebigfoot
joebigfoot 18.02.2013 um 16:09:51 Uhr
Goto Top
Hallo warum nicht den Passwortgenerator Zebus
der generiert bis zu 9999 Buchstaben Sonderzeichen
und Zahlen passt auf einen USB Stick und muß nicht
installiert werden.Dann verwende ich Chipdrive
My Key kostet ca € 20.-. Ist ein USB Dongle mit einer Simkarte
abziehen und keiner kann ohne den USB Dongle
etwas öffnen den es ist ein Passwortmanager auf Hardware Basis.
Meine Passwörter sind 30 Zeichen lang
die nicht mehr zu knacken sind.
Hier der Link vom Heise Verlag
http://www.heise.de/download/zebus-passwort-generator-1114177.html

Nicht abschrecken lasse er funktioniert auch auf Windows 7
DerWoWusste
DerWoWusste 18.02.2013 um 16:16:50 Uhr
Goto Top
Moin joebigfoot und -WeBu-, ich danke Euch, aber das war nicht wirklich Thema hier. Ich möchte unsere Strategie nicht ändern, sondern lediglich unser Prüfwörterbuch erweitern.
-WeBu-
-WeBu- 19.02.2013 um 14:51:15 Uhr
Goto Top
Stimmt, in deinem Eingangspost hast du das geschrieben.

Vor dem Hintergrund fände ich es spannend, ob in gängigen Wörterbuchlisten auch gängige Tastaturreihenfolgen zu finden wären, was ja meine Präferenz ist. Wenn Du also bei Deiner Recherche auf solche Tastenfolgen stößt, würde ich mich über eine Rückmeldung freuen.
brammer
brammer 19.02.2013 um 15:40:53 Uhr
Goto Top
Hallo,

@-WeBu-
dazu braucht es keine Wörterbuchattacken...
das erkennen die meisten Angriffstools direkt bei der Eingabe..

Hier noch 2 Links zu Wörterbüchern:

http://www.openwall.com/mirrors/

http://www.outpost9.com/files/WordLists.html

brammer
DerWoWusste
DerWoWusste 19.02.2013 um 18:07:23 Uhr
Goto Top
@-WeBu-
Unsere Software von Anixis, welche die Kennwörter auf dem DC prüft, prüft auch Tastaturmuster, sogar Zickzack und solche Scherze.
-WeBu-
-WeBu- 19.02.2013 aktualisiert um 19:04:43 Uhr
Goto Top
Ich versuch's nochmal: Das ist mir schon klar, dass reine Tastaturmuster bereits erkannt werden. Ich aber sprach davon, in Anfangsbuchstabenkombis von Phrasen diese Tastaturkombis irgendwo einzufügen:

Das Beispiel von oben mit der Grube sähe dann so aus: WaeGgqawsed,fsh.123

Selbst wenn WBs Phrasen berücksichtigen, wie würden sie ahnen können, wo Tastaturkombis eingestreut sind? Ich wähn(t)e mich eigentlich mit meiner Methode sicher, würde mich aber gerne eines besseren belehren lassen.
DerWoWusste
DerWoWusste 19.02.2013 aktualisiert um 19:16:24 Uhr
Goto Top
-Es ist die zu vermeidende Diskussion geworden- face-smile face-smile
Wann immer ein System dahinter steckt, das auch andere nutzen könnten, könnten Sie es auch in Ihr Wörterbuch schreiben.

Natürlich wird Dein so erzeugtes Kennwort nicht in meiner Liste stehen, und vielleicht auch in keiner auf der Welt, aber es ist eine Kombination aus 2 Techniken, die beide für sich genommen in Listen auftauchen - todsicher ist es also nicht. Anixis PPE testet auch auf Einschlüsse, zum Beispiel H1a2U3s würde nicht zugelassen.

Nahezu todsicher sind eher Initialen von Fantasiesätzen wie
JAk1Kv,dgwzEs
(Jeden Abend kommt 1 Kumpel vorbei, dann gehen wir zusammen Eisbären schießen)

Es würde mich freuen, wenn keine weiteren Diskussionen entstehen. Können wir mal an anderer Stelle machen face-smile
-WeBu-
-WeBu- 19.02.2013 aktualisiert um 20:28:45 Uhr
Goto Top
Ich wollte keine Diskussion, ich wollte eine Antwort und die hast Du mir gegeben, als du schriebst, dass meine Methode nicht in Wörterbüchern zu finden wäre! That's it! Danke! face-smile