[HaBo]

merlinuwe · 23.02.08, 19:47

Hallo liebe Helfer,

seit ein paar Stunden beschäftige ich mich mit dem Thema "sicheres Passwort" und habe da ein paar Fragen.

1.1 Kommt es bei einem guten Passwort (neben der Länge, Sonderzeichen, kein Wörterbuch etc.) hinsichtlich der Entschlüsselungszeit im Rahmen eines Crackversuchs auch auf die Reihenfolge der Zeichen an?
tAff8641_~
t8A6f4f1_~

1.2 Warum ist 12345abcde schlechter als 52ce3a1b4d? (Nur wegen der Wörterbuchmethode?)

2. Gehen die brute-force Cracktools systematisch ("ASCII 0 bis 255") oder parallel vor?

3. Reicht es aus, nur ein Sonderzeichen und eine Zahl im Paßwort zu verwenden? (Die crackende Software weiß schließlich nicht, an welchen Stellen diese Zeichen sich befinden und muss für jede Stelle alle Möglichkeiten durchprobieren.)

4. Habe mal irgendwo gelesen, ein Passwort sollte nicht zu viele Leertasten enthalten. Weiß jemand, warum? (Oder geht es dabei um die Vermeidung der Wiederholung von Zeichen?)

5. Weiss jemand zufällig, ab welcher Passwortlänge man mit heutiger Technik (Parallelschaltung; der aktuelle IBM-Rechner BlueGene und was es sonst noch so an Verfahren gibt) statistisch gesehen nicht mehr in der Lage ist, es zu cracken? (Ein "gutes" Passwort vorausgesetzt.)

6. Kennt jemand ein einfaches mnemotechnisches Verfahren oder Grundprinzip, um für verschiedene Zwecke sehr gute Passworte (Mz.) zu bilden, die auch leicht aktualisiert werden können? Ich möchte ca. 10 verschiedene sehr gute Passworte so lernen, dass ich sie auf Dauer behalte und regelmäßig erneuern/abwandeln kann. Das Kernproblem dabei (neben der Verwechslungsgefahr) sind die Sonderzeichen und ihre Merkbarkeit. (Das Ersetzen von a durch @ etc. ist mir zu billig...)

Freue mich auf interessante Beiträge.

**Elderan** · 23.02.08, 21:57

Hallo,

Zitat:

Original von merlinuwe
1.1 Kommt es bei einem guten Passwort (neben der Länge, Sonderzeichen, kein Wörterbuch etc.) hinsichtlich der Entschlüsselungszeit im Rahmen eines Crackversuchs auch auf die Reihenfolge der Zeichen an?
tAff8641_~
t8A6f4f1_~

Sofern die Reihnfolge zufällig ist, nein. Aber ein Passwort wie 'abcdefg' ist deutlich leichter zu erraten als 'gadbfce'

Zitat:

1.2 Warum ist 12345abcde schlechter als 52ce3a1b4d? (Nur wegen der Wörterbuchmethode?)

Wörterbuchattacke wird immer die erste Wahl sein, wenn man versuchen möchte, ein Passwort zu knacken.

Zitat:

2. Gehen die brute-force Cracktools systematisch ("ASCII 0 bis 255") oder parallel vor?

Kein Cracktool wird alle ASCII Zeichen testen, denn nur wenige User haben z.B. ein Backspace oder ein Zeileumbruch in deren PW.
Meistens wird es eingeschränkt auf a-z, 0-9.
Was meinst du mit parallel? Sofern nur 1 Prozessor vorhanden ist, wird normalerweise ein Passwort nach dem anderem getestet, da das parallele Testen alles nur verlangsamen würde.

Zitat:

3. Reicht es aus, nur ein Sonderzeichen und eine Zahl im Paßwort zu verwenden? (Die crackende Software weiß schließlich nicht, an welchen Stellen diese Zeichen sich befinden und muss für jede Stelle alle Möglichkeiten durchprobieren.)

Vorallem die Länge ist wichtig, sowie dass das Passwort lang genug ist.
Ein Passwort wie 'anjuvwxloi' ist deutlich besser als '1b&a'

Zitat:

4. Habe mal irgendwo gelesen, ein Passwort sollte nicht zu viele Leertasten enthalten. Weiß jemand, warum? (Oder geht es dabei um die Vermeidung der Wiederholung von Zeichen?)

Einige Systeme mögen/vetragen keine Leertasten.

Zitat:

5. Weiss jemand zufällig, ab welcher Passwortlänge man mit heutiger Technik (Parallelschaltung; der aktuelle IBM-Rechner BlueGene und was es sonst noch so an Verfahren gibt) statistisch gesehen nicht mehr in der Lage ist, es zu cracken? (Ein "gutes" Passwort vorausgesetzt.)

Also 8 Zeichen a-z, A-Z, 0-9 oder 9 bis 10 Zeichen a-z, 0-9 sollten es schon sein. Neben dem Passwort kommt es vorallem drauf an, wie die Passwörter gespeichert wurden.
Es gibt verfahren, wo selbst ein 5 stelliges Passwort sehr sicher ist, bei anderen Systemen vielleicht erst ab 10 Zeichen. Die Regel oben sollte aber genügen

Zitat:

6. Kennt jemand ein einfaches mnemotechnisches Verfahren oder Grundprinzip, um für verschiedene Zwecke sehr gute Passworte (Mz.) zu bilden, die auch leicht aktualisiert werden können? Ich möchte ca. 10 verschiedene sehr gute Passworte so lernen, dass ich sie auf Dauer behalte und regelmäßig erneuern/abwandeln kann. Das Kernproblem dabei (neben der Verwechslungsgefahr) sind die Sonderzeichen und ihre Merkbarkeit. (Das Ersetzen von a durch @ etc. ist mir zu billig...)

Passpharsen sind sehr praktisch, z.B. nimm die Anfangsbuchstaben von einem Satz:
DKtiHmdKT = Der Kater tantzt im Hühnerstall mit der Katze Tango

Oder sonst gibts auch Password Safes.

Das wichtigste ist aber eigentlich, zu vermeiden, gleiche Passwörter bei verschiedenen Diensten zu benutzen.

Anzeige

- Anzeige -

DCLXVI · 23.02.08, 21:58

Zu Frage Nummer 6:
Du kannst dir einen Satz ausdenken, den du dir gut merken kannst. Dann nimmst du von jedem Wort des Satzes z.B. den ersten und den letzten Buchstaben und reihst diese aneinander.

z.B "Mein Name ist Hans und ich bin 20 Jahre alt!", dann wäre dein Passwort: "MnNeitHsudihbn20Jeat!"

Für die Abwandlungen könntest du z.B. die Namen und das Alter von Freunden oder Verwandten nehmen.

Ich merk grad, zu langsam

RedEagle · 23.02.08, 22:54

Ebenfalls zu 6.:
Man muss sich einfach nur ein paar regeln überlegen.

bsp.: Ein bootpasswort
max-länge: 8 Zeichen
Zeichen 1,2: "LT" falls es ein Laptop ist, "PC" falls es ein PC ist, ...
Zeichen 3: "#"
Zeichen 4: Nummer des Computers
Zeichen 5-8: "bpw-" (bpw = bootpasswort; "-" um es auf 8 Zeichen zu füllen

Dann ergibt sich für das bootpasswort des 2-PCs:
PC#2bpw-

Enthält groß-, kleinbuchstaben, zahlen und zeichen.
Und es lässt sich nur erraten, wenn man das regelwerk kennt

-edit-
Man merkt sich das passwort im prinzip schon dadurch, dass man sich ne gewisse zeit damit beschäftig. es ist dann nichtmals mehr nötig, sich das regelwerk zu merken.

EarthWorm · 29.04.08, 21:06

hab mir mal ein langes Passwort zusammengebastelt das mir mittlerweile zu nervig ist. Habe mittlerweile nur noch ein 8 und 10 stelliges.

"G88M07EWorm1219" war mal mein Passwort

zusammengesetzt war das so:
G = Erster Buchstabe des Nachnames
88 = Jahreszahl meines Geburtsdatums (Die 88 von 198

M = Anfangsbuchstabe meines Vornames
07 = Steht für Juli (Monat in dem Ich geburtstag hab)
EWorm = Steht für nickname EarthWorm
12 = Tag im Monat in dem Ich geburtstag hab (12.07.198

und 19 für das Jahundert (198

Also sind in dem ewiglangen passwort gar nicht mal so viele sachen zum merken drin.

1. Geburtsdatum
2. Name und Vorname
3. Nickname

Das wars auch schon, ich glaube kaum das sich jemand die mühe gemacht hat dieses Passwort zu entschlüsseln.
Kann nur empfehlen die 3 Informationen zu verwenden und irgendwie anzuordnen wie man nicht wirklich herausfinden kann.

Liebe Grüße
Marco

valenterry · 29.04.08, 21:35

Zitat:

Original von merlinuwe1.1 Kommt es bei einem guten Passwort (neben der Länge, Sonderzeichen, kein Wörterbuch etc.) hinsichtlich der Entschlüsselungszeit im Rahmen eines Crackversuchs auch auf die Reihenfolge der Zeichen an?
tAff8641_~
t8A6f4f1_~

Da wage ich mal Elderan zu widersprechen und sage: Ja!
Wenn der Angreifer das Passwort herausfinden möchte und weiß, dass du aus Deutschland bist, wird er vermutlich zuerst mit den Buchstaben des deutschen Alphabets anfangen, mit denen Wörter am öftesten beginnen. Ein schlaues Programm wählt nicht Ö als den ersten Buchstaben zum Testen.
Daher ist es schlau, für das Zeichen ein Zeichen zu wählen, welches selten und auch am besten weiter hinten im Alphabet vorkommt. Ein Sonderzeichen ist natürlich noch besser.

Zitat:

3. Reicht es aus, nur ein Sonderzeichen und eine Zahl im Paßwort zu verwenden? (Die crackende Software weiß schließlich nicht, an welchen Stellen diese Zeichen sich befinden und muss für jede Stelle alle Möglichkeiten durchprobieren.)

Im Prinzip ja. Es kommt aber drauf an. Wenn der Angreifer von einem Durchschnittsuser ausgeht, wird er vielleicht vermuten, dass (sobald er alle Lösungen ohne Sonderzeichen und Zahlen durchprobiert hat) ein oder zwei Sonderzeichen mit im Passwort sind. Die meisten User benutzen nur 1-2 Zahlen und mal ein Sonderzeichen. D.h. je mehr Sonderzeichen desto besser, aber der Sicherheitsgewinn zwischen 0 und einem Sonderzeichen ist sehr groß.

Woodchopper · 20.05.08, 06:34

Ein Passwort wie:
ApfelBallSchuhe9V%ms

müsste doch auch ziemlich sicher sein? Bei Bruteforce auf jeden Fall.

Gehen wir von einer Wörterbuchatacke aus. Weiterhin sei bekannt:
Das Passwort besteht aus drei unbekannten deutschen Wörtern aus dem Duden und einer fünfstelligen Zeichenkette aus einem Zufallsgenerator (Mit Groß/Klein-schreibung, Zahl und Sonderzeichen).

So müsste zu jeder einzelnen Permutation der Wörter ein kompletter Bruteforce auf 5 Zeichen gemacht werden.
Auch wenn dieser Check ( http://passwortcheck.pc-feuerwehr.de/checkpw.php )die Sicherheit nicht bestätigt, so sollte man meiner Meinung nach dieser Punkte-Bewertung in diesem Fall nicht so glauben...
---
ApfelBallSchuhe9Vfms

Zeichenvorrat: 62 [Berechnung OHNE sonderzeichen (weis nie so genau, wieviele man nehmen sollte...)]
200 Millionen Keys/second
---> ca. 4,58066 Sekunden pro Permutation/Wörteranordung.

Duden: 120 000 Wörter (Vermutlich - Quelle aus irgendwoher aus Web gegriffen!)

(120000^3)*4,58066*(1/3600)*(1/24)*(1/365)=ca. 250*10^6 Jahre

Andererseits werden wahrscheinliche Kombinationen wohl zuerst genommen...

Anzeige

- Anzeige -

23.02.08, 19:47	#1 (permalink)
merlinuwe Registriert seit: 23.02.08 Likes: 0	Diverse Fragen zu Passwörtern Anzeige Hallo liebe Helfer, seit ein paar Stunden beschäftige ich mich mit dem Thema "sicheres Passwort" und habe da ein paar Fragen. 1.1 Kommt es bei einem guten Passwort (neben der Länge, Sonderzeichen, kein Wörterbuch etc.) hinsichtlich der Entschlüsselungszeit im Rahmen eines Crackversuchs auch auf die Reihenfolge der Zeichen an? tAff8641_~ t8A6f4f1_~ 1.2 Warum ist 12345abcde schlechter als 52ce3a1b4d? (Nur wegen der Wörterbuchmethode?) 2. Gehen die brute-force Cracktools systematisch ("ASCII 0 bis 255") oder parallel vor? 3. Reicht es aus, nur ein Sonderzeichen und eine Zahl im Paßwort zu verwenden? (Die crackende Software weiß schließlich nicht, an welchen Stellen diese Zeichen sich befinden und muss für jede Stelle alle Möglichkeiten durchprobieren.) 4. Habe mal irgendwo gelesen, ein Passwort sollte nicht zu viele Leertasten enthalten. Weiß jemand, warum? (Oder geht es dabei um die Vermeidung der Wiederholung von Zeichen?) 5. Weiss jemand zufällig, ab welcher Passwortlänge man mit heutiger Technik (Parallelschaltung; der aktuelle IBM-Rechner BlueGene und was es sonst noch so an Verfahren gibt) statistisch gesehen nicht mehr in der Lage ist, es zu cracken? (Ein "gutes" Passwort vorausgesetzt.) 6. Kennt jemand ein einfaches mnemotechnisches Verfahren oder Grundprinzip, um für verschiedene Zwecke sehr gute Passworte (Mz.) zu bilden, die auch leicht aktualisiert werden können? Ich möchte ca. 10 verschiedene sehr gute Passworte so lernen, dass ich sie auf Dauer behalte und regelmäßig erneuern/abwandeln kann. Das Kernproblem dabei (neben der Verwechslungsgefahr) sind die Sonderzeichen und ihre Merkbarkeit. (Das Ersetzen von a durch @ etc. ist mir zu billig...) Freue mich auf interessante Beiträge.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Schutz von sensiblen Passwörtern	3dWolf	Webmaster-Security	13	24.01.08 07:05
Verschlüsselung von Passwörtern...	Unicate	Cryptography & Encryption	10	09.06.06 17:43
Maximallänge bei Passwörtern	THRALL	Hackerboard.de-Feedback	4	02.06.05 07:19
Opera und das speichern von Passwörtern	Arschengel	Applikationen	2	22.11.04 16:10
Verfall von Passwörtern in .htacess	ferrathios	(In)security allgemein	1	30.11.01 12:59

23.02.08, 21:58	#3 (permalink)
DCLXVI Registriert seit: 28.08.07 Likes: 0	Zu Frage Nummer 6: Du kannst dir einen Satz ausdenken, den du dir gut merken kannst. Dann nimmst du von jedem Wort des Satzes z.B. den ersten und den letzten Buchstaben und reihst diese aneinander. z.B "Mein Name ist Hans und ich bin 20 Jahre alt!", dann wäre dein Passwort: "MnNeitHsudihbn20Jeat!" Für die Abwandlungen könntest du z.B. die Namen und das Alter von Freunden oder Verwandten nehmen. Ich merk grad, zu langsam

23.02.08, 22:54	#4 (permalink)
RedEagle Registriert seit: 06.05.04 Likes: 0	Ebenfalls zu 6.: Man muss sich einfach nur ein paar regeln überlegen. bsp.: Ein bootpasswort max-länge: 8 Zeichen Zeichen 1,2: "LT" falls es ein Laptop ist, "PC" falls es ein PC ist, ... Zeichen 3: "#" Zeichen 4: Nummer des Computers Zeichen 5-8: "bpw-" (bpw = bootpasswort; "-" um es auf 8 Zeichen zu füllen Dann ergibt sich für das bootpasswort des 2-PCs: PC#2bpw- Enthält groß-, kleinbuchstaben, zahlen und zeichen. Und es lässt sich nur erraten, wenn man das regelwerk kennt -edit- Man merkt sich das passwort im prinzip schon dadurch, dass man sich ne gewisse zeit damit beschäftig. es ist dann nichtmals mehr nötig, sich das regelwerk zu merken.

29.04.08, 21:06	#5 (permalink)
EarthWorm Registriert seit: 12.07.07 Likes: 0	hab mir mal ein langes Passwort zusammengebastelt das mir mittlerweile zu nervig ist. Habe mittlerweile nur noch ein 8 und 10 stelliges. "G88M07EWorm1219" war mal mein Passwort zusammengesetzt war das so: G = Erster Buchstabe des Nachnames 88 = Jahreszahl meines Geburtsdatums (Die 88 von 198 M = Anfangsbuchstabe meines Vornames 07 = Steht für Juli (Monat in dem Ich geburtstag hab) EWorm = Steht für nickname EarthWorm 12 = Tag im Monat in dem Ich geburtstag hab (12.07.198 und 19 für das Jahundert (198 Also sind in dem ewiglangen passwort gar nicht mal so viele sachen zum merken drin. 1. Geburtsdatum 2. Name und Vorname 3. Nickname Das wars auch schon, ich glaube kaum das sich jemand die mühe gemacht hat dieses Passwort zu entschlüsseln. Kann nur empfehlen die 3 Informationen zu verwenden und irgendwie anzuordnen wie man nicht wirklich herausfinden kann. Liebe Grüße Marco

20.05.08, 06:34	#7 (permalink)
Woodchopper Registriert seit: 06.05.06 Likes: 0	Ein Passwort wie: ApfelBallSchuhe9V%ms müsste doch auch ziemlich sicher sein? Bei Bruteforce auf jeden Fall. Gehen wir von einer Wörterbuchatacke aus. Weiterhin sei bekannt: Das Passwort besteht aus drei unbekannten deutschen Wörtern aus dem Duden und einer fünfstelligen Zeichenkette aus einem Zufallsgenerator (Mit Groß/Klein-schreibung, Zahl und Sonderzeichen). So müsste zu jeder einzelnen Permutation der Wörter ein kompletter Bruteforce auf 5 Zeichen gemacht werden. Auch wenn dieser Check ( http://passwortcheck.pc-feuerwehr.de/checkpw.php )die Sicherheit nicht bestätigt, so sollte man meiner Meinung nach dieser Punkte-Bewertung in diesem Fall nicht so glauben... --- ApfelBallSchuhe9Vfms Zeichenvorrat: 62 [Berechnung OHNE sonderzeichen (weis nie so genau, wieviele man nehmen sollte...)] 200 Millionen Keys/second ---> ca. 4,58066 Sekunden pro Permutation/Wörteranordung. Duden: 120 000 Wörter (Vermutlich - Quelle aus irgendwoher aus Web gegriffen!) (120000^3)4,58066(1/3600)(1/24)(1/365)=ca. 250*10^6 Jahre Andererseits werden wahrscheinliche Kombinationen wohl zuerst genommen...

[HaBo]

Diverse Fragen zu Passwörtern