Diverse Fragen zu Passwörtern

[merlinuwe]

Hallo liebe Helfer,

seit ein paar Stunden beschäftige ich mich mit dem Thema "sicheres Passwort" und habe da ein paar Fragen.

1.1 Kommt es bei einem guten Passwort (neben der Länge, Sonderzeichen, kein Wörterbuch etc.) hinsichtlich der Entschlüsselungszeit im Rahmen eines Crackversuchs auch auf die Reihenfolge der Zeichen an?
tAff8641_~
t8A6f4f1_~

1.2 Warum ist 12345abcde schlechter als 52ce3a1b4d? (Nur wegen der Wörterbuchmethode?)

2. Gehen die brute-force Cracktools systematisch ("ASCII 0 bis 255") oder parallel vor?

3. Reicht es aus, nur ein Sonderzeichen und eine Zahl im Paßwort zu verwenden? (Die crackende Software weiß schließlich nicht, an welchen Stellen diese Zeichen sich befinden und muss für jede Stelle alle Möglichkeiten durchprobieren.)

4. Habe mal irgendwo gelesen, ein Passwort sollte nicht zu viele Leertasten enthalten. Weiß jemand, warum? (Oder geht es dabei um die Vermeidung der Wiederholung von Zeichen?)

5. Weiss jemand zufällig, ab welcher Passwortlänge man mit heutiger Technik (Parallelschaltung; der aktuelle IBM-Rechner BlueGene und was es sonst noch so an Verfahren gibt) statistisch gesehen nicht mehr in der Lage ist, es zu cracken? (Ein "gutes" Passwort vorausgesetzt.)

6. Kennt jemand ein einfaches mnemotechnisches Verfahren oder Grundprinzip, um für verschiedene Zwecke sehr gute Passworte (Mz.) zu bilden, die auch leicht aktualisiert werden können? Ich möchte ca. 10 verschiedene sehr gute Passworte so lernen, dass ich sie auf Dauer behalte und regelmäßig erneuern/abwandeln kann. Das Kernproblem dabei (neben der Verwechslungsgefahr) sind die Sonderzeichen und ihre Merkbarkeit. (Das Ersetzen von a durch @ etc. ist mir zu billig...)

Freue mich auf interessante Beiträge.

 

[Elderan]

Hallo,

Original von merlinuwe
1.1 Kommt es bei einem guten Passwort (neben der Länge, Sonderzeichen, kein Wörterbuch etc.) hinsichtlich der Entschlüsselungszeit im Rahmen eines Crackversuchs auch auf die Reihenfolge der Zeichen an?
tAff8641_~
t8A6f4f1_~

Sofern die Reihnfolge zufällig ist, nein. Aber ein Passwort wie 'abcdefg' ist deutlich leichter zu erraten als 'gadbfce'

1.2 Warum ist 12345abcde schlechter als 52ce3a1b4d? (Nur wegen der Wörterbuchmethode?)

Wörterbuchattacke wird immer die erste Wahl sein, wenn man versuchen möchte, ein Passwort zu knacken.

2. Gehen die brute-force Cracktools systematisch ("ASCII 0 bis 255") oder parallel vor?

Kein Cracktool wird alle ASCII Zeichen testen, denn nur wenige User haben z.B. ein Backspace oder ein Zeileumbruch in deren PW.
Meistens wird es eingeschränkt auf a-z, 0-9.
Was meinst du mit parallel? Sofern nur 1 Prozessor vorhanden ist, wird normalerweise ein Passwort nach dem anderem getestet, da das parallele Testen alles nur verlangsamen würde.

3. Reicht es aus, nur ein Sonderzeichen und eine Zahl im Paßwort zu verwenden? (Die crackende Software weiß schließlich nicht, an welchen Stellen diese Zeichen sich befinden und muss für jede Stelle alle Möglichkeiten durchprobieren.)

Vorallem die Länge ist wichtig, sowie dass das Passwort lang genug ist.
Ein Passwort wie 'anjuvwxloi' ist deutlich besser als '1b&a'

4. Habe mal irgendwo gelesen, ein Passwort sollte nicht zu viele Leertasten enthalten. Weiß jemand, warum? (Oder geht es dabei um die Vermeidung der Wiederholung von Zeichen?)

Einige Systeme mögen/vetragen keine Leertasten.

5. Weiss jemand zufällig, ab welcher Passwortlänge man mit heutiger Technik (Parallelschaltung; der aktuelle IBM-Rechner BlueGene und was es sonst noch so an Verfahren gibt) statistisch gesehen nicht mehr in der Lage ist, es zu cracken? (Ein "gutes" Passwort vorausgesetzt.)

Also 8 Zeichen a-z, A-Z, 0-9 oder 9 bis 10 Zeichen a-z, 0-9 sollten es schon sein. Neben dem Passwort kommt es vorallem drauf an, wie die Passwörter gespeichert wurden.
Es gibt verfahren, wo selbst ein 5 stelliges Passwort sehr sicher ist, bei anderen Systemen vielleicht erst ab 10 Zeichen. Die Regel oben sollte aber genügen

6. Kennt jemand ein einfaches mnemotechnisches Verfahren oder Grundprinzip, um für verschiedene Zwecke sehr gute Passworte (Mz.) zu bilden, die auch leicht aktualisiert werden können? Ich möchte ca. 10 verschiedene sehr gute Passworte so lernen, dass ich sie auf Dauer behalte und regelmäßig erneuern/abwandeln kann. Das Kernproblem dabei (neben der Verwechslungsgefahr) sind die Sonderzeichen und ihre Merkbarkeit. (Das Ersetzen von a durch @ etc. ist mir zu billig...)

Passpharsen sind sehr praktisch, z.B. nimm die Anfangsbuchstaben von einem Satz:
DKtiHmdKT = Der Kater tantzt im Hühnerstall mit der Katze Tango

Oder sonst gibts auch Password Safes.

Das wichtigste ist aber eigentlich, zu vermeiden, gleiche Passwörter bei verschiedenen Diensten zu benutzen.

 

[DCLXVI]

Zu Frage Nummer 6:
Du kannst dir einen Satz ausdenken, den du dir gut merken kannst. Dann nimmst du von jedem Wort des Satzes z.B. den ersten und den letzten Buchstaben und reihst diese aneinander.

z.B "Mein Name ist Hans und ich bin 20 Jahre alt!", dann wäre dein Passwort: "MnNeitHsudihbn20Jeat!"

Für die Abwandlungen könntest du z.B. die Namen und das Alter von Freunden oder Verwandten nehmen.

Ich merk grad, zu langsam X(

 

[RedEagle]

Ebenfalls zu 6.:
Man muss sich einfach nur ein paar regeln überlegen.

bsp.: Ein bootpasswort
max-länge: 8 Zeichen
Zeichen 1,2: "LT" falls es ein Laptop ist, "PC" falls es ein PC ist, ...
Zeichen 3: "#"
Zeichen 4: Nummer des Computers
Zeichen 5-8: "bpw-" (bpw = bootpasswort; "-" um es auf 8 Zeichen zu füllen

Dann ergibt sich für das bootpasswort des 2-PCs:
PC#2bpw-

Enthält groß-, kleinbuchstaben, zahlen und zeichen.
Und es lässt sich nur erraten, wenn man das regelwerk kennt

-edit-
Man merkt sich das passwort im prinzip schon dadurch, dass man sich ne gewisse zeit damit beschäftig. es ist dann nichtmals mehr nötig, sich das regelwerk zu merken.

 

[EarthWorm]

hab mir mal ein langes Passwort zusammengebastelt das mir mittlerweile zu nervig ist. Habe mittlerweile nur noch ein 8 und 10 stelliges.

"G88M07EWorm1219" war mal mein Passwort

zusammengesetzt war das so:
G = Erster Buchstabe des Nachnames
88 = Jahreszahl meines Geburtsdatums (Die 88 von 1988)
M = Anfangsbuchstabe meines Vornames
07 = Steht für Juli (Monat in dem Ich geburtstag hab)
EWorm = Steht für nickname EarthWorm
12 = Tag im Monat in dem Ich geburtstag hab (12.07.1988)
und 19 für das Jahundert (1988)

Also sind in dem ewiglangen passwort gar nicht mal so viele sachen zum merken drin.

1. Geburtsdatum
2. Name und Vorname
3. Nickname

Das wars auch schon, ich glaube kaum das sich jemand die mühe gemacht hat dieses Passwort zu entschlüsseln.
Kann nur empfehlen die 3 Informationen zu verwenden und irgendwie anzuordnen wie man nicht wirklich herausfinden kann.

Liebe Grüße
Marco

 

[valenterry]

Original von merlinuwe1.1 Kommt es bei einem guten Passwort (neben der Länge, Sonderzeichen, kein Wörterbuch etc.) hinsichtlich der Entschlüsselungszeit im Rahmen eines Crackversuchs auch auf die Reihenfolge der Zeichen an?
tAff8641_~
t8A6f4f1_~

Da wage ich mal Elderan zu widersprechen und sage: Ja!
Wenn der Angreifer das Passwort herausfinden möchte und weiß, dass du aus Deutschland bist, wird er vermutlich zuerst mit den Buchstaben des deutschen Alphabets anfangen, mit denen Wörter am öftesten beginnen. Ein schlaues Programm wählt nicht Ö als den ersten Buchstaben zum Testen.
Daher ist es schlau, für das Zeichen ein Zeichen zu wählen, welches selten und auch am besten weiter hinten im Alphabet vorkommt. Ein Sonderzeichen ist natürlich noch besser.

3. Reicht es aus, nur ein Sonderzeichen und eine Zahl im Paßwort zu verwenden? (Die crackende Software weiß schließlich nicht, an welchen Stellen diese Zeichen sich befinden und muss für jede Stelle alle Möglichkeiten durchprobieren.)

Im Prinzip ja. Es kommt aber drauf an. Wenn der Angreifer von einem Durchschnittsuser ausgeht, wird er vielleicht vermuten, dass (sobald er alle Lösungen ohne Sonderzeichen und Zahlen durchprobiert hat) ein oder zwei Sonderzeichen mit im Passwort sind. Die meisten User benutzen nur 1-2 Zahlen und mal ein Sonderzeichen. D.h. je mehr Sonderzeichen desto besser, aber der Sicherheitsgewinn zwischen 0 und einem Sonderzeichen ist sehr groß.

 

[Woodchopper]

Ein Passwort wie:
ApfelBallSchuhe9V%ms

müsste doch auch ziemlich sicher sein? Bei Bruteforce auf jeden Fall.

Gehen wir von einer Wörterbuchatacke aus. Weiterhin sei bekannt:
Das Passwort besteht aus drei unbekannten deutschen Wörtern aus dem Duden und einer fünfstelligen Zeichenkette aus einem Zufallsgenerator (Mit Groß/Klein-schreibung, Zahl und Sonderzeichen).

So müsste zu jeder einzelnen Permutation der Wörter ein kompletter Bruteforce auf 5 Zeichen gemacht werden.
Auch wenn dieser Check ( http://passwortcheck.pc-feuerwehr.de/checkpw.php )die Sicherheit nicht bestätigt, so sollte man meiner Meinung nach dieser Punkte-Bewertung in diesem Fall nicht so glauben...
---
ApfelBallSchuhe9Vfms

Zeichenvorrat: 62 [Berechnung OHNE sonderzeichen (weis nie so genau, wieviele man nehmen sollte...)]
200 Millionen Keys/second
---> ca. 4,58066 Sekunden pro Permutation/Wörteranordung.

Duden: 120 000 Wörter (Vermutlich - Quelle aus irgendwoher aus Web gegriffen!)

(120000^3)*4,58066*(1/3600)*(1/24)*(1/365)=ca. 250*10^6 Jahre

Andererseits werden wahrscheinliche Kombinationen wohl zuerst genommen...