Informatik Wettbewerb: Falsche Lösung!

[detrexer]

Hallo Habo!

ich hab mit meiner Klasse im Info-unterricht bei einem Informatik Wettbewerb mitgemacht.
Dort wurde uns die Frage in dem Zitat gestellt.



Sicheres Passwort

Du richtest dir eine neue E-Mail-Adresse im Internet ein. Damit kein anderer darauf
zugreifen kann, brauchst du ein sicheres Passwort. Je schwieriger ein Passwort zu erraten
ist, desto sicherer ist es.

Welches der folgenden Passwörter ist am wenigsten sicher?

A) 9 zufällig gewählte Großbuchstaben

B) Dein Nachname, gefolgt von Deinem Geburtsjahr

C) 5 zufällig gewählte Zeichen, also Ziffern, kleine und große Buchstaben

D) 20 zufällig gewählte Ziffern

Lösung: B) Dein Nachname, gefolgt von Deinem Geburtsjahr

quelle
http://www.informatik-biber.de/assets/files/Startseite/Aufgaben2007_gesamt.pdf

Als Lösung wurde B angegeben. Ich bin aber der meinung das dies Definitiv nicht die richtige Antwort ist.

Ich ging bei dem Wort "raten" instinktiv von Brut-Force aus (in diesem beispiel mit dem Kombinationsbereich A-Z; a-z; 1-9).
Wenn man zum Beispiel Randolf heißt und in den 80er geboren ist kommt sowas wie "Randolf1985" raus.
11 Zeichen Groß/kleinschreibung und ziffer.
Das halte ich zwar nicht für perfekt aber für sicherer als C) und B) alle mal.

Mein Informatik lehrer hat dann begründet das ich den Namen und Geburtsjahr per schuelerVz etc. finden könnte, deswegen sei
es am unsichersten. Das ist dann aber meiner Meinung nach A) nen social engeneering angriff und hat B) wenig mit Raten zu tun
falls man so vorgeht.

Was Meint ihr dazu? Welche Lösung ist richtig?

 

[justj]

Naja, Raten ist denke ich relativ, zumindest in diesem Fall. Ich hätte auch Lösung B angegeben, da ich Brute Force als letzte Möglichkeit benutzen würde um ein Passwort zu knacken.

D.h. ein Social Engeneering Angriff zählt für mich in diesem Fall zum Raten dazu.

MfG

 

[jorey]

so aufgaben sind richtig uebel, weil se immer anders ausgelegt werden koennen.

geht man davon aus, dass der angreifer es geziehlt auf dich absieht und nicht auf random account, so ist die antwort richtig. legt er es einfach drauf an moeglichst viele accounts zu bekommen kann das ganz unterschiedlich sein.
imho sollte man es sich als wettbewerbsleiter nicht so einfach machen so ne frage zu stellen, mit diesen antwortmeoglichkeiten. dafuer muessten viel mehr hintergrundinformationen angegeben werden.

 

[/etc/shadow]

Ich glaube in diesem Fall, als "normaler Mensch", will man kein zufälliges Password knacken, sondern eins von einem bekannten/freund/schulkamarad.

In diesem Fall ist die Loesung B) die richtige.

 

[Elderan]

Hallo,

Original von justj
Ich hätte auch Lösung B angegeben,[

dito.

Selbst bei BruteForce macht man da ein Denkfehler

Wenn man zum Beispiel Randolf heißt und in den 80er geboren ist kommt sowas wie "Randolf1985" raus.
11 Zeichen Groß/kleinschreibung und ziffer.

Dies ist nicht richtig.

A) 10^12 Mögl.
C) 10^10 Mögl.
D) 10^20 Mögl.

So nun zu B.
Dass jmd. der eine E-Mail Addy hat auch in 19xx ist klar.
Daraus kann ich 'Randolf1985' auf 'Randolf85' kürzen.

So, nun kann man das Jahr einschränken, jmd. der 99 oder 01 geboren ist, ist unwahrscheinlich (zu Jung oder zu alt).
Also grenze ich mal das Alter von 10 auf 60 Jahre, also noch 50 Komb. (Geb. Jahre) pro Nachname zu testen.

So, nun teste ich die Nachnamen, soviele gibts auch nicht in Deutschland. Mit sagen wir mal 1000 Nachnamen decke ich schon große Bereiche der Bev. ab.
Macht also 50 000 Komb. die ich testen muss, um sehr wahrscheinlich ins Konto zu kommen.
Da der Name 'Müller' deutlich wahrscheinlicher ist als Nachname als z.B. Ferguson, fange ich mit dem wahrscheinlichsten an (Müller, Meier, Meyer...)

Also bei der Komb. wäre es relativ leicht, per Brute Force reinzukommen.
Bei den anderen, A,C,D würde solch ein Brute Force Angriff einfach zu lange dauern.

Davon abgesehen, man kommt sehr leicht an den Nachnamen und oft auch an das Geb. Jahr, ansonsten wenn man eins von beiden hat ist das andere leicht zu erraten.
Auch oft gern gesehen, ist die Angabe des Nachnames in der Email Adresse.


Also für mich ist eindeutig Variante B die unsicherste. Anfällig für Social Engineering, Wörterbuchattacken etc.
Und dass unter Raten nicht unbedingt brute force zu verstehen, ist für mich auch klar. Wenn ich versuche dein Passwort zu knacken, rate ich auch zuerst manuell per Hand die gängigen PWs wie 1234, detrexer, detrexer89, detrexer1989 usw.
Social Engineering sollte man beim PW knacken nicht vernachlässigen, denn viele wählen eben genau so ihr PW.

 

[IsNull]

Das ist so ein typisches Beispiel, wenn ein Schüler über ein Thema etwas mehr weis, und die standard Antwort, die man im Unterricht eingetrichtert bekam anzweifelt - Ich hätte da einfach das hingeschrieben was ich dazu denke;

Dass man durch den Menschlichen Itellekt/ Erfahrung am ehesten auf das PW b) tippen würde, aber ein Bruteforceangriff eindeutig bei reinen Ziffern am schnellsten ziehen würde... Dann hätte er dir wahrscheinlich die volle Punktzahl gegeben.

Wenn du aber nur im stillen Kämmerlein überlegungen machst, ist es im nachhinein immer schwierig noch was damit rauszuholen... Und hier (wie fast immer) sitzt der Lehrer am längeren Hebel und er hat die Entscheidungsgewalt...

 

[acdc]

Bei einer Prüfung zum Europäischen Computerführerschein wurde mir mal diese Frage gestellt:

Was kann in keinem Windowsfenster sein? (so aehnlich)

• Menüleiste
• Taskleiste
• Desktop
• Eingabeaufforderung

Im Prinzip duerfte man nichts auswaehlen, da man jedes dieser Elemente in einem Programm unterbringen koennte, doch davon darf man nicht ausgehen.
Man muss das angeben, was normalerweise in keinem Windowsprogramm sein kann. Bei derart Fragen, sollte man nicht so kompliziert denken.
(Deswegen habe ich mir schon etliche Punkte verspielt)

 

[Elderan]

Hallo,

Original von IsNull
Das ist so ein typisches Beispiel, wenn ein Schüler über ein Thema etwas mehr weis, und die standard Antwort, die man im Unterricht eingetrichtert bekam anzweifelt - Ich hätte da einfach das hingeschrieben was ich dazu denke;

Dass man durch den Menschlichen Itellekt/ Erfahrung am ehesten auf das PW b) tippen würde, aber ein Bruteforceangriff eindeutig bei reinen Ziffern am schnellsten ziehen würde... Dann hätte er dir wahrscheinlich die volle Punktzahl gegeben.

Wenn du aber nur im stillen Kämmerlein überlegungen machst, ist es im nachhinein immer schwierig noch was damit rauszuholen... Und hier (wie fast immer) sitzt der Lehrer am längeren Hebel und er hat die Entscheidungsgewalt...

In der Aufgabe stand ja __nicht__, dass das Passwort mittels Brute Force erraten werden soll, sondern einfach 'erraten', was nicht den Einsatz von Brute Force + alle möglichen Komb. impliziert.
Wer 23 gesehen hat, wird merken, dass die Jungs dort auch das Passwort raten um in den Rechner zu gelangen, allerdings nicht indem sie alle Komb. austesten, sondern dort nur die häufigsten (und sich freuen das die ein Prog. geschrieben was die 500 häufigsten austestet).

Selbst wenn man von mehr oder weniger Brute Force ausgeht, geht man i.d.R. auch davon aus, dass der Angreifer den Wertebereich kennt, ansonsten wären 20 zufällige Ziffern genauso sicher wie ein PW was aus 20 Groß/Kleinbuchstaben, Ziffern + Sonderzeichen besteht. Denn wenn der Angreifer die Info nicht hat, muss er bei beiden Varianten die gleiche Anzahl an Eingabezeichen durchlaufen.

Hierraus kann man schließen, dass er auch bei Variante B in etwa den Aufgbau des PWs kennt, womit wir dann wieder bei den ~50k Komb. wären.

 

[_fux_]

Bei einer Prüfung zum Europäischen Computerführerschein wurde mir mal diese Frage gestellt:

Was kann in keinem Windowsfenster sein? (so aehnlich)
Menüleiste
Taskleiste
Desktop
Eingabeaufforderung

also "Eingabeaufforderung" kann man schon anklicken.... aber naja dummheit ist oberste priorität bei lehrern, ich hab noch nie ne sinnvolle frage von einem lehrer bzgl. IT gehört.


bin ja ned so der IT - Gott, aber ich denke schon fortgeschritten, ich hatte in DV (Datenverarbeitung) immer ne 1, ohne was dafür zu tun.

letztendes hatte ich mir es bei ihm verschissen, weil er 20 min. lang über VBA gelabert hatte (was total unnötig war), ich hab die aufgabe direkt verstanden und nach 1 min gelöst... danach hab ich jedem schüler geholfen und hatte die aufgabe auf verständlich erklärt, so das die anderen auch was verstanden hatte

der typ war eh der nub.... son hobby-informatiker, der ned weiter gekommen ist als das was in büchern zu steht auswendig zu wissen. (nix gegen bücher, ich les ja auch selber welcher, aber ich üb die praxis bei weitem mehr aus und lern lieber aus fehlern *g*)


...aber lang ist's her jez bin ich ja IT student und habe echt mal das gefühl auf dem richtigen weg und das richtige niveu zu haben ^^

 

[beavisbee]

also ich find auch B) am unsichersten!

Der Faktor SocialEngineering ist beim Passwort-raten wirklich die schnellste Lösung.

Wenn ich Kundenrechner bei mir hab, mach ich mir immer irgendwo Zettel zwecks Name/Telefon-Nr. des Kunden und Windows-Passwort...

in fast allen Fällen besteht das Passwort aus Name eines Familienmitglieds (eigener Nachname, Vorname von Frau/Freundin oder den Kindern, etc.) oder Name vom Haustier und evtl. noch Geburtsdatum, Geburtsjahr, leicht zu ratende Zahlenfolge oder ähnliches.

In wirklich wenigen Fällen ist's ein Passwort aus wilder Zahlen+Buchstaben_GroßKlein-Kombination