Wörterbuchangriff auf Passwörter

Question 1

Sie vergleichen Passwörter mitPassphrasenPassphrasengelten allgemein als überlegen, solange man keine umgangssprachlichen Ausdrücke verwendet.

Answer

Sie vergleichen Passwörter mitPassphrasenPassphrasengelten allgemein als überlegen, solange man keine umgangssprachlichen Ausdrücke verwendet.

Question 2

Wie „Ernie“ bereits sagte, vergleichen Sie Passwörter mit Passphrasen. Der Rat, keine Wörter aus dem Wörterbuch zu verwenden, ist gut. Aber die Verwendung von Passphrasen als Kombination von Wörtern aus dem Wörterbuch ist nur „einen Schritt“ weniger gefährlich, ebenso wie andere Tricks, mit denen versucht wird, ein einprägsames Passwort/eine einprägsame Phrase zu erstellen.

Wenn ein Angreifer heutzutage die verschlüsselte Version Ihres Passworts (Ihrer Phrase) hat, wird er nicht einfach einen gewöhnlichen Wörterbuchangriff durchführen. Die Hacker kennen alleTricks(leetspeak, Aneinanderreihen von Wörtern, Addieren von Zahlen usw.).

Weitere Informationen inSecurity Now, Folge 366 „Update zum Passwortknacken: Das Ende von ‚Clever‘“(oder lesen Sie seineTranskript).

Ich schlage vor, Sie verwenden einen guten Passwortgenerator wieLastPass(auch ausführlich besprochen in Security Now Episode 256), um zufällige Passwörter für Sie zu generieren. Menschen sind schlecht im Zufallsprinzip (entwederes erzeugenoderes erkennen)

Wenn Sie wirklich einprägsame Passwörter wollen, sollten Sie vielleicht dasPasswort-Heuhaufen-Technikals Alternative zu schwer zu merkenden Zufallskombinationen. Hier hängen Sie eine sich wiederholende Zeichenfolge (123 123 123) an eine kurze Zeichenfolge mit maximaler Entropie (D0g!) an.

Egal welche Methode Sie wählen,Machen Sie Ihre Passwörter mindestens 12 Zeichen lang. Alle8-stellige Passwörter können jetzt in 13 Stunden geknackt werdenauf einer Selbstbaumaschine, die 12.000 US-Dollar kostet (hauptsächlich für die GPUs)

Answer

Wie „Ernie“ bereits sagte, vergleichen Sie Passwörter mit Passphrasen. Der Rat, keine Wörter aus dem Wörterbuch zu verwenden, ist gut. Aber die Verwendung von Passphrasen als Kombination von Wörtern aus dem Wörterbuch ist nur „einen Schritt“ weniger gefährlich, ebenso wie andere Tricks, mit denen versucht wird, ein einprägsames Passwort/eine einprägsame Phrase zu erstellen.

Wenn ein Angreifer heutzutage die verschlüsselte Version Ihres Passworts (Ihrer Phrase) hat, wird er nicht einfach einen gewöhnlichen Wörterbuchangriff durchführen. Die Hacker kennen alleTricks(leetspeak, Aneinanderreihen von Wörtern, Addieren von Zahlen usw.).

Weitere Informationen inSecurity Now, Folge 366 „Update zum Passwortknacken: Das Ende von ‚Clever‘“(oder lesen Sie seineTranskript).

Ich schlage vor, Sie verwenden einen guten Passwortgenerator wieLastPass(auch ausführlich besprochen in Security Now Episode 256), um zufällige Passwörter für Sie zu generieren. Menschen sind schlecht im Zufallsprinzip (entwederes erzeugenoderes erkennen)

Wenn Sie wirklich einprägsame Passwörter wollen, sollten Sie vielleicht dasPasswort-Heuhaufen-Technikals Alternative zu schwer zu merkenden Zufallskombinationen. Hier hängen Sie eine sich wiederholende Zeichenfolge (123 123 123) an eine kurze Zeichenfolge mit maximaler Entropie (D0g!) an.

Egal welche Methode Sie wählen,Machen Sie Ihre Passwörter mindestens 12 Zeichen lang. Alle8-stellige Passwörter können jetzt in 13 Stunden geknackt werdenauf einer Selbstbaumaschine, die 12.000 US-Dollar kostet (hauptsächlich für die GPUs)

Question 3

Wie schwierig es ist, ein Passwort mit Brute Force zu knacken, hängt von mindestens zwei Variablen ab:

Passwortlänge.
Erlaubte Passwortzeichen.

Das erste ist offensichtlich. Wenn ich mich nur auf Buchstaben beschränke (26 Kleinbuchstaben + 26 Großbuchstaben), dann

Ein aus einem Buchstaben bestehendes Passwort kann in höchstens 52 Versuchen erraten werden.
Ein zweistelliges Passwort kann in höchstens 2704 Versuchen (52×52) erraten werden
Ein dreistelliges Passwort kann in höchstens 140608 Versuchen erraten werden (52×52×52)

Wie Sie sehen, steigt die Anzahl der möglichen Kombinationen rapide an. Je länger das Passwort ist, desto schwieriger ist es daher, es mit Brute Force zu knacken.Die IT sollte lange Passwörter fördern.

Viele alte Anwendungen akzeptieren jedoch nur Passwörter mit einer Länge von bis zu 8 Zeichen. Das ist einfach zu kurz für eine gute Sicherheit. Wenn Sie auf eine solche 8-Zeichen-Begrenzung beschränkt sind oder wissen, dass Ihre Benutzer keine langen Passwörter verwenden, gibt es eine andere Möglichkeit, Passwörter schwerer zu knacken: Machen Sie das Passwort zu einem Passwort mit mehr Eingaben als nur Buchstaben. Fügen Sie Ziffern hinzu. Fügen Sie hinzuseltsame Dinge auf der Tastatur.

Dies ist keine gute Lösung. Es ist ein Workaround, um den durchschnittlichen Benutzer oder alte Systeme zu entschädigen. Ein Passwort wieBatteriePferdGrundnahrungsmittel(Länge 18) ist viel schwieriger zu knacken als die meisten kurzen, aber komplexen Passwörter. Die meisten Leute werden jedoch zu faul sein, das einzutippen.

Möglicherweise fällt Ihnen auf, dass ich immer wieder den BegriffEin Passwort mit Brute-Force-Technik erzwingenund nichtein Passwort knacken. Der Grund hierfür ist, dass es andere Möglichkeiten gibt, die Passwörter einer Person herauszufinden. Sie können sie beispielsweise einfach erraten.

Wörterbücher sind nichts anderes als große Listen mit Wörtern, die es zu erraten gilt, und Programme zum Knacken von Passwörtern sind intelligent genug, um Variationen von Wörtern in Wörterbüchern auszuprobieren.

Dies macht die Wörter in einem solchen Wörterbuch weder für Passwörter noch für die Verwendung in Passphrasen geeignet.

Answer

Wie schwierig es ist, ein Passwort mit Brute Force zu knacken, hängt von mindestens zwei Variablen ab:

Passwortlänge.
Erlaubte Passwortzeichen.

Das erste ist offensichtlich. Wenn ich mich nur auf Buchstaben beschränke (26 Kleinbuchstaben + 26 Großbuchstaben), dann

Ein aus einem Buchstaben bestehendes Passwort kann in höchstens 52 Versuchen erraten werden.
Ein zweistelliges Passwort kann in höchstens 2704 Versuchen (52×52) erraten werden
Ein dreistelliges Passwort kann in höchstens 140608 Versuchen erraten werden (52×52×52)

Wie Sie sehen, steigt die Anzahl der möglichen Kombinationen rapide an. Je länger das Passwort ist, desto schwieriger ist es daher, es mit Brute Force zu knacken.Die IT sollte lange Passwörter fördern.

Viele alte Anwendungen akzeptieren jedoch nur Passwörter mit einer Länge von bis zu 8 Zeichen. Das ist einfach zu kurz für eine gute Sicherheit. Wenn Sie auf eine solche 8-Zeichen-Begrenzung beschränkt sind oder wissen, dass Ihre Benutzer keine langen Passwörter verwenden, gibt es eine andere Möglichkeit, Passwörter schwerer zu knacken: Machen Sie das Passwort zu einem Passwort mit mehr Eingaben als nur Buchstaben. Fügen Sie Ziffern hinzu. Fügen Sie hinzuseltsame Dinge auf der Tastatur.

Dies ist keine gute Lösung. Es ist ein Workaround, um den durchschnittlichen Benutzer oder alte Systeme zu entschädigen. Ein Passwort wieBatteriePferdGrundnahrungsmittel(Länge 18) ist viel schwieriger zu knacken als die meisten kurzen, aber komplexen Passwörter. Die meisten Leute werden jedoch zu faul sein, das einzutippen.

Möglicherweise fällt Ihnen auf, dass ich immer wieder den BegriffEin Passwort mit Brute-Force-Technik erzwingenund nichtein Passwort knacken. Der Grund hierfür ist, dass es andere Möglichkeiten gibt, die Passwörter einer Person herauszufinden. Sie können sie beispielsweise einfach erraten.

Wörterbücher sind nichts anderes als große Listen mit Wörtern, die es zu erraten gilt, und Programme zum Knacken von Passwörtern sind intelligent genug, um Variationen von Wörtern in Wörterbüchern auszuprobieren.

Dies macht die Wörter in einem solchen Wörterbuch weder für Passwörter noch für die Verwendung in Passphrasen geeignet.

Wörterbuchangriff auf Passwörter

Antwort1

Antwort2

Antwort3

verwandte Informationen