Ich stelle den allgemein verbreiteten Rat in Frage, keine Wörter aus dem Wörterbuch in einem Satz für Passwörter zu verwenden. Zum Beispiel die Verwendung von „Mein Name ist Sue!“ als Passwort. Auf den Websites, die ich hoste und verwalte, kommen Sie nicht rein, wenn Sie nicht genau diese Zeichenfolge eingeben. Ich habe mir die Wörterbücher angesehen, die von einigen Cracking-Programmen verwendet werden, und sie sind erstaunliche Wortsammlungen. Ich habe es schnell aufgegeben, in jeder geschriebenen Sprache ein Wort zu finden, das nicht darin vorkommt. Ein niederländisches Schimpfwort ergibt also ein lausiges Passwort. Aber es waren keine Phrasen darin, und selbst wenn es welche gab, würde die schiere Anzahl möglicher Phrasen und deren Permutationen es nicht einfach in eine andere Form eines Brute-Force-Angriffs verwandeln?
Warum also der Rat, in einem Satz für eine Passphrase keine Wörterbuchwörter zu verwenden?
(Seifenkiste) Ich denke, die IT hat den Benutzern einen schlechten Dienst erwiesen, indem sie immer komplexere und unmöglich zu merkende Passwörter verlangt hat, anstatt ihnen zu raten, eine Passphrase zu verwenden. Ich suche nach einer begründeten Antwort, warum ich falsch denke und auf den üblichen Rat zurückgreifen sollte. (/Seifenkiste)
Antwort1
Sie vergleichen Passwörter mitPassphrasenPassphrasengelten allgemein als überlegen, solange man keine umgangssprachlichen Ausdrücke verwendet.
Antwort2
Wie „Ernie“ bereits sagte, vergleichen Sie Passwörter mit Passphrasen. Der Rat, keine Wörter aus dem Wörterbuch zu verwenden, ist gut. Aber die Verwendung von Passphrasen als Kombination von Wörtern aus dem Wörterbuch ist nur „einen Schritt“ weniger gefährlich, ebenso wie andere Tricks, mit denen versucht wird, ein einprägsames Passwort/eine einprägsame Phrase zu erstellen.
Wenn ein Angreifer heutzutage die verschlüsselte Version Ihres Passworts (Ihrer Phrase) hat, wird er nicht einfach einen gewöhnlichen Wörterbuchangriff durchführen. Die Hacker kennen alleTricks(leetspeak, Aneinanderreihen von Wörtern, Addieren von Zahlen usw.).
Weitere Informationen inSecurity Now, Folge 366 „Update zum Passwortknacken: Das Ende von ‚Clever‘“(oder lesen Sie seineTranskript).
Ich schlage vor, Sie verwenden einen guten Passwortgenerator wieLastPass(auch ausführlich besprochen in Security Now Episode 256), um zufällige Passwörter für Sie zu generieren. Menschen sind schlecht im Zufallsprinzip (entwederes erzeugenoderes erkennen)
Wenn Sie wirklich einprägsame Passwörter wollen, sollten Sie vielleicht dasPasswort-Heuhaufen-Technikals Alternative zu schwer zu merkenden Zufallskombinationen. Hier hängen Sie eine sich wiederholende Zeichenfolge (123 123 123) an eine kurze Zeichenfolge mit maximaler Entropie (D0g!) an.
Egal welche Methode Sie wählen,Machen Sie Ihre Passwörter mindestens 12 Zeichen lang. Alle8-stellige Passwörter können jetzt in 13 Stunden geknackt werdenauf einer Selbstbaumaschine, die 12.000 US-Dollar kostet (hauptsächlich für die GPUs)
Antwort3
Wie schwierig es ist, ein Passwort mit Brute Force zu knacken, hängt von mindestens zwei Variablen ab:
- Passwortlänge.
- Erlaubte Passwortzeichen.
Das erste ist offensichtlich. Wenn ich mich nur auf Buchstaben beschränke (26 Kleinbuchstaben + 26 Großbuchstaben), dann
- Ein aus einem Buchstaben bestehendes Passwort kann in höchstens 52 Versuchen erraten werden.
- Ein zweistelliges Passwort kann in höchstens 2704 Versuchen (52×52) erraten werden
- Ein dreistelliges Passwort kann in höchstens 140608 Versuchen erraten werden (52×52×52)
Wie Sie sehen, steigt die Anzahl der möglichen Kombinationen rapide an. Je länger das Passwort ist, desto schwieriger ist es daher, es mit Brute Force zu knacken.Die IT sollte lange Passwörter fördern.
Viele alte Anwendungen akzeptieren jedoch nur Passwörter mit einer Länge von bis zu 8 Zeichen. Das ist einfach zu kurz für eine gute Sicherheit. Wenn Sie auf eine solche 8-Zeichen-Begrenzung beschränkt sind oder wissen, dass Ihre Benutzer keine langen Passwörter verwenden, gibt es eine andere Möglichkeit, Passwörter schwerer zu knacken: Machen Sie das Passwort zu einem Passwort mit mehr Eingaben als nur Buchstaben. Fügen Sie Ziffern hinzu. Fügen Sie hinzuseltsame Dinge auf der Tastatur.
Dies ist keine gute Lösung. Es ist ein Workaround, um den durchschnittlichen Benutzer oder alte Systeme zu entschädigen. Ein Passwort wieBatteriePferdGrundnahrungsmittel(Länge 18) ist viel schwieriger zu knacken als die meisten kurzen, aber komplexen Passwörter. Die meisten Leute werden jedoch zu faul sein, das einzutippen.
Möglicherweise fällt Ihnen auf, dass ich immer wieder den BegriffEin Passwort mit Brute-Force-Technik erzwingenund nichtein Passwort knacken. Der Grund hierfür ist, dass es andere Möglichkeiten gibt, die Passwörter einer Person herauszufinden. Sie können sie beispielsweise einfach erraten.
Wörterbücher sind nichts anderes als große Listen mit Wörtern, die es zu erraten gilt, und Programme zum Knacken von Passwörtern sind intelligent genug, um Variationen von Wörtern in Wörterbüchern auszuprobieren.
Dies macht die Wörter in einem solchen Wörterbuch weder für Passwörter noch für die Verwendung in Passphrasen geeignet.