Umfrage: Deutschland ist im Passwort-Stress

Anzeige

Bei einigen Anbietern ist das aber oft nicht möglich, dort werden Sonderzeichen grundsätzlich verlangt.
Mir ist es egal ich lasse die Passwörter eh automatisch erzeugen. In Berührung komme ich mit den ja nicht, daher spielt es keine Rolle wie kompliziert sie sind. Ich muss sie ja zum Glück nicht auswendig lernen, da ginge bei über 50 Passwörtern auch nicht.

 

Inwiefern ist ein Passwort mit Sonderzeichen sicherer? Wenn jemand eh alle Kombinationen durchprobiert, dann kann es sein, daß "Äpfel" vor "Birne" dran kommt - somit wäre "Birne" in dem Fall sicherer.

 

Ich schätze es geht um diese Brute-Force Attacken. Ich hatte mal ein Tool welches Passworte von Zip Dateien knacken konnte, einfach durch ausprobieren aller möglichen Kombinationen. Ein Passwort aus Kleinbuchstaben bis 5 Zeichen war eine Sache von Minuten, mit Groß und Kleinsschreibung wurden das schon Stunden, und mit Sonderzeichen schnell ein Tag. Und wenn du jetzt die Anzahl der Zeichen erhöhst, steigt das noch einmal exponentiell. Der "Schutz" ergibt sich dann schlicht aus der Zeit die das knacken über die Brute-Force Methode benötigt. Dafür kannst du die Anzahl der Zeichen oder die Anzahl der Buchstaben erhöhen, hat beides den gleichen Effekt.

 

Aber nur, wenn diese erst alle Kombinationen mit Kleinbuchstaben durchgehen. Wenn diese einfach alle ASCII-Zeichen von 1 bis 255 der Reihe nach durchprobieren, dann wäre eine Passwort mit durchgehend 255 am sichersten. Es hängt halt immer davon ab, wie die Programme vorgehen.

 

Mit Sonderzeichen sind wohl eher % oder ¤ oder so was gemeint.
Klar, bei Äpfel und Birne ist die Wahrscheinlichkeit aufgrund derselben Buchstabenanzahl ähnlich hoch, daß es sicher ist ... oder eben geknackt wird.
Ist eh alles eine Sache der Wahrscheinlichkeit und somit reine Mutmaßung, egal wie das PW aussieht und wie vermeintlich sicher es auch sei.
Durch einen sehr großen Zufall könnte auch ein sehr kompliziertes PW mit sehr vielen Sonderzeichen (welches überall als super-sicher eingestuft wird) auf Anhieb geknackt werden - und die 'Sicherheit' wäre sofort dahin.
Die Wahrscheinlichkeit dafür ist allerdings ziemlich gering.

 

Eigentlich ist es fast egal, wenn jemand knacken will, dann macht er das so oder so...

 

Nicht ganz, es ist eine Frage der Zeit. Schau mal hier: klick
Ein Passwort aus 8 Zeichen mit nur Kleinbuchstaben hast du in 97 Sekunden geknackt, mit Groß und Kleinbuchstaben sind es schon knapp 7 Stunden, Zahlen noch dazu 28 Stunden.
Mit 10 Zeichen, Groß und Kleinschreibung und Zahlen, bist du dann schon bei 12 Jahren.

Zumindest was die Brute-Force Methode angeht.

 

Brute-Force Methoden sind aber eigentlich nur auf Sachen wie z.B. ZIP-Dateien anwendbar.

Bei Onlinediensten würde ich davon ausgehen, das diese die Zahl der Versuche limitieren und je nach Zahl der Falscheingaben immer höhere Sperren setzen, z.B.

- ab 5 Falscheingaben 10 Minuten Sperre + Captcha-Zwang
- ab 5 weiteren, also 10 Falscheingaben dann 30 Minuten Sperre + Captcha-Zwang
- ab der 11. Falscheingabe pro Falscheingabe 30 Minuten Sperre + Captcha-Zwang
- ab der 20. Falscheingabe Login-Sperre und Unlock nur noch durch Support

Mit Brute-Force Methoden dürfte da ein Angreifer nicht weit kommen.

 

Diese Denkweise hat aber einen grundlegenden Fehler: Dabei geht man nämlich davon aus, daß ein Passwort nur aus den betreffenden Zeichen bestehen kann. Da dieses aber üblicherweise nicht der Fall ist und der Hacker auch nicht weiß, daß das Passwort nur aus Kleinbuchstaben besteht, kann er genauso gut mit den Großbuchstaben oder jedem anderen Algorithmus anfangen, das Passwort zu knacken - und damit ist die zugrundeliegende Annahme hinfällig.

 

Wer weiß? Dann wird halt eine lokale Kopie angelegt und möglichst viele Daten nachgeladen.
Der Angriff würde dann erst einmal auf die Kopie stattfinden.
Zu verhindern wäre das nur, wenn das Passwort nach der Verwendung seine Gültigkeit verliert und fürs nächste Mal ein neues benötigt wird.