Forum: Offtopic Password testen


von Sven (Gast)


Lesenswert?

Ein Bekannter hat mir einen Link auf eine Seite geschickt, mit der man 
Passwörter auf Sicherheit testen kann.

Bin auf die Seite gegengen und habe mal "Knurrwurst" eingegeben.
Das Ergebnis war "schwach". Sehe ich aber nicht ein, "Knurrwurst" findet 
man (bis jetzt!) in keinem Lexikon. Was soll an z.B. "üK8oV$Mµ-t" denn 
besser sein? Ich denke mal, diese Seite dient nur dazu, die Passwörter & 
IP der Leute abzugreifen. Ich denke mal es gibt ganz schön Trafic (10 
hoch 26) um auch nur ein Password mit 10 Buchstaben zu raten. Das 
password ist ja noch lange nicht die Verschlüsselung sondern dient nur 
der Authentifizierung.

von Franz (Gast)


Lesenswert?

Knurrwurst ist baer aus Wörtern, die im Wörterbuch stehen 
zusammengesetzt.

von Zerg (Gast)


Lesenswert?

> Was soll an z.B. "üK8oV$Mµ-t" denn
> besser sein?

Mit ein bischen Überlegung findest du das selber raus :)

von Rik Langobar (Gast)


Lesenswert?

Große und kleine Buchstaben, Zahlen, Umlaute, Sonderzeichen

von Sven P. (Gast)


Lesenswert?

Die meisten Sumpfhühner wollen Passwörter, die man leicht behalten kann. 
Dazu bieten sich Mnemoniken an, also Buchstabenkombinationen, die sich 
aussprechen lassen. Da kommt man dann auch recht schnell zu dem Schluss, 
dass Sonderzeichen da nicht gut reinpassen. Würde also dann ein Alphabet 
von um die 60 Buchstaben ergeben.

Nehme ich mal Zahlen und Sonderzeichen, Akzente und Interpunktion zu, 
verdoppelt sich das ganz schnell, der Rechen- bzw. 'Versuchsaufwand' zum 
Knacken wächst exponentiell.

von Ich (Gast)


Lesenswert?

Am einfachsten zu Merken finde ich immernoch irgend einen Satz mit ein 
paar Zahlen oder Buchstaben zwischendrin.
Die zusammenkombinierten Wörter ergeben genug Länge und sind 
gleichzeitig einfach zu merken und die wenigen eingefügten Buchstaben 
machen das Passwort sicher gegen Wörterbuchangriffe.

von Gast (Gast)


Lesenswert?

Oder nur die Anfangsbuchstaben eines Satzes nehmen, Beispiel:

Es gibt kein Bier auf Hawaii

wird zu

Eg0BaH

von aha (Gast)


Lesenswert?

>> Was soll an z.B. "üK8oV$Mµ-t" denn
>> besser sein?
>>
>Mit ein bischen Überlegung findest du das selber raus :)

Tatsaechlich ?
Fuer einen Generator, der alle Permutationen von allen erlaubten Zeichen 
probiert ist die Wahrscheinlichkeit etwa gleich...

von Иван S. (ivan)


Lesenswert?

Mach eine Chi-Square und gut ists. Oder Professor Zolt Paps (Musiklabor, 
HTL Chemie in Wels, Wischiwaschi aber guter Lehrerguten Q-Test 
(invertiert!).

von blubb (Gast)


Lesenswert?

es ist doch viel besser, ein langes, leicht merkbares passwort mit 
wenigen, aussprechbaren zeichen zu benutzen, wie z.b. ein vollständiger 
satz "ichbinjasowahnsinnigschlau" als ein kurzes passwort aus allen 
zeichen inkl. sonderzeichen. dank seiner länge, ist das erstere sicherer 
und trotzdem leichter zu merken... lediglich der tippaufwand steigt.

von Gast (Gast)


Lesenswert?

> Mit ein bischen Überlegung findest du das selber raus

Das bezweifle ich bei der Zielgruppe diese Forums. Dass Passwortknacker 
auch vorhandene Wörter aus einer Wörterbuchdatei automatisch kombinieren 
können, haben viele Leute hier vermutlich noch nie gehört. Auch eine 
einstellige Zahl vor oder hinter ein Wort bietet keinen wirklichen 
Schutz, da diese Methode zu bekannt ist.

von Troll (Gast)


Lesenswert?

Ach was! Ein Buchstabe als PW reicht locker. Gibt doch heute überall 
nach 3 Versuchen Loginsperren.

Also als PW das "D" nehmen und nie mehr Angst um die Sicherheit haben.
Versuch 1: A
Versuch 2: B
Versuch 3: C
Versuch 4: D -> Loginsperre! Kann kein PW Knacker jemals rausfinden da 
seine IP gesperrt wurde.

:-D

von Knochen K. (Firma: Riesenhoster in EU) (knochenkotzer)


Lesenswert?

Ähhh, nein.
Keine Ahnung wo es diese Loginsperren dauerhaft geben soll?
Und was juckt es den Hacker wenn seine (sowieso nur temorär) vergebene 
IP gesperrt ist???

von Troll (Gast)


Lesenswert?

>          :-D
So versteckt war das eigentlich nicht. Aber ok. Das nächste mal verwende 
ich <ironie> Tags.

von Knochen K. (Firma: Riesenhoster in EU) (knochenkotzer)


Lesenswert?

Naja, ich war schon auf der Schwelle das auch anzunehmen.
Hätt ich mir deinen Nick vorher mal angesehen wäre ich wohl auch zu 
dieser Ansicht gekippt.

von passwort (Gast)


Lesenswert?

Also ich verwende meist mathematische Sachen als Passwort, z.B:

int(2*x,x,10,13) = 69

Da ist es absolut kein Problem Sonderzeichen zu verstecken, man kann es 
sich gut merken und wenn man mal einen Teil vergisst kann man sich den 
rausrechnen.

von Knochen K. (Firma: Riesenhoster in EU) (knochenkotzer)


Lesenswert?

Naja ich bin eher der Typ der laaaaaaange PWs verwendet.
So bei wichtigen dingen können das schon mal über 25 Zeichen sein.
Klar das ist seeehr unkomfortabel aber dank Fingerabdruckscanner nicht 
so nervig wie man denkt.
Ist schon klasse so ein Teil, funktioniert sogar mit Zehenabdrücken! ^^

von Gast (Gast)


Lesenswert?

Hallo,

das mit den mathematischen Sachen ist eine tolle Idee.

Eigentlich ist aber jedes Passwort zu knacken bei genügend 
Rechenleistung und Versuchsmöglichkeiten.

Die Gegenstelle, die das Passwort in Empfang nimmt, sollte den Zugang 
verweigern, wenn das Ding nach 20 Versuchen immer noch falsch eingegeben 
wurde.

Das ist eine höhere Sicherheit als diese Sonderzeichenschiene.

von Gerhard (Gast)


Lesenswert?

Mein Paßwort für die LUKS-Partition lautet:

Ha8BdEKB.ltkkst8GMnZ3q97oBfyeFxCHvRzyzJbR

Dafür habe ich mir einen Merksatz gebaut - das ganze einzutippen geht 
nach dem hundersten Mal auch einigermaßen locker von der Hand.

Die ersten acht Zeichen sind eine Art persönliches "Salt" - für wichtige 
Dinge nehme aus mnemotechnischen Gründen prinzipiell das gleiche Paßwort 
und ändere jeweis nur die ersten acht Zeichen.

von test (Gast)


Lesenswert?

Was auch ganz gut geht sind IC Namen wie z.B. ATmega161, ICL7107, ...

von Uhu U. (uhu)


Lesenswert?

test schrieb:
> Was auch ganz gut geht sind IC Namen wie z.B. ATmega161, ICL7107, ...

Fast so gut, wie das Geburtsdatum der Freundin ;-)

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

Gast schrieb:

> Eigentlich ist aber jedes Passwort zu knacken bei genügend
> Rechenleistung und Versuchsmöglichkeiten.

Bereits das Kriterium ,genügend Rechenleistung' kann aber hinreichend
schnell bereits nicht mehr erfüllt sein.  Schließlich wirst du ja
in der Regel nicht ein paar Millionen Jahre auf die Antwort warten
wollen wie die Leute im Hitchhiker's Guide to the Galaxy.

von Rick (Gast)


Lesenswert?

Ich benutze Nicknamen aus dem Chat als Passwort

Beispiel: Jutta als Realname, heisst im Chat "Gabi1977"
Ich notiere mir offen "Jutta+S" S wie Sonderzeichen
=> §Gabi1977§  § als Standardsonderzeichen

Bei monatlich wechselnden Passwörtern "Jutta+S+M"
=> §Gabi1977§08 08 für August.
Ich habe von 3-4 von diesen Passwörtern, die ich alle so offen notieren 
kann.

von Arc N. (arc)


Lesenswert?

Rick schrieb:
> Ich benutze Nicknamen aus dem Chat als Passwort
>
> Beispiel: Jutta als Realname, heisst im Chat "Gabi1977"
> Ich notiere mir offen "Jutta+S" S wie Sonderzeichen
> => §Gabi1977§  § als Standardsonderzeichen
>
> Bei monatlich wechselnden Passwörtern "Jutta+S+M"
> => §Gabi1977§08 08 für August.
> Ich habe von 3-4 von diesen Passwörtern, die ich alle so offen notieren
> kann.

Eine schöne Anleitung wie man es nicht machen sollte...

Angenommen es gibt vllt 3000-4000 Vornamen, Kosenamen, Abkürzungen,
100 zweistellige Jahreszahlen + 100 vierstellige dazu noch 36 
Monatsnamen (Namen + Abkürzungen + numerisch), dazu noch 2x 10 
Sonderzeichen.
Dazu 5 Position wo was stehen kann d.h. 120 unterschiedliche 
Anordnungsmöglichkeiten.
Macht zusammen: 4000  100  2  36  10  2  120 = 69.12 Mrd 
Möglichkeiten (wenn ich mich nicht auf die schnelle verrechnet habe).
Eine aktuelle Grafikkarte überprüft bis zu einer Mrd MD5-Hashes pro 
Sekunde...

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

Arc Net schrieb:

> Eine aktuelle Grafikkarte überprüft bis zu einer Mrd MD5-Hashes pro
> Sekunde...

Das funktioniert aber nur, wenn du auch an den MD5-Hash herankommst.

von Arc N. (arc)


Lesenswert?

Jörg Wunsch schrieb:
> Arc Net schrieb:
>
>> Eine aktuelle Grafikkarte überprüft bis zu einer Mrd MD5-Hashes pro
>> Sekunde...
>
> Das funktioniert aber nur, wenn du auch an den MD5-Hash herankommst.

Ohne direkten Zugriff funktioniert das, außer man hat ein passendes 
Bot-Netz, sowieso nicht schnell genug, selbst wenn, müsste/n dann noch 
die/der Server so schlecht konfiguriert sein, das er beliebig viele 
Zugriffe von unterschiedlichsten IPs zulässt ohne die Loginversuche zu 
verzögern oder ganz zu sperren. Aber dafür gibt's genügend andere Lücken 
ala SQL-Injection, um irgendwo an ein Passwort zu kommen (was bei viel 
zu vielen Leuten dann auch das einzige Passwort für alles mögliche 
ist...)

Sieht man sich die anderen Probleme von MD5 an, ist das Verfahren 
mittlerweile eh unbrauchbar.
Bei brauchbaren Verfahren, bricht das ganze von einer Mrd/s auf 20-50 
Tsd/s ein.
http://www.elcomsoft.com/edpr.html

p.s. in der Rechnung oben müssten es 10 · 10 statt 10 · 2 
Sonderzeichenmöglichkeiten sein, also das ganze mal 5...

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.