mikrocontroller.net

Forum: Offtopic Password testen


Autor: Sven (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein Bekannter hat mir einen Link auf eine Seite geschickt, mit der man 
Passwörter auf Sicherheit testen kann.

Bin auf die Seite gegengen und habe mal "Knurrwurst" eingegeben.
Das Ergebnis war "schwach". Sehe ich aber nicht ein, "Knurrwurst" findet 
man (bis jetzt!) in keinem Lexikon. Was soll an z.B. "üK8oV$Mµ-t" denn 
besser sein? Ich denke mal, diese Seite dient nur dazu, die Passwörter & 
IP der Leute abzugreifen. Ich denke mal es gibt ganz schön Trafic (10 
hoch 26) um auch nur ein Password mit 10 Buchstaben zu raten. Das 
password ist ja noch lange nicht die Verschlüsselung sondern dient nur 
der Authentifizierung.

Autor: Franz (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Knurrwurst ist baer aus Wörtern, die im Wörterbuch stehen 
zusammengesetzt.

Autor: Zerg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Was soll an z.B. "üK8oV$Mµ-t" denn
> besser sein?

Mit ein bischen Überlegung findest du das selber raus :)

Autor: Rik Langobar (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Große und kleine Buchstaben, Zahlen, Umlaute, Sonderzeichen

Autor: Sven P. (haku) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die meisten Sumpfhühner wollen Passwörter, die man leicht behalten kann. 
Dazu bieten sich Mnemoniken an, also Buchstabenkombinationen, die sich 
aussprechen lassen. Da kommt man dann auch recht schnell zu dem Schluss, 
dass Sonderzeichen da nicht gut reinpassen. Würde also dann ein Alphabet 
von um die 60 Buchstaben ergeben.

Nehme ich mal Zahlen und Sonderzeichen, Akzente und Interpunktion zu, 
verdoppelt sich das ganz schnell, der Rechen- bzw. 'Versuchsaufwand' zum 
Knacken wächst exponentiell.

Autor: Ich (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Am einfachsten zu Merken finde ich immernoch irgend einen Satz mit ein 
paar Zahlen oder Buchstaben zwischendrin.
Die zusammenkombinierten Wörter ergeben genug Länge und sind 
gleichzeitig einfach zu merken und die wenigen eingefügten Buchstaben 
machen das Passwort sicher gegen Wörterbuchangriffe.

Autor: Gast (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Oder nur die Anfangsbuchstaben eines Satzes nehmen, Beispiel:

Es gibt kein Bier auf Hawaii

wird zu

Eg0BaH

Autor: aha (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>> Was soll an z.B. "üK8oV$Mµ-t" denn
>> besser sein?
>>
>Mit ein bischen Überlegung findest du das selber raus :)

Tatsaechlich ?
Fuer einen Generator, der alle Permutationen von allen erlaubten Zeichen 
probiert ist die Wahrscheinlichkeit etwa gleich...

Autor: Иван S. (ivan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mach eine Chi-Square und gut ists. Oder Professor Zolt Paps (Musiklabor, 
HTL Chemie in Wels, Wischiwaschi aber guter Lehrerguten Q-Test 
(invertiert!).

Autor: blubb (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
es ist doch viel besser, ein langes, leicht merkbares passwort mit 
wenigen, aussprechbaren zeichen zu benutzen, wie z.b. ein vollständiger 
satz "ichbinjasowahnsinnigschlau" als ein kurzes passwort aus allen 
zeichen inkl. sonderzeichen. dank seiner länge, ist das erstere sicherer 
und trotzdem leichter zu merken... lediglich der tippaufwand steigt.

Autor: Gast (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Mit ein bischen Überlegung findest du das selber raus

Das bezweifle ich bei der Zielgruppe diese Forums. Dass Passwortknacker 
auch vorhandene Wörter aus einer Wörterbuchdatei automatisch kombinieren 
können, haben viele Leute hier vermutlich noch nie gehört. Auch eine 
einstellige Zahl vor oder hinter ein Wort bietet keinen wirklichen 
Schutz, da diese Methode zu bekannt ist.

Autor: Troll (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ach was! Ein Buchstabe als PW reicht locker. Gibt doch heute überall 
nach 3 Versuchen Loginsperren.

Also als PW das "D" nehmen und nie mehr Angst um die Sicherheit haben.
Versuch 1: A
Versuch 2: B
Versuch 3: C
Versuch 4: D -> Loginsperre! Kann kein PW Knacker jemals rausfinden da 
seine IP gesperrt wurde.

:-D

Autor: Knochen Kotzer (Firma: Riesenhoster in EU) (knochenkotzer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ähhh, nein.
Keine Ahnung wo es diese Loginsperren dauerhaft geben soll?
Und was juckt es den Hacker wenn seine (sowieso nur temorär) vergebene 
IP gesperrt ist???

Autor: Troll (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>          :-D
So versteckt war das eigentlich nicht. Aber ok. Das nächste mal verwende 
ich <ironie> Tags.

Autor: Knochen Kotzer (Firma: Riesenhoster in EU) (knochenkotzer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Naja, ich war schon auf der Schwelle das auch anzunehmen.
Hätt ich mir deinen Nick vorher mal angesehen wäre ich wohl auch zu 
dieser Ansicht gekippt.

Autor: passwort (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Also ich verwende meist mathematische Sachen als Passwort, z.B:

int(2*x,x,10,13) = 69

Da ist es absolut kein Problem Sonderzeichen zu verstecken, man kann es 
sich gut merken und wenn man mal einen Teil vergisst kann man sich den 
rausrechnen.

Autor: Knochen Kotzer (Firma: Riesenhoster in EU) (knochenkotzer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Naja ich bin eher der Typ der laaaaaaange PWs verwendet.
So bei wichtigen dingen können das schon mal über 25 Zeichen sein.
Klar das ist seeehr unkomfortabel aber dank Fingerabdruckscanner nicht 
so nervig wie man denkt.
Ist schon klasse so ein Teil, funktioniert sogar mit Zehenabdrücken! ^^

Autor: Gast (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

das mit den mathematischen Sachen ist eine tolle Idee.

Eigentlich ist aber jedes Passwort zu knacken bei genügend 
Rechenleistung und Versuchsmöglichkeiten.

Die Gegenstelle, die das Passwort in Empfang nimmt, sollte den Zugang 
verweigern, wenn das Ding nach 20 Versuchen immer noch falsch eingegeben 
wurde.

Das ist eine höhere Sicherheit als diese Sonderzeichenschiene.

Autor: Gerhard (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mein Paßwort für die LUKS-Partition lautet:

Ha8BdEKB.ltkkst8GMnZ3q97oBfyeFxCHvRzyzJbR

Dafür habe ich mir einen Merksatz gebaut - das ganze einzutippen geht 
nach dem hundersten Mal auch einigermaßen locker von der Hand.

Die ersten acht Zeichen sind eine Art persönliches "Salt" - für wichtige 
Dinge nehme aus mnemotechnischen Gründen prinzipiell das gleiche Paßwort 
und ändere jeweis nur die ersten acht Zeichen.

Autor: test (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Was auch ganz gut geht sind IC Namen wie z.B. ATmega161, ICL7107, ...

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
test schrieb:
> Was auch ganz gut geht sind IC Namen wie z.B. ATmega161, ICL7107, ...

Fast so gut, wie das Geburtsdatum der Freundin ;-)

Autor: Jörg Wunsch (dl8dtl) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gast schrieb:

> Eigentlich ist aber jedes Passwort zu knacken bei genügend
> Rechenleistung und Versuchsmöglichkeiten.

Bereits das Kriterium ,genügend Rechenleistung' kann aber hinreichend
schnell bereits nicht mehr erfüllt sein.  Schließlich wirst du ja
in der Regel nicht ein paar Millionen Jahre auf die Antwort warten
wollen wie die Leute im Hitchhiker's Guide to the Galaxy.

Autor: Rick (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich benutze Nicknamen aus dem Chat als Passwort

Beispiel: Jutta als Realname, heisst im Chat "Gabi1977"
Ich notiere mir offen "Jutta+S" S wie Sonderzeichen
=> §Gabi1977§  § als Standardsonderzeichen

Bei monatlich wechselnden Passwörtern "Jutta+S+M"
=> §Gabi1977§08 08 für August.
Ich habe von 3-4 von diesen Passwörtern, die ich alle so offen notieren 
kann.

Autor: Arc Net (arc)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rick schrieb:
> Ich benutze Nicknamen aus dem Chat als Passwort
>
> Beispiel: Jutta als Realname, heisst im Chat "Gabi1977"
> Ich notiere mir offen "Jutta+S" S wie Sonderzeichen
> => §Gabi1977§  § als Standardsonderzeichen
>
> Bei monatlich wechselnden Passwörtern "Jutta+S+M"
> => §Gabi1977§08 08 für August.
> Ich habe von 3-4 von diesen Passwörtern, die ich alle so offen notieren
> kann.

Eine schöne Anleitung wie man es nicht machen sollte...

Angenommen es gibt vllt 3000-4000 Vornamen, Kosenamen, Abkürzungen,
100 zweistellige Jahreszahlen + 100 vierstellige dazu noch 36 
Monatsnamen (Namen + Abkürzungen + numerisch), dazu noch 2x 10 
Sonderzeichen.
Dazu 5 Position wo was stehen kann d.h. 120 unterschiedliche 
Anordnungsmöglichkeiten.
Macht zusammen: 4000  100  2  36  10  2  120 = 69.12 Mrd 
Möglichkeiten (wenn ich mich nicht auf die schnelle verrechnet habe).
Eine aktuelle Grafikkarte überprüft bis zu einer Mrd MD5-Hashes pro 
Sekunde...

Autor: Jörg Wunsch (dl8dtl) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Arc Net schrieb:

> Eine aktuelle Grafikkarte überprüft bis zu einer Mrd MD5-Hashes pro
> Sekunde...

Das funktioniert aber nur, wenn du auch an den MD5-Hash herankommst.

Autor: Arc Net (arc)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jörg Wunsch schrieb:
> Arc Net schrieb:
>
>> Eine aktuelle Grafikkarte überprüft bis zu einer Mrd MD5-Hashes pro
>> Sekunde...
>
> Das funktioniert aber nur, wenn du auch an den MD5-Hash herankommst.

Ohne direkten Zugriff funktioniert das, außer man hat ein passendes 
Bot-Netz, sowieso nicht schnell genug, selbst wenn, müsste/n dann noch 
die/der Server so schlecht konfiguriert sein, das er beliebig viele 
Zugriffe von unterschiedlichsten IPs zulässt ohne die Loginversuche zu 
verzögern oder ganz zu sperren. Aber dafür gibt's genügend andere Lücken 
ala SQL-Injection, um irgendwo an ein Passwort zu kommen (was bei viel 
zu vielen Leuten dann auch das einzige Passwort für alles mögliche 
ist...)

Sieht man sich die anderen Probleme von MD5 an, ist das Verfahren 
mittlerweile eh unbrauchbar.
Bei brauchbaren Verfahren, bricht das ganze von einer Mrd/s auf 20-50 
Tsd/s ein.
http://www.elcomsoft.com/edpr.html

p.s. in der Rechnung oben müssten es 10 · 10 statt 10 · 2 
Sonderzeichenmöglichkeiten sein, also das ganze mal 5...

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail, Yahoo oder Facebook? Keine Anmeldung erforderlich!
Mit Google-Account einloggen | Mit Facebook-Account einloggen
Noch kein Account? Hier anmelden.