Frage:
Wie zuverlässig ist ein Passwortstärketester?
iijj
2011-03-24 14:13:32 UTC
view on stackexchange narkive permalink

Ich habe das von Microsoft verfügbare Tool hier getestet, mit dem die Kennwortstärke getestet und bewertet wird. Für ein Passwort wie "Ich werde heute Abend zu Mittag essen" bewertet das Tool seine Stärke als "BEST" und für ein Passwort wie "th1 $ .v4l" als "Mittel".

Ich frage mich, wie wichtig die Länge des Passworts wirklich ist. In diesem Fall ist das erste Passwort je nach Tool besser, aber ist es wirklich besser? Es basiert auf Wörterbuchwörtern und enthält außer Leerzeichen keine Kombination aus Zahlen und anderen Zeichen. Es scheint sehr leicht zu knacken zu sein (ohne Berücksichtigung von Brute Force).

Gibt dieses Werkzeug der Länge Vorrang vor der tatsächlichen Stärke?

Ich frage mich, ob jemand einen Markov-Modell-basierten Brute Forcer für Passphrasen gebaut hat.
Es gibt bereits Regenbogentabellen für NTLM und MD5, mit denen Kennwörter mit einer Länge von bis zu 8 Zeichen und allen Zeichen auf der Tastatur geknackt werden können. Das Set für "niedrigeres Alpha, Zahlen und Symbole" ist nur 400 GB groß, das für vollen Speicherplatz ist ungefähr 600 GB groß.
[Relevante XKCD] (http://xkcd.com/936/).
@StephenPaulger, Möchten Sie näher erläutern, wie ein "Markov-Modell-basierter Brute Forcer" funktioniert?
@Pacerier Markov-Ketten können die Häufigkeit speichern, mit der Wörter zusammen verwendet werden. Wenn Sie also Ihre Kennwortphrase mit einem Wort erraten, können Sie zuerst die wahrscheinlicheren zugehörigen Wörter ausprobieren. Das ist der schnellste Weg, um zu erklären, was ich meinte. Es gibt viele Dinge, die das Konzept online beschreiben, wenn Sie mehr wissen möchten.
Wiederbelebung eines alten Threads, um ein altes Zitat hinzuzufügen, aber: Castelluccia, Claude & Dürmuth, Markus & Perito, Daniele.(2012).Adaptive Kennwortstärkemessgeräte von Markov Models._
Dreizehn antworten:
#1
+60
AviD
2011-03-24 15:10:24 UTC
view on stackexchange narkive permalink

"Ohne Berücksichtigung von Brute Force" - genau das messen diese Tools.
Offensichtlich versuchen sie nicht, Social Engineering zu betreiben oder herauszufinden, ob der Hund der ersten Freundin des Benutzers Geburtstag hat. Der Angreifer weiß das vielleicht, aber diese Tools wissen es nicht.

Was sie messen, ist einfach die Schwierigkeit für ein Bruteforcing-Werkzeug, es zu knacken. Nicht einmal die Entropie des Passworts, die ein Attribut der Generierungsmethode ist, sondern nur eine Schätzung, wie lange ein Bruteforcing-Tool benötigen würde, um das richtige Passwort erfolgreich zu finden.
Entropie wirkt sich natürlich darauf aus, aber es Es kommt nur auf die totale Entropie an, nicht auf die Entropie pro Zeichen. Ja, viele gleich wahrscheinliche Optionen für jedes Zeichen erhöhen die Entropie, aber die Länge kann eine noch wichtigere Rolle dabei spielen, ein Passwort unknackbar zu machen, indem die Entropie pro Zeichen nach Zeichen auf eine höhere Potenz angehoben wird Anzahl. Dies führt zu einer viel höheren Gesamtentropie , was das einzige ist, was zählt.

In Ihrem Fall - ja, die 32-stellige Passphrase nur für Alpha ist viel stärker als das 8-stellige Interpunktionskennwort.


Ich werde versuchen, hier ein bisschen zu rechnen: (Bitte korrigieren Sie mich, wenn ich falsch liege):

Wenn wir eine Standardtastatur im US-Stil annehmen Es gibt 85 mögliche druckbare Zeichen (möglicherweise in der Lage, ein paar mehr zu kratzen, aber lassen Sie uns dies zunächst tun): Kleinbuchstaben + Großbuchstaben + Ziffern + Standard-Interpunktion + Leerzeichen.
Dies gewährt ~ 6,3 Bit Stärke pro Charakter; Bei einer Länge von 8 Zeichen gibt Ihnen das Passwort eine Stärke von ~ 50,4 Bit.
Beachten Sie, dass es wirklich sehr stark ist ... Selbst wenn wir noch ein paar "Sonderzeichen" einfügen, werden Sie nicht so viel aktualisieren.

Nun, für Ihre 32 Zeichen, nur Alpha-Passphrase ...
Nehmen wir nur Klein- und Großbuchstaben (obwohl Sie keine verwendet haben) sowie ein Leerzeichen (U + 32) an. Nicht einmal Ziffern ...
Das gibt Ihnen 54 mögliche Zeichen, ungefähr 5,8 Bit pro Zeichen. Bei einer Länge von 32 Zeichen entspricht dies einer Stärke von über 185 Bit. Wesentlich stärker. Und das auch ohne Ziffern, die normalerweise auch in "einfachen" Passwortschemata akzeptiert werden.


Bruce Schneier spricht oft darüber, wie das Umschalten auf lange, einprägsame Passphrasen viel sicherer ist als kurze, zufällige, seltsam aussehende Passwörter.
Jetzt sehen Sie warum.

Wie haben Sie die Bitstärke pro Zeichen berechnet?
@SteveS - Ich habe trivial berechnet, wie viele Möglichkeiten es im akzeptablen Bereich gibt (für jedes Zeichen 85 | 54 Möglichkeiten), und dies in die Anzahl der Bits übersetzt, die zur Darstellung dieser Möglichkeiten erforderlich sind. Zugegeben, dies war eine ziemlich grobe Schätzung, eine Berechnung vom Typ der Serviettenrückseite, die nicht sehr labortauglich ist (daher die Annäherungen), aber ich denke, sie ist immer noch relativ repräsentativ.
Hervorragende Antwort @AviD. Wenn nur mehr Leute rechnen würden (und Softwareanbieter mit der willkürlichen Größenbeschränkung "Entschuldigung, Ihr Passwort muss zwischen 8 und 16 Zeichen liegen" aufhören würden, wäre ich ein viel glücklicherer Mann.
Anhang A durchläuft hier die gleichen Berechnungen. http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf
@Graham sehr interessant. Dieses Dokument hat tatsächlich unterschiedliche Ergebnisse, hauptsächlich weil ich mich auf eine völlig zufällige Auswahl von Zeichen bezog, während das NIST-Dokument die Benutzerauswahl intelligent berücksichtigt - d. H. Nicht zufällig und daher weniger Entropiebits pro Zeichen. Ich denke, das NIST-Dokument ist korrekter als meine Antwort hier - aber immer noch nicht ausreichend, wenn Sie so vorgehen, sollten auch die Kenntnisse des Benutzers berücksichtigt werden, nicht nur die Sprachfunktionen. Ab diesem Zeitpunkt geht es jedoch sowieso nicht mehr um Entropiebits ... und unabhängig davon ging es in diesem q speziell um Bruteforce ...
Die Berechnung entspricht eher 6,3 Bit * 8 Zeichen gegenüber 7 zufälligen Wörtern von beispielsweise 2048 (11 Bit), also 50 gegenüber 77 Bit Entropie. Sie müssen sogar noch einige Bits aus der Passphrase entfernen, um die Grammatik zu berücksichtigen. OTOH, Sie müssen einige Teile des herkömmlichen Passworts entfernen, wenn Sie möchten, dass es unvergesslich bleibt. Siehe auch http://xkcd.com/936/ - das Ergebnis dieser Analyse, 28 gegenüber 44 Bit, ist tatsächlich ziemlich genau.
@tdammers Sie haben natürlich Recht, wenn Sie die Passphrase als eine Reihe von Wörtern (oder sogar als einen richtigen Satz) analysieren, aber wie ich bemerkte, behandelte ich sie als eine Reihe von Buchstaben, ohne Grammatik usw., gemäß der Absicht der ursprüngliche Frage. Siehe auch die vorherigen Kommentare zu den NIST-Berechnungen ...
Die ursprüngliche Frage lautet: "Prüft sie Länge oder Stärke?", Und die Antwort lautet "beides". Eine gute Passphrase ist immer noch stärker als ein gutes kurzes Passwort, selbst wenn Sie es als eine Folge von Wörtern und nicht als Zeichen behandeln. Und offensichtlich hat eine Passphrase mit sechs Wörtern, die grammatikalisch Sinn macht, eine geringere Entropie als sechs zufällig ausgewählte englische Wörter. Wenn Sie ein berühmtes Filmzitat auswählen, wird die Entropie noch weiter reduziert.
Auch hier stimme ich Ihnen absolut zu, @tdammers,, dass eine Passphrase unabhängig davon stärker wäre. Das OP fragte jedoch nach * Werkzeugen *, und diese Werkzeuge beziehen sich nicht auf eine Folge von Wörtern, sondern auf eine lange Reihe von Buchstaben. Wie bereits erwähnt, haben Sie Recht, wenn Sie ihn als grammatikalisch korrekten Satz behandeln, ganz zu schweigen von richtigen wörterbuchbasierten Wörtern, die die Entropie verringern würden, und auch, dass diese Entropie immer noch höher ist als die eines einfachen Passworts.
#2
+17
user502
2011-03-24 17:58:34 UTC
view on stackexchange narkive permalink

Sie befürchten, dass das Knacken von Wörter aus dem Wörterbuch möglicherweise einfacher zu knacken ist als etwas, das brutal erzwungen werden muss.

tl; dr: Dies ist eine gültige theoretische Sorge, aber im Moment ist es kein praktisches Problem.

"Ich werde heute Abend zu Mittag essen" ist eine Phrase mit fünf Wörtern, die Wörter verwendet von den häufigsten 5000 in der englischen Sprache. Naiv ist das Erraten isomorph zum Erraten eines 5-Buchstaben-Passworts in einem 5000-Buchstaben-Alphabet, was 3x10 ^ 18 Möglichkeiten bietet. Dies entspricht in etwa einem 10-stelligen Kennwort mit Groß- und Kleinbuchstaben, Zahlen und Symbolen.

Natürlich könnte ein ausreichend intelligentes Cracking-Programm dies erheblich reduzieren. Der Satz ist eine englische Standardprosa, die so strengen Regeln folgt, dass sie eine Informationsentropierate von etwa 1 Bit pro Buchstabe aufweist. Das bedeutet, dass Ihre Phrase 33 Entropiebits enthält, was sie nur so komplex macht wie ein perfekt zufälliges Passwort mit 5 druckbaren ASCII-Zeichen.

Das ist nicht sehr komplex.

Um dies jedoch auszunutzen Aufgrund mangelnder Komplexität benötigen Sie einen speziellen "englischen Passphrase-Cracker", der die Markov-Kettenmodellierung in Kernel für die GPGPU-Verarbeitung optimieren kann. Nach meinem besten Wissen befindet sich derzeit noch nichts dergleichen in der Entwicklung. Wenn also nicht jemand mit den Ressourcen zum Erstellen dieser Software Ihre Passphrase haben möchte, sollten Sie eine ganze Weile in Sicherheit sein.

Sehr wichtig ist auch, dass der Angreifer, sofern er nicht weiß, dass Ihr Passwort so formatiert ist, kein Tool ist, das er verwenden würde. Selbst mit der relativ geringen möglichen Anzahl von Passwörtern ist es sehr viel, "nur für den Fall" durchzugehen - insbesondere über eine Netzwerkverbindung.
Es ist wichtig zu beachten, dass die Komplexität immens zunimmt, wenn ich absichtlich ein einzelnes Wort wie "Mittagessen" als "Mittagessen" falsch schreibe.
Erhöht, ja, aber nicht "immens".Ein Angreifer muss lediglich einige häufig auftretende Fehler in das Wörterbuch aufnehmen.Wenn Sie durchschnittlich einen Tippfehler / Rechtschreibfehler pro Wort hinzufügen, verdoppelt sich Ihre Wörterbuchgröße und es wird ein weiteres Stück Entropie pro Wort hinzugefügt.Das ist also ein Wert, aber nicht so viel wie nur von einer Phrase zu wirklich zufälligen Wörtern zu wechseln.
Ich denke, diese Antwort könnte einige Updates gebrauchen, die Dinge haben sich in den letzten 8 Jahren geändert.Das sind eigentlich Top-1600-Wörter oder so, aber was noch wichtiger ist: https://github.com/initstring/passphrase-wordlist ... es scheint, dass die Leute damit begonnen haben, die Tools zum Knacken nicht zufälliger Passphrasen zu entwickeln.
#3
+15
Jeff Atwood
2011-08-11 10:08:19 UTC
view on stackexchange narkive permalink

Entropie ist eine seltsame Sache zu messen.

NIST-Sonderpublikation 800-63, Richtlinie zur elektronischen Authentifizierung enthält Anleitungen zur Schätzung der Kennwortstärke:

Die Entropie variiert stark, je nachdem, ob ein Kennwort von einem Benutzer ausgewählt oder zufällig generiert wird. Statistisch gesehen ist es schwierig, das erste Zeichen eines von einem Benutzer ausgewählten Passworts zu erraten, aber das zweite zu erraten ist einfacher und das dritte noch einfacher. Die NIST-Richtlinien geben dem ersten Zeichen 4 Bit Entropie, wenn die auf Standardtastaturen verfügbaren 94 Zeichen verwendet werden, jedoch nur 2 Bit für jedes der nächsten sieben Zeichen usw.

Zufällig ausgewählte Kennwörter werden nicht angezeigt Muster, sodass jedes Zeichen dieselbe Entropiestufe von etwa 6,6 Bit aufweist.

Dies bedeutet, dass ein von einem Benutzer ausgewähltes Kennwort mit acht Zeichen 18 Entropiebits und ein zufälliges Kennwort dieselbe Länge aufweist hat ungefähr 52,7 Bit.

Mit anderen Worten, wenn Sie die ersten 3 Zeichen meines Passworts bestimmen können, sind

Ehrfurcht

Dann ist die Wahrscheinlichkeit, dass das nächste Zeichen s ist, viel höher als * .

Also wann Wir sagen, ein Passwortzeichen kann jedes Zeichen sein, das ist nicht wirklich wahr. Die meisten Leute verwenden Wörter mit starken Mustern und reduzieren implizit den möglichen Satz der folgenden Zeichen - wodurch ein Passwort mit geringerer Entropie (Zufälligkeit) erzeugt wird.

#4
+14
hpavc
2011-03-24 14:37:45 UTC
view on stackexchange narkive permalink

Ich bin mir nicht sicher, wie "Ich werde heute Abend zu Mittag essen" für das Wörterbuch anfällig ist. Es besteht aus sieben Wörtern. Wobei "th1 $ .v4l" eine Zwei-Wort-Phrase mit einer Zeichenverknüpfung und einer Zeichensubstitution ist, mit der sich Passwort-Cracker seit Ewigkeiten befasst haben.

Einige Passwort-Tester verwenden Cracklib + Ajax wie Tests mit Eine kleine Regelbasis, um Ihr "this.val" -Passwort auszusortieren.

Also, was sagst du genau? Dass das erste Passwort sicherer ist, auch wenn es aus gängigen Wörterbuchwörtern ohne andere Sonderzeichen besteht?
@iijj, das ist genau richtig - Länge ist wichtiger.
#5
+8
nealmcb
2011-05-22 22:22:34 UTC
view on stackexchange narkive permalink

Die Frage nach der Zuverlässigkeit von Kennwortstärkeprüfern erstreckt sich auch auf die Sicherheit des Prüfers im Allgemeinen. Es ist beängstigend, eine Zunahme von Online-Kennwortstärkemessgeräten zu sehen. Sie setzen Ihr Passwort unnötigerweise einer Website im Internet zur Verfügung! Sogar lokale Anwendungen zur Passwortprüfung können schändlich sein. Behauptungen, dass die Site Javascript verwendet und das Passwort niemals über das Internet überträgt, können nicht als vertrauenswürdig eingestuft werden. Einige Websites zum Testen der Passwortstärke werden sicherlich von schwarzen Hüten betrieben, die sie zusammen mit allen anderen Informationen, die sie über Sie sammeln können, einfach zu ihren Wörterbüchern hinzufügen. Andere Websites werden von Personen mit guten Absichten, aber möglicherweise schlechten Implementierungen wie einem anfälligen Server oder fehlendem https betrieben. Und wieder andere sind anfällig für Angriffe "der Behörden", die die Website dazu zwingen können, z. Die von bestimmten IP-Adressbereichen übermittelten Kennwörter.

Ich schlage vor, dass jeder, der eine solche Site verwendet, niemals ein Kennwort übermitteln sollte, das er tatsächlich verwenden möchte.

Sehen Sie, wo Sie den Punkt verpassen, ist, dass Sie wahrscheinlich bereits beabsichtigen, die Website zu nutzen. Das Hinzufügen eines "Password Strength Checker" erhöht Ihr Risiko nicht. Wenn sie wirklich schändlich sind, werden sie Ihr Passwort einfach nicht verschlüsseln und nehmen, ohne dass ein ganzer "Password Strength Checker" -Vertreter erforderlich ist ...
@dan - Zur Verdeutlichung spreche ich über den gehosteten Code eines Drittanbieters, auf den im ursprünglichen Beitrag und von anderen verwiesen wurde. Wenn eine Site, auf der ich ein Passwort erstelle, einen eigenen Prüfer enthält (den sie sicher hosten usw.), gibt es natürlich nur etwas mehr Angriffsfläche, aber auf derselben Site.
#6
+7
Rory Alsop
2011-03-24 15:27:29 UTC
view on stackexchange narkive permalink

Die Länge ist fast alles, wenn Sie versuchen, sich gegen Brute-Force-Angriffe zu verteidigen.

Selbst die grundlegenden Passwort-Cracker ermöglichen Substitutionen im 1337-Sprachstil, sodass Sie in Ihrem Beispiel effektiv vergleichen eine 7-Wort-Passphrase mit einer 2-Wort-Passphrase.

Solange Sie lange Passphrasen haben (wobei die genaue Definition von long je nach Ihren Anforderungen variieren kann, aber mindestens 13 Zeichen betragen sollte, um die Gewinnchancen zu ermitteln Bei einem minimalen Regenbogentischangriff zwingen Sie einen Angreifer, andere Angriffsformen auszuprobieren, z. B. Social Engineering. herauszufinden, wo Sie die Passphrase geschrieben haben; Halten Sie Ihre Katze als Geisel usw.

#7
+7
Thomas Pornin
2013-02-03 21:13:27 UTC
view on stackexchange narkive permalink

Theoretisch können "Kennwortstärkemessgeräte" nicht funktionieren . Das Tool sieht nur das Ergebnis des Passwortgenerierungsprozesses, während die Passwortstärke "Stärke" tatsächlich eine Eigenschaft des Prozesses ist. Siehe diese Antwort und dann diese Antwort für Details.

Das Beste, was eine Anwendung zur Kennwortstärkemessung Ihnen geben kann, ist, wie viel Zeit sie dafür benötigt hätte um Ihr Passwort zu brechen - mit anderen Worten, es wird davon ausgegangen, dass der Angreifer genau denselben Code ausführt und nichts mehr über Sie weiß. Dies ist in der Praxis keine vernünftige Annahme: Der Angreifer ist, wenn er Sie angreift, genau hinter Ihnen her. Sich aus Sicherheitsgründen auf eine Passwortanzeige zu verlassen, ist wie zu beten, dass alle Angreifer inkompetent sind: Das ist eine Art "Vertrauenssprung".

#8
+5
Mark Davidson
2011-03-24 14:24:33 UTC
view on stackexchange narkive permalink

Wenn Sie sich das Javascript für dieses Microsoft-Tool ansehen, scheint es, dass es nur eine begrenzte Liste von Wörterbuchwörtern enthält (siehe Zeilen ab 264 in der js-Datei), sodass möglicherweise erklärt wird, warum Ihre Passphrase verwendet wird eine höhere Bewertung als vielleicht sollte es.

Ich persönlich würde diesen Passwortstärketester empfehlen. Er enthält eine gute Aufschlüsselung der Elemente, aus denen Ihr Passwort besteht, und zeigt Ihnen, wie es verbessert werden kann. Ihr Passwort "Ich werde heute Abend zu Mittag essen" wird mit 56% und Ihr zweites Passwort "th1 $ .v4l" mit 74% bewertet, was realistischer erscheint.

Dieses Tool verwendet jedoch keines Wortliste überhaupt - Ihre Passphrase ist nur in Kleinbuchstaben geschrieben, während "Ich werde heute Abend zu Mittag essen!" bekommt 98%. Sie können Ihre eigenen Schlussfolgerungen darüber ziehen, wie nützlich die Alterseinstufungen in% sind.

In Bezug auf die Auswirkung auf die Länge beim Auschecken der Cracking-Zeit dieser Artikel. Beachten Sie jedoch, dass GPGPU-basierte Passwort-Cracker bereits 2009 auf einem einzelnen Gaming- / Workstation-PC mit einer GPU von 500 US-Dollar 10 ^ 9 / s (die höchste Angriffsstufe der Klasse F in diesem Artikel) verwalten können Karte.

Scheint ein großartiges Werkzeug zu sein, danke. Bedeutet die Gesamtpunktzahl, dass es schwieriger ist zu knacken?
abgesehen von der Tatsache, dass Sie Ihr Passwort in ein Formular über http eingeben müssen ...
@Yaur Der Tester sendet Ihr Passwort überhaupt nicht über das Internet. Es bewertet die Stärke mit lokal ausgeführtem JavaScript.
@Mark Davidson, das ist schwer zu überprüfen und etwas, das fortlaufend getan werden müsste.
@Yaur Ich bin anderer Meinung. Die Überprüfung ist ziemlich einfach. Verwenden Sie den Firebug-Netzüberwachungsmodus und Sie können alle Aktivitäten zur und von der Site verfolgen. Sie können es auch mit Wireshark überwachen.
@Yaur Sie können alternativ unter Linux auch pwqcheck verwenden und den Quellcode manuell überprüfen.
Die Bewertung der Passwortqualität ist sehr schwierig. Ihr empfohlener Prüfer gab "Sehr stark" / "97%" für das Passwort "Hund hat Hausaufgaben gegessen!" ... Vielleicht wäre eine Google-Suche nach dem Passwort eine bessere Metrik? Dieses "Passwort" gibt 6000 Treffer, daher ist es wahrscheinlich nicht so toll: http://lmgtfy.com/?q=%22Dog+ate+homework!%22
Zu Ihrer Information, das von Ihnen vorgeschlagene Tool zur Kennwortstärke sagte mir "Kennwort1!"war "stark".(Was es offensichtlich nicht ist; tatsächlich ist es so schwach, dass ich es wahrscheinlich mit ein paar Sekunden manueller Vermutung knacken könnte.) Wie andere Kommentatoren bemerkt haben, ist die Bewertung der Passwortstärke sehr viel schwieriger, als Sie zu implizieren scheinen.
#9
+4
CogitoErgoCogitoSum
2012-02-03 17:51:26 UTC
view on stackexchange narkive permalink

Ich habe kürzlich einen Comic in der Zeitung gesehen. Oder vielleicht war es eine digitale Online-Kopie eines Comics, ich erinnere mich nicht.

Es illustrierte genau diese Debatte. Und ich werde Ihnen jetzt den Punkt erklären, den es gemacht hat:

Nur weil ein Passwort kurz ist, heißt das nicht, dass es leicht zu erraten ist, wie im Fall von "th1 $ .v4l". Aber nur weil ein Passwort lang ist, ist es auch nicht leicht zu erraten, wie im Fall von "Ich werde heute Abend zu Mittag essen".

Tatsache ist, kein ernsthafter menschlicher Hacker wird dort sitzen und dein Passwort erraten. Sie könnten Wörterbuchwörter verwenden, aber diese Wörterbücher enthalten nicht jeden möglichen Satz. Nur Worte.

Nein, was Hacker tun (wenn sie ein typisches Wörterbuch der WÖRTER erschöpft haben), ist, dass der Computer normalerweise jede mögliche Kombination systematisch durchläuft. Anfang bis Ende. Wenn sie auf diesen Weg gezwungen werden, ist es umso schlimmer, je kürzer das Passwort ist. Je länger, desto besser. Unabhängig davon, ob es Ziffern oder Symbole gibt. Ziffern und Symbole sind nur für Menschen von Bedeutung, die sich erinnern und raten. Für einen Computer sind sie dasselbe ... eine Folge von Einsen und Nullen ... und es macht keinen Unterschied.

Tun Sie sich selbst einen Gefallen. Halte es lang aber einfach. Kurz und komplex mag einen Hacker Zeit kosten, aber lang und einfach wird das Gleiche tun. Die Frage ist, möchten Sie ein Passwort, das leicht zu merken oder schwer zu merken ist?

#10
+3
Vishwanath Dalvi
2011-03-25 10:30:06 UTC
view on stackexchange narkive permalink

Nun, alle Tools zur Überprüfung der Kennwortstärke überprüfen, wie viel Aufwand erforderlich ist, um das Kennwort mithilfe von Brute-Force- und Wörterbuchangriffen zu finden.

Zum Beispiel, wenn Sie hier die Ergebnisse beider Kennwörter vergleichen.

http://www.passwordmeter.com/

"th1 $ .v4l" ist

Starkes Passwort mit 74%

"Ich werde heute Abend zu Mittag essen" ist

Gutes Passwort 56%

Das Knacken dieses Passworts mit Brute Force dauert weniger lange.

http://www.passwordmeter.com/ ist ein nützliches Tool für die Passwortstatistik, aber die endgültige Stärke ist nicht gut. Betrachten Sie das Passwort: "1111111111111111111111111111111111133333336666666666546546644646". Die Punktzahl beträgt 0%. Das ist Unsinn. Ich mag das Tool http://password-checker.online-domain-tools.com/. Sie können damit auch eine Wörterbuchprüfung durchführen.
#11
+3
Daniel Miladinov
2011-12-28 08:55:46 UTC
view on stackexchange narkive permalink

Nun, wenn Sie die Stärke eines Passworts als seine Schwierigkeit oder Wahrscheinlichkeit des Knackens definieren, dann ist die Stärke eines Passworts fast kontraintuitiv eher eine Funktion seiner Länge als seiner Schwierigkeit, sich zu erinnern.

Wenn ein potenzieller Angreifer nichts über Ihr Passwort weiß und nur Brute-Force verwenden kann, um Ihr Passwort zu knacken, ein längeres Passwort, das viel einfacher zu merken ist, wie

"Ich werde heute Abend zu Mittag essen".

braucht mehr Zeit zum Knacken als

"th1$.v4l"

, einfach weil es mehr Charaktere gibt, die der Angreifer richtig erraten müsste um das Passwort zu knacken. Je länger die Passwörter sind, desto größer ist der Suchraum. Geben Sie Ihrer Nadel (Passwort) einen viel größeren Heuhaufen, in dem Sie sich verstecken können.

#12
+3
Kevin Li
2014-04-19 04:56:31 UTC
view on stackexchange narkive permalink

Die Kennwortstärke kann nur von Ihnen allein oder von einer anderen Person geschätzt werden, wenn Sie ihnen mitteilen, wie Sie Ihre Kennwörter erstellen. Zum Beispiel, wenn ich einen Zufallspasswortgenerator verwende Wenn ein Satz mit 50 Zeichen verwendet wird und mein Passwort 8 Zeichen lang ist, ist mein Passwort 1 unter ungefähr 3,9 × 10 13 sup> oder 2 45 sup>. Wenn ich chinesische Pinyin-basierte Passwörter verwende und mein Passwort eine Phrase aus 4 Wörtern ist, da jedes Wort von möglichen 2.050 ist, ist mein Passwort 1 von möglichen 1,8 × 10 13 sup>. Die durchschnittliche Pinyin-Romanisierung eines chinesischen Schriftzeichens beträgt etwa 3 bis 4 Zeichen, was ein "4-Wort" -Passwort mit etwa 16 Zeichen ergibt. Dieses Pinyin-Passwort ist jedoch schwächer als das aus einem Zeichensatz von 50 generierte 8-stellige Passwort.

Wenn ein Angreifer weiß, wie ein Passwort generiert wurde (lassen Sie uns beispielsweise die von einigen wenigen gestohlenen Klartext-Passwörter untersuchen unsichere Websites) einer bestimmten Person verfügen sie über das erforderliche Wissen, um die Schwierigkeit des Brute-Forcing um viel zu verringern! Da sie wissen, dass Sie nicht mehr alle möglichen Zeichen auf Ihrer Tastatur verwenden, können sie unmögliche Kombinationen beseitigen und Zeit sparen.

Wenn Sie das nächste Mal ein Passwort generieren, denken Sie an den Algorithmus / die Methode, die Sie verwenden mit, um eine zu generieren. Verwenden von Password Safe zum Generieren eines 21-stelligen Kennworts aus einem 72-stelligen Satz ( + - = _ @ # $% ^ &<> / ~ \? AbcdefghijkmnopqrstuvwxyzandABCDEFGHJKLMNPQRTUVWXY3467) Erhalten Sie ungefähr 1,0 × 10 sup> 39 sup> mögliche Kombinationen oder 130-Bit-Sicherheit.

Zehn zufällige Auswahlen aus einer Liste von viertausend gebräuchlichen Wörtern ergeben ungefähr die gleiche Passwortentropie, sind aber dennoch einfach zu tippen oder zu transkribieren, falls dies jemals erforderlich sein sollte.Die Länge macht einen RIESIGEN Unterschied, selbst wenn nur ASCII in Kleinbuchstaben geschrieben wird.
#13
+1
Ajedi32
2019-02-19 23:15:47 UTC
view on stackexchange narkive permalink

Kennwortstärkeprüfer sind in der Regel nicht sehr zuverlässig. Sie neigen dazu, sich auf zu vereinfachende Berechnungen zu stützen, bei denen davon ausgegangen wird, dass Angreifer nur versuchen, Ihr Passwort zu erraten, indem sie jede mögliche Kombination von Zeichen ausprobieren. Diese Annahme trifft in der Praxis selten zu.

In In der Realität kann ein motivierter Angreifer alle möglichen Strategien zum Erraten Ihres Passworts entwickeln, von denen einige möglicherweise noch nie mit einem Passwortprüfer programmiert wurden.

Zum Beispiel das Passwort "! QAZXSW @" #EDC "sieht vielleicht ziemlich zufällig aus, bis Sie feststellen, dass ich es durch Drücken eines sehr einfachen Tastenmusters auf einer englischen Standardtastatur geschrieben habe. Ein Angreifer, der ein Programm verwendet, mit dem er auf Tastaturlayout basierende Kennwörter erraten kann, kann ein solches Kennwort in wenigen Minuten leicht knacken. (In der Tat zeigt der Pwned Passwords Checker von Have I Been Pwned an, dass dieses genaue Passwort bereits mehrmals verwendet und geknackt wurde.) In ähnlicher Weise scheint "Ich werde heute Abend zu Mittag essen" Ihrem typischen Charakter stark zu sein Überprüfung der Kennwortstärke, die jedoch von einem Angreifer mithilfe eines Programms zum Erraten gängiger englischer Sätze leicht geknackt werden kann.

Es gibt Kennwortstärkenprüfer, die in solchen Dingen besser sind als andere ( ZXCVBN kann beispielsweise das auf Tastaturmustern basierende Passwort erkennen, das ich oben angegeben habe, und eine realistischere Schätzung der Stärke geben), aber letztendlich ist es nicht immer möglich zu sagen, wie stark a ist Passwort ist nur durch Analyse des Passworts selbst . Es ist nicht sicher anzunehmen, dass ein Angreifer, der versucht, Ihr Passwort zu erraten, dies nicht tun kann, nur weil der von Ihnen verwendete Kennwortstärkeprüfer nicht erraten kann, mit welcher Methode Sie Ihr Kennwort ausgewählt haben. Diese Annahme wird als "Sicherheit durch Dunkelheit" bezeichnet und gilt als schlechte Praxis, auf die man sich in der Community für Informationssicherheit verlassen kann.

Was sollten Sie stattdessen tun? Wählen Sie Ihre Passwörter zufällig aus, vorzugsweise mit einer Zufallsquelle wie Würfeln, die nicht durch natürliche menschliche Vorurteile geschwächt werden können. Selbst wenn Sie davon ausgehen, dass der Angreifer genau weiß, wie Sie Ihr Kennwort generiert haben, können Sie auf diese Weise leicht berechnen, wie viele Vermutungen der Angreifer versuchen müsste, bevor er Ihr Kennwort richtig erraten kann.

Diceware ist ein gutes Beispiel für eine solche Methode zum Generieren von Passwörtern. Vier zufällige Diceware-Wörter benötigen durchschnittlich 7776 4 sup> / 2 = ~ 1,83 Billiarden Vermutungen, die ein Angreifer erraten kann, selbst wenn er die genaue Liste der Wörter kennt, für die Sie Ihr Passwort gewählt haben von. Von einem Passwort-Manager generierte Passwörter sind aus ähnlichen Gründen stark.

Für weitere Informationen zur sicheren Auswahl von Passwörtern empfehle ich die Antwort von Thomas Pornin auf "XKCD # 936: Kurzes komplexes Passwort" , oder lange Wörterbuch-Passphrase? ", die ausführlich auf die Kennwortentropie und die Berechnung der Stärke eines zufällig generierten Kennworts eingeht.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...