Einige Arten von Angriffen auf Passwörter verwenden Wörterbücher. Es ist sicherer, unsinnige Passwörter wie YunSUanLin
, Artibichoke
usw. zu verwenden, die sich anscheinend nicht auf ein Wörterbuch beziehen?
Einige Arten von Angriffen auf Passwörter verwenden Wörterbücher. Es ist sicherer, unsinnige Passwörter wie YunSUanLin
, Artibichoke
usw. zu verwenden, die sich anscheinend nicht auf ein Wörterbuch beziehen?
Angreifer verwenden häufig nicht nur Wörterbücher, sondern auch Regeln, die die Wörter in Wörterbüchern permutieren.
Eine Regel könnte beispielsweise darin bestehen, Zahlen, die gleich aussehen, durch bestimmte Buchstaben zu ersetzen. Dies würde Passwort
in P455w0rd
verwandeln.
Eine Regel, die in diesem Fall gelten könnte, wäre, einzelne Buchstaben aus einem Wort zu entfernen. Das bedeutet, dass Sie das Passwort nur durch Entfernen eines Buchstabens permutieren oder absichtlich falsch schreiben, um bessere Chancen zu erhalten. Dies ist jedoch nicht garantiert.
Um Ihre Frage speziell zu beantworten: Ja , es ist sicherer unsinnige Wörter zu verwenden, als Wörter in einem Wörterbuch zu verwenden.
Es ist jedoch nicht so sicher wie möglich. Ein Offline-Passwort-Manager kann wirklich zufällige Passwörter für Sie generieren und diese verschlüsselt speichern. Dies bedeutet, dass Sie niemals Ihr Passwort eingeben müssen, außer das Hauptkennwort, um den Passwort-Manager zu entsperren.
Um dies zu demonstrieren, fragen Sie sich, welches Passwort Sie für sicherer halten: YunSuanLin0
oder [D @, 7 ## M] enMd *) j5fxG ~ KQ ~? r \ <DdV ^
?
Dies scheint eine Frage zu sein, die eine offensichtliche Antwort hat, aber nicht so trivial ist.
Wörter, die nicht in Wörterbüchern erscheinen, sind zufälliger ('Entropie') und daher schwerer zu erraten Computer.
Aber sie sind auch für Menschen schwerer zu merken. Und das führt zur Wiederverwendung des Passworts. Das ist sehr schlecht.
Wenn Sie keinen Passwort-Manager verwenden (und sollten!), Ist die Verwendung eines Satzes aus zufälligen Wörterbuchwörtern normalerweise sicherer als zufällige Nichtwörter. Weitere Informationen hierzu finden Sie hier: Welches Passwort soll ich verwenden? (mit einer sehr genauen und leicht verständlichen visuellen Erklärung)
Weitere Informationen zu Passwort-Managern hier.
"Sicherer" ist ein relativer Begriff. Sicherer als was, unter welchen Bedingungen?
Unter rein theoretischen Bedingungen sind unsinnige Wörter unter der Annahme eines Brute-Force-Angriffs "sicherer" in dem Sinne, dass es sehr wahrscheinlich ist, dass der Angreifer a versucht Wörterbuchangriff vor einer umfassenden Suche.
Unter realen Bedingungen treten Wörterbuchangriffe unter zwei Umständen auf: a) Erzwingen des brutalen Eindringens in ein System und b) Brechen von Kennwörtern in einer durchgesickerten Datenbank mit Kennwort-Hashes.
Die Lösung für a) besteht darin, keine defekte Software zu verwenden. Wenn Ihre Software den Angreifer nach 10 oder 100 oder einer anderen Anzahl fehlgeschlagener Versuche nicht sperrt, ist Ihre Software defekt.
Für b) ist es wahrscheinlich, dass der Angreifer nach dem Brechen der üblichen einfachen Methode stoppt Passwörter, die viele Benutzer verwenden werden. Er wird es wahrscheinlich ein bisschen länger laufen lassen, aber es wäre ungewöhnlich, dass er den Cracker so lange laufen lässt, bis er alle Passwörter erhalten hat - er hat wahrscheinlich mehrere weitere durchgesickerte Datenbanken mit einfachen Zielen, für die seine Zeit und Ressourcen besser aufgewendet werden.
Für b) verbessert ein Passwort, das nicht im Wörterbuch enthalten ist, und keine einfache Permutation (Cracker kennen die üblichen "O durch Null ersetzen" -Substitutionen und vieles mehr) Ihre Chancen, nicht auf haveibeenpwned zu sein, dramatisch. com
Was die Wörterbücher betrifft, enthalten sie eine Liste der am häufigsten verwendeten Passwörter, und das können auch unsinnige Phrasen und Wörter sein. Zum Beispiel sind x + word + 123 oder x + monkey neben qwerty einige der am häufigsten verwendeten Passwörter, die nicht wirklich sinnvoll sind. Sie können also unsinnige Passwörter verwenden, aber stellen Sie sicher, dass diese unvorhersehbar und nicht so häufig sind. Und wenn Sie Ihre Passwörter stärker machen möchten, können Sie die ersten 2 oder 3 Wörter mehrerer Phrasen kombinieren. Wenn Sie Ihrem Passwort Sonderzeichen hinzufügen können, sind Sie außerdem viel sicherer.
TL; DR: Der sicherste Weg, ein Passwort zu generieren, ist die Verwendung eines Passwort-Managers.
Jemand, der Hashes knackt oder Anmeldeversuche brutal durchführt, verfügt über mehrere Tools, um mögliche Passwörter (bzw. Passwort-Hashes) zu finden ) fraglich. Wörterbücher oder Wortlisten sind nur eine davon. Es reicht also nicht aus, Ihre Abwehrtechniken nur gegen Wörterbücher einzuschränken.
Wie andere bereits festgestellt haben, werden Regeln definiert, um manchmal die Wörter zu "verbessern", wenn ein Angreifer Tools wie Hashcat oder John the Ripper verwendet in Wortlisten gefunden. Diese Regeln können relativ einfach definiert werden. Aber woher kennen die Angreifer diese Regeln? Und woher kommen diese Wörterbücher?
Die zweite Frage kann leicht beantwortet werden: Wie das berüchtigte rockyou.txt werden viele andere Wörterbücher nach Datenverletzungen von Major (oder kleinere) Unternehmen.
Jetzt haben Sie Ihre Wortliste. Woher bekommen Sie Ihren Regelsatz?
Kehren wir zu diesen Wörterbüchern zurück. IIRC rockyou.txt enthält ~ 14 Millionen Passwörter. Millionen von Benutzerkennwörtern an einem Ort, mit denen Sie einen riesigen Datensatz erhalten, welche Kennwörter am häufigsten verwendet werden, welche Buchstaben groß geschrieben werden und wo normalerweise Zahlen und Sonderzeichen stehen.
Die Wortlisten haben sich im Laufe der Jahre etwas geändert weil wir den Leuten beigebracht haben, andere Passwörter als "iloveyou", "Passwort" oder "Baseball" zu erstellen. Die Änderung ist jedoch langsam, da a) viele ältere Menschen und b) Menschen aus Schwellenländern, in denen die Kennwortkompetenz nicht weit verbreitet ist, Zugang zu digitalen Diensten erhalten.
Das Wesentliche ist: Die Benutzer möchten ihre Kennwörter eingeben leicht und sie möchten sich leicht an sie erinnern.
Einfache Eingabe ist wichtig, wenn es um Zahlen und Sonderzeichen geht. Theoretisch gibt es rund 200 Sonderzeichen, die Sie einfach mit ALT + Numpad-Kombinationen eingeben können. In Wirklichkeit verwenden die meisten Leute jedoch ein oder zwei dieser Zeichen (abhängig vom Tastaturlayout) :! @ #} |) (US) ,! "§ * # = (DE).
Wahrscheinlich sehen Sie hier ein Muster, weil das Gleiche für Zahlen gilt: 1209 werden am häufigsten in der Luft verwendet.
Um auf Ihre Frage zurückzukommen.
Was genau möchten Sie erreichen?
Sie möchten nicht wie jeder andere Benutzer Kennwörter generieren. Sie möchten kein Wort aus einem Wörterbuch verwenden. Verwenden Sie also den Passwort-Manager, oder? Das kann man aber nicht immer tun. Wenn Sie sich bei Ihrem System anmelden, haben Sie noch keinen Zugriff auf Ihren Kennwortmanager.
Manchmal müssen Sie sich ein Kennwort merken, und dann möchten Sie ein Kennwort haben, an das Sie sich leicht erinnern können und auch sehr stark. Mein Vorschlag: Probieren Sie etwas wie Diceware aus oder lassen Sie einen Passwort-Manager ein Passwort für Sie generieren und speichern Sie es anschließend. Verwenden Sie seltsame Wörter und konjugieren Sie sie. Verwenden Sie Sonderzeichen, die etwas schwieriger zu tippen sind als "!". Verwenden Sie nicht nur ein Sonderzeichen oder eine Zahl.
Wenn Sie sich denken, dass Sie an eine clevere Regel gedacht haben, stellen Sie sicher, dass es eine Million andere Menschen gibt, die dasselbe tun, und diese Angreifer wird auch über diese Regel Bescheid wissen.
Am wichtigsten: 1. Verwenden Sie sehr lange Passwörter. 2. Verwenden Sie keine Passwörter, die wie die aller anderen erstellt wurden. Denn dies sind die Passwörter mit Erstellungsregeln, die jeder Angreifer kennt. So verteidigen Sie sich gegen einen Wörterbuchangriff.
Was Sie aus einem sicheren Passwort herausholen, ist Zeit. Zeit, die nützlich ist, um Ihr Passwort zu ändern, nachdem ein Konto kompromittiert wurde. Die Länge Ihres Passworts und die Art und Weise, wie Sie Passwörter erstellen, verschaffen Ihnen diese Stärke und diese Zeit.