Frage:
Ist ein einfaches, aber sehr langes Passwort ein gutes Passwort?
Fabian Zeindl
2012-11-14 00:12:30 UTC
view on stackexchange narkive permalink

Ist ein Passwort wie

sicher? Es wäre leicht zu merken.

Viel Glück beim Tippen ** genau ** 25 `w`s.
@SLaks einfach, 5 Gruppen von 5.
Nein, es ist nicht sicher, weil es das erste ist, was während eines Brute-Force-Angriffs versucht wird.
Wenn sie nicht schon da waren, hat bestimmt ein Blackhat gerade a, aa, aaa, ... z ^ 26 zu seinem Wörterbuch hinzugefügt.
Plus, wenn jemand sieht, dass Sie das tippen, wird es seltsam aussehen.
Neun antworten:
Oleksi
2012-11-14 00:27:20 UTC
view on stackexchange narkive permalink

Nun, es hängt davon ab, mit welcher Methode der Angreifer Passwörter knackt. Wenn sie Wörterbuchangriffe verwenden, ist dies sicherlich sehr sicher. Danach kann der Angreifer reines Brute-Forcing versuchen, und diese Methoden versuchen normalerweise alle kürzeren Passwörter vor längeren. Gegen gängige automatisierte Angriffe wie diese sind Sie wahrscheinlich ziemlich sicher.

Wie bereits erwähnt, kann es etwas umständlich sein, ein solches Passwort für Personen einzugeben, da es einfach ist, aus Ihren Tastenanschlägen zu "lesen" . Es wäre jedoch nicht so schwierig, diese einfachen Passwörter etwas komplizierter zu ändern, damit sie schwerer zu lesen sind.

Das hängt alles davon ab, wie schlau das Wörterbuch ist. Wörterbuchangriffe verwenden häufig verwendete Transmutationen und Versuche, Wörterbuchrisse in einem ansonsten Wörterbuchmuster fehlzuschlagen. Wenn jemand diesen Algorithmus in einen Wörterbuchangriff einschreiben würde, würde er nur das 26 * 25-fache des Aufwands kosten. Das ist nicht viel mehr, wenn das Muster getestet wird.
Während Wörter wie diese nicht im englischen Sprachwörterbuch (oder in anderen Sprachen) enthalten sind, sind diese Wörterbücher nur ein Ausgangspunkt für die Entwicklung eines Passwortwörterbuchs. Beginnen Sie damit, jedes Online-Wörterbuch zu greifen, das Sie können. Fügen Sie Slang, Tippfehler, Rechtschreibfehler usw. hinzu. Fügen Sie Dinge wie QWERTY (für jedes bekannte Tastaturlayout), allgemeine Kennwörter (Trustno1 usw.) hinzu. Dann wenden Sie einfache Transformationen auf jedes Wort an (e-> 3, o-> 0 usw. - [Crack] (http://en.wikipedia.org/wiki/Crack_ (password_software) beträgt mehr als 20 Jahre). Ein einfaches Wort wie "Katze" kann mehrere hundert zu überprüfende Passwörter ergeben. Jetzt hast du ein Wörterbuch.
DaleSwanson
2012-11-14 03:13:09 UTC
view on stackexchange narkive permalink

Wir berechnen die Stärke eines Passworts folgendermaßen: Nehmen Sie die Anzahl der Möglichkeiten für ein Zeichen, die auf die Anzahl der Zeichen erhöht werden. Eine 4-stellige PIN ist also 10 ^ 4 = 10.000, und ein 8-stelliges Kleinbuchstabenkennwort ist 26 ^ 8 = 208.827.064.576.

Dies gilt auch für Nicht-Zeichen. Zum Beispiel hätte ein Passwort, das aus 4 nicht verwandten Wörtern aus einer Liste von 1000 häufigsten Wörtern besteht, 1000 ^ 4 = 10 ^ 12 Möglichkeiten.

Nun, in Bezug auf Ihre vorgeschlagene Methode eines wiederholten Zeichens, wir müssen fragen, welche Informationen tatsächlich in 25 Ws enthalten sind? Mit anderen Worten, in welchem ​​Mindestraum können wir diese Informationen übermitteln? Es scheint, dass es zwei Teile gibt. Erstens das Zeichen und zweitens die Anzahl der Wiederholungen. Das bedeutet, dass ein 25-maliges w nur 26 * 25 = 650 Möglichkeiten hat. Zugegeben, das ist der schlimmste Fall, in dem der Angreifer den Charaktertyp kennt und bei der richtigen Länge anhält, aber ich halte das für vernünftig, da sie wahrscheinlich bis zu dieser Länge ab 1 arbeiten würden.

Ich wirklich wie dieser Passwort-Tester. Es zeigt, dass Ihr Passwort ungefähr 15 Bit Entropie hat. Im Vergleich zu nur wg9, das ungefähr 18 Bit hat.

Das Mitnehmen ist, dass eine lange wiederholte Zeichenfolge Ihrem Passwort zwar eine gewisse Entropie hinzufügt, aber weniger als nur ein weiteres (anderes) Zeichen hinzufügen würde. Wenn Sie bereit und in der Lage sind, lange Passwörter zu verwenden, verwenden Sie stattdessen eine Passphrase.

vsz
2012-11-14 13:10:22 UTC
view on stackexchange narkive permalink

Wenn der Angreifer Ihre Strategie nicht vermutet, hat Ihr Beispiel eine höhere Entropie als die meisten "üblichen" Passwörter.

Es wäre jedoch einfacher, sich zu merken und zu tippen, wenn Sie mehrere einfache Wörter hätten, und es wäre auch weniger anfällig, von einem Angriff besiegt zu werden, der speziell nach Ihrer ursprünglichen Idee sucht (zum Beispiel, wenn dies der Fall ist) wird immer zur Mode)

Die obligatorische xkcd-Referenz als Demonstration:

enter image description here

olliezhu
2012-11-14 00:23:44 UTC
view on stackexchange narkive permalink

Nein, aus dem einfachen Grund, dass jeder, der während der Eingabe neben Ihnen sitzt, feststellen kann, dass Ihr Passwort einfach eine lange Wiederholung eines einzelnen Zeichens ist, die mit einer Zahl endet. Die Herausforderung, Ihr Passwort zu erraten, wird zu einer ziemlich trivialen Aufgabe.

Salvador Dali
2012-11-14 02:49:38 UTC
view on stackexchange narkive permalink

Das hängt davon ab, was Sie genau unter Sicherheit verstehen:

  • mit Brute Force - das ist absolut sicher. Niemand wird in den nächsten 2 Jahren 25chars erreichen del>, wie Jeff in seinem Kommentar betonte.

Brute Force Attach kann auch zuerst alle Passwörter mit 1-100 Zeichen versuchen, die aus demselben Buchstaben bestehen, als alle Passwörter mit 1-100 Zeichen, die aus Permutationen zweier verschiedener Buchstaben bestehen usw. Dieses Passwort wird innerhalb weniger hundert Versuche

  • mit Wörterbuchangriffen gefunden - auch auf keinen Fall (wie bereits erwähnt)

Das Problem kann jedoch nicht nur auftreten, wenn jemand in Ihrer Nähe war und Ihr Passwort sehen konnte, sondern auch aufgrund der bloßen Tatsache, wie das Passwort generiert wurde. Nur wenn Sie wissen, dass Sie viel in Ihrem Passwort wiederholen, wird die Entropie kleiner. Sie können hier

mehr von mir selbst lesen, wenn Sie kommen müssen Verwenden Sie mit einem sicheren Passwort die folgende Technik. Nehmen Sie einen großen Text (ich mag South Park, also hier ein Beispiel):

  Ich gehe nach South Park, um mir Zeit zu nehmen. Ich stehe allen Menschen ohne Versuchung freundlich gegenüber South Park wird meine Leiden hinter sich lassen.  

Und nehmen wir jeden ersten Buchstaben und ändern ihn ein wenig, als würde jedes g durch die Länge der Welt ersetzt, die es enthält. Sie erhalten also ein Passwort wie:

I5dtSP5hmat.Ffehfwt. .... Wir haben also ein schönes 20-stelliges Passwort mit hoher Entropie, das leicht zu merken ist und unmöglich zu bekommen (wenn Sie eine nette Fantasie und einen Fan von Literatur haben).

Warum nicht einfach die ganze Phrase eingeben?
weil es aus leicht zu merkenden Wörtern besteht und wenn ich neben dir stehe und sehe, dass ich nach Süden gehe, brauche ich den zweiten Moment, um mich zu erinnern und ein bisschen nach verschiedenen Fortsetzungen zu suchen, während du mich versehentlich schreiben gesehen hast I5dtSP Ich bezweifle sehr, dass Sie sich in ein paar Sekunden daran erinnern werden, und ich bin sicher, dass Sie niemals eine Fortsetzung finden werden. Auch ein Passwort mit der Länge von 120 klingt ziemlich unrealistisch.
Das einfache Passwort ist ** nicht ** sicher gegen einen Brute-Force-Angriff. Sie gehen fälschlicherweise davon aus, dass bei einem Brute-Force-Angriff immer zuerst alle Permutationen von 1-Zeichen-Passwörtern im Zeichensatz, dann Permutationen von 2 Zeichen usw. ausprobiert werden. Bei einem Brute-Force-Attach können Sie jedoch auch zuerst alle Passwörter mit 1-100 Zeichen versuchen, die aus dem gleicher Buchstabe, als alle Passwörter mit 1-100 Zeichen, bestehend aus Permutationen aus zwei verschiedenen Buchstaben usw. Dieses Passwort wird innerhalb weniger hundert Versuche gefunden.
Im Grunde hast du recht, ich habe es geändert. Ich war in diesem Fall nicht genau. Aber die ganze Idee ist immer noch, dass diese Art von Passwort nicht stark ist und es besser ist, etwas mit höherer Entropie zu verwenden
/ me verwendet eine Passphrase mit 52 Zeichen ...
@ewanm89 Sie haben nur eine Passphrase? Tut tut.
@polynomial natürlich nicht, aber einer der vielen, die ich benutze, ist 52 Zeichen lang.
Thomas Pornin
2012-11-25 08:48:14 UTC
view on stackexchange narkive permalink

Faustregel 1: Wenn es leicht zu merken ist, ist es für den Angreifer leicht zu erraten. (In die andere Richtung funktioniert es nicht: Einige Passwörter sind leicht zu erraten und immer noch teuflisch schwer zu merken.)

Faustregel 2: wenn das Passwort in einigen Fällen witzig aussieht übrigens dann ist es ein schlechtes passwort. Witz ist schlecht . Für gute Passwörter benötigen Sie Zufälligkeit.

Stellen Sie sich vor, Sie beschreiben eine Methode für eine Reihe von Benutzern, die ihre Passwörter auswählen müssen. eine Art Politik, die per Definition öffentlich ist (also dem Angreifer bekannt). Ihre Richtlinie würde folgendermaßen aussehen: "Wählen Sie einen Buchstaben aus, wiederholen Sie ihn zwischen 15 und 30 Mal und fügen Sie dann eine Ziffer hinzu". Wie viele mögliche Passwörter kann ein solcher Prozess liefern? 4160. Das sind 26 (für die Wahl des Buchstabens) mal 16 (eine ganze Zahl im Bereich von 15 bis 30) mal 10 (für die letzte Ziffer). Daher kann ein Angreifer das Kennwort mit höchstens 4160 Versuchen und einem Durchschnitt von 2080 wiederherstellen. Das ist erbärmlich niedrig. etwa 12 Bit Entropie.

Länge ist keine Stärke . Ein Passwort ist aufgrund seiner Länge nicht sicher. Ein Passwort ist sicher, da es viele mögliche Werte hat. Sie benötigen einen Passwortgenerierungsprozess , der mit einheitlicher Wahrscheinlichkeit eine Unmenge verschiedener Passwörter erzeugen kann, damit der Angreifer nicht erraten kann, welches Sie tatsächlich erhalten haben. Das Beste, was der Angreifer tun kann, ist, sie alle (in beliebiger Reihenfolge) auszuprobieren. Dies wird nach durchschnittlich einer halben Million Versuchen erfolgreich sein. Die einheitliche Wahrscheinlichkeit ist hier sehr wichtig und disqualifiziert die Auswahl Ihres Passworts nur mit Ihrem fleischigen Gehirn. Die Passwortlänge muss ausreichen, damit die Unmenge riesig ist, aber das ist indirekt. Es ist nicht die Länge, die das Passwort stark macht; Es ist vielmehr so, dass ein sehr kurzes Passwort nicht sicher sein kann. Sobald Sie jedoch 13 oder 14 Zeichen erreicht haben, haben Sie die gesamte Länge, die Sie benötigen, um eine lächerliche Anzahl möglicher Passwörter aufzunehmen.

AJ Henderson
2012-11-14 03:13:07 UTC
view on stackexchange narkive permalink

Aus theoretischer Sicht ist es nicht sicherer, weil es keine Zufälligkeit gibt. Aus praktischer Sicht ist es mit einigen geringfügigen Änderungen ziemlich gut. Wenn Ihr Passwort nicht zufällig ist, laufen Sie immer Gefahr, dass jemand Code schreibt, der Ihr Passwort schnell findet. Zum Beispiel wäre es einfach genug, einen beliebten Wörterbuchangriff zu ändern, um zu versuchen, Buchstabenketten unterschiedlicher Länge anzuhängen, und jetzt sehen Sie sich nur 26 * 26 * Wörter im Wörterbuch an, um das Kennwort anzugreifen. Das ist viel VIEL kleiner als 36 bis zur 26. Potenz (was die Schwierigkeit mit wahrer Entropie wäre.)

Das heißt, aus praktischer Sicht. Wenn Sie ein Passwort an das Ende des Passworts setzen, das normalerweise zu kurz ist, um eine ausreichende Entropie bereitzustellen, aber dennoch resistent gegen Wörterbuchangriffe ist, würden Sie das Erraten Ihres Passworts praktisch viel schwieriger machen, solange Sie es nicht eingeben . Wenn jemand, der beobachten könnte, dass Sie Ihr Passwort mit brutaler Gewalt brechen möchten, wären Sie jedoch nur unwesentlich sicherer als die Entropie des Passworts, das Sie am Ende eingeben.

Im Allgemeinen Angriffsszenarien Die meisten Brute-Force-Angriffe werden jedoch gegen große Mengen von Passwörtern ausgeführt, um zu versuchen, die niedrig hängenden Früchte zu finden. Ihr Ansatz würde Sie wahrscheinlich vor solchen allgemeinen Angriffen schützen, aber nicht viel mehr, als wahrscheinlich 3 oder 4 zufällige Buchstaben, Zahlen oder Symbole am Ende Ihres Passworts hinzuzufügen, was nicht viel schwerer zu merken und viel einfacher zu merken ist Art. (Diese 3 bis 4 basieren auf der Tatsache, dass es in reinen Entropie-Begriffen nur 26 * 26 oder so ist, was dem Äquivalent von 2 mehr zufälligen Buchstaben entspricht. Ich gebe ihm mehr Entropie als in meiner Näherung basierend auf der Wahrscheinlichkeit eines Angreifers, um dieses Muster zu verwenden, was nur eine Vermutung ist.)

Chris Dale
2012-11-21 02:23:59 UTC
view on stackexchange narkive permalink

Warum sich mit einem einfachen Passwort beschäftigen? Ich bin mir sicher, dass ich mein 25 Zeichen langes Passwort schneller als Ihre 25 W eingeben kann.

Dies ist ein Grund, warum ich einen kurzen Zeitrahmen habe. <-- 46 Zeichen. Das nenne ich einfach. 25 (oder 46) w ist das, was ich dumm nennen würde. :)

Jon G
2012-11-14 07:20:50 UTC
view on stackexchange narkive permalink

Eine der besten mir bekannten Ressourcen finden Sie hier: GRCs Password Haystack

Hier wird erklärt, warum hohe Entropie nicht die Antwort ist, wenn es kommt zu Passwörtern. Sie können ein sehr sicheres Passwort erstellen, das immer noch leicht zu merken ist, indem Sie einige Dinge tun. Beginnen Sie mit einem leicht zu merkenden Passwort, z. B. $ 0DA (Soda, aber mit einigen einfachen Ersetzungen), und fügen Sie dann etwas Polster hinzu. Dies kann so einfach sein wie das Hinzufügen einiger Punkte davor und danach. Es wird jedoch empfohlen, ein eindeutigeres Auffüllschema zu wählen, z. B. <->. Fügen Sie dies einige Male vorher und nachher hinzu, damit Ihr endgültiges Passwort ungefähr so ​​aussieht: <-> < -> $ 0DA<-> <->

Laut dem Taschenrechner auf der oben genannten Website, Bei einem massiven Cracking-Szenario von einhundert Billionen Vermutungen pro Sekunde würde das Erraten 8,52 hunderttausend Jahrhunderte dauern.

[Vermeiden Sie alles, was von Steve Gibson gemacht wurde.] (Http://attrition.org/errata/charlatan/steve_gibson/)
Was @Polynomial gesagt hat. Auch diese Antwort ist einfach falsch.
Interessant. Ich hatte nicht gehört, dass er nicht seriös war. Ich fange gerade erst in diesem Bereich an und die Erklärung machte Sinn. Ich verstehe nicht, wie diese Methode kein sicheres Passwort erstellen würde.
@AviD Können Sie die Unrichtigkeit näher erläutern? Ist es die Behauptung, dass Entropie nicht die Antwort ist, oder die Verwendung von Pads auf leicht zu merkenden Passwortwurzeln?
@schroeder einige Aspekte: Hohe Entropie * ist * wichtig, aber nicht unbedingt Entropie pro Zeichen - mit anderen Worten, eine lange Passphrase nur in Großbuchstaben kann mehr * Gesamt * Entropie liefern als ein kurzes komplexes Passwort (Stichwort xkcd und korrekte Pferde) . Auch viele Passwort-Cracker sind mit den gängigen Ersetzungen und Präfix- / Suffix-Schemata vertraut. Und natürlich werden die Tools, sobald Sie ein brandneues Shooper Sheekret Shcheme entwickeln, dieses auch unterstützen (gemäß Kerkhoffs Gesetz). Und dieses Passwort ist * immer noch * nicht leicht zu merken und richtig einzugeben.
Um dies hinzuzufügen: Der Rechner auf der oben genannten Website sagt, dass "Password123!"Es wird 1,74 Jahrhunderte dauern, bis ein Massive Cracking Array gebrochen ist.Es ist in einem Wörterbuch.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...