Anforderungen an sicheres Passwort?
- Ersteller CyborgBeta
- Erstellt am
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.729
Das mit der sicheren Entropie kommt daher, dass man bei einem sicheren System davon ausgehen muss, dass ein Angreifer ein vollumfaengliches Wissen ueber dein System hat, und es auch dann noch sicher sein muss.
Hat er das, und du verwendest eine unsichere Entropiequelle, dann kann der Angreifer gegebenenfalls das gleiche Passwort generieren.
Mal ein Beispiel, wenn du einfach nur die Zeit als Seed eines stinknormalen PRNG nimmst.
Du generierst ein Passwort. Wahrscheinlich, weil du es fuer irgendwas benutzen willst. Also registrierst du dich zeitnah bei einem Dienst oder resettest dein Password. Das weiss dein Angreifer. Wie, ist in diesem Szenario egal.
Hat er dann auch den Code mit dem du das Passwort erzeugst, kann er relativ schnell das selbe Passwort erstellen wie du. Immer noch Brute Force, aber mit einem wesentlich verkleinerten Angriffsraum.
Bei einem sicheren Zufallsgenerator besteht diese Gefahr nicht.
Hat er das, und du verwendest eine unsichere Entropiequelle, dann kann der Angreifer gegebenenfalls das gleiche Passwort generieren.
Mal ein Beispiel, wenn du einfach nur die Zeit als Seed eines stinknormalen PRNG nimmst.
Du generierst ein Passwort. Wahrscheinlich, weil du es fuer irgendwas benutzen willst. Also registrierst du dich zeitnah bei einem Dienst oder resettest dein Password. Das weiss dein Angreifer. Wie, ist in diesem Szenario egal.
Hat er dann auch den Code mit dem du das Passwort erzeugst, kann er relativ schnell das selbe Passwort erstellen wie du. Immer noch Brute Force, aber mit einem wesentlich verkleinerten Angriffsraum.
Bei einem sicheren Zufallsgenerator besteht diese Gefahr nicht.
Der Artikel spricht von Shannon Entropie. Das ist nicht genau das selbe wie wenn man von Entropie im Kontext einer "Entropiequelle" für Passwörter spricht.CyborgBeta schrieb:
Aber:
Ja, das dĂĽrfte korrekt sein.
Ich denke aber nicht, dass mehr Entropie automatisch ein sichereres Passwort ergibt. Das ist nur eine sehr technische "low-level" Metrik, die z.B. Sprachen nicht berĂĽcksichtigt.
LotusXXL
Lt. Junior Grade
- Registriert
- Sep. 2024
- Beiträge
- 505
Was ist denn ein sicherer Zufallsgenerator?Ranayna schrieb:
Ich habe den Eindruck, dass hier etwas zu viel Theorie vorherrscht und von extremen Szenarien ausgegangen wird.
100 % sicher ist nichts, aber ich hatte bisher in den vielen Jahren noch nie Sicherheitsprobleme mit einem der ĂĽber Powershell generierten Kennwort.
Zuletzt bearbeitet:
- Registriert
- Jan. 2021
- Beiträge
- 3.058
Es kommt vielleicht auch darauf an, ob du auf einer Fahndungsliste des FBI/NSA stehst oder nicht. 
(Bisschen Spaß muss sein) Aber auch dann gäbe es wahrscheinlich günstigere Angriffsvektoren.
Ne, ich glaube, es kommt darauf an, ob du fĂĽr andere sehr interessant bist. Wie schon geschrieben, ab einem Kontostand von 10 Mio. wĂĽrde ich mir Sorgen machen um Onlinebanking usw.
Und dann ist, wie auch schon geschrieben wurde, in erster Line Social-Engineering einfacher. Ein vermeintlicher Arbeitskollege von deinem Unternehmen ruft dich an, und benötigt noch dringend kurz Zugang zu deinem Account oder so, bevor Montag die Präsentation fertig sein muss. (Irgendwie so etwas)
Oder jemand verwendet einen kompromittierten USB-Stick, der nur kurz einmal an den laufenden Computer eingesteckt werden muss.
Hier noch das, was @BeBur angedeutet hat:
(Bisschen Spaß muss sein) Aber auch dann gäbe es wahrscheinlich günstigere Angriffsvektoren.Ne, ich glaube, es kommt darauf an, ob du für andere sehr interessant bist. Wie schon geschrieben, ab einem Kontostand von 10 Mio. würde ich mir Sorgen machen um Onlinebanking usw.
Und dann ist, wie auch schon geschrieben wurde, in erster Line Social-Engineering einfacher. Ein vermeintlicher Arbeitskollege von deinem Unternehmen ruft dich an, und benötigt noch dringend kurz Zugang zu deinem Account oder so, bevor Montag die Präsentation fertig sein muss. (Irgendwie so etwas)
Oder jemand verwendet einen kompromittierten USB-Stick, der nur kurz einmal an den laufenden Computer eingesteckt werden muss.
Ergänzung ()
Hier noch das, was @BeBur angedeutet hat:
Zuletzt bearbeitet:
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.729
Zum Glueck ist das alles fuer mich auch nur Theorie. Ich arbeite nicht an sicherheitsrelevanter Software. Ich koennte vermutlich nicht ruhig schlafen wenn das anders waere, denn wie du sagst, 100%tige Sicherheit gibt es nicht.LotusXXL schrieb:
Was einen kryptografisch sicheren Zufallsgenerator ausmacht wird hier beschrieben:
https://en.wikipedia.org/wiki/Cryptographically_secure_pseudorandom_number_generator
Ă„hnliche Themen
