Frage zu Passwortsicherheit

[Ro155]

Heyho,

ich habe mal eine allgemeine Frage zu Passwortsicherheit: Man sollte diese doch grundsätzlich auf Basis von "Bits" anstatt von der PW-Länge beurteilen, richtig? KeePass z.B. zeigt ja die Bit-Stärke eines Passwortes an, wenn man eines eingibt...

Nun frage ich mich noch folgendes: Angenommen, ich habe eine TrueCrypt-HDD, wird ein Angreifer dann versuchen, das PW zu knacken (er weiß ja nicht, ob es Keyfiles gibt oder nicht, ergo weiß er auch nicht, ob es Sinn macht, das PW zu knacken zu versuchen), oder wird er einen direkten Angriff versuchen?

Und macht es Sinn, ein PW zu verwenden, dessen Bit-Zahl höher ist als die Bitzahl des Verschlüsslungsalgorithmusses? Also z.B. bei AES braucht man ja kein PW, welches eine höhere Bitzahl hat, als 256Bit, richtig?

Danke schonmal!

 

[serra.avatar]

also nen Angreifer wird nicht versuchen die Truecrypt Verschlüsselung zu knacken, sondern eher dessen Implemetierung, a. einfacher b. vielversprechender ... Endeffekt aber der Gleiche ob ichs nun knacke oder umgehe ...

 

[Ro155]

ja was meinst du mit dessen implementierung? du meinst also den algorithmus direkt angreifen? das hieße ja aber, dass es egal ist, ob mein passwort nun 160bits oder 250bits hat, weil wenn sie eh den algorithmus und nicht das PW knacken...!?

 

[DjNDB]

Wenn ich Angreifer wäre, dann würde ich:
- Wenn ich Zugang zu deinem abgeschalteten Rechner hätte einen Keylogger (Hardware) in dein System einbauen, oder den Truecrypt Bootsektor manipulieren. Denkbar wäre auch ein manipuliertes BIOS zu flashen.
- Wenn der Rechner an, aber gesperrt wäre, den Arbeitsspeicher per Firewire auslesen, falls vorhanden.
- Wenn ich keinen physischen Zugang zu deinem Rechner hätte, dann würde ich mir diesen per social engineering beschaffen. Alternativ könnte ich auch gezielt Exploits anwenden um dich anzugreifen.

Brute Force ist nur was für irre oder Leute mit enormen Rechenkapazitäten.

 

[Ro155]

Deine Szenarien klingen gut, aber sowas würde wohl erst bei Terroristen eingesetzt; wohl kaum bei "normalen" Leuten, bei denen z.B. aufgrund von Warezdownloads eine Hausdurchsuchung angesetzt ist oder ähnliches.

 

[chancaine]

Ach daher weht der Wind. Da würdest Du wohl einfach dazu verpflichtet werden, zu kooperieren.

 

[Ro155]

Es war extra hypothetisch formuliert Und ja, ich verschlüssle Aus Privatgründen. Ein Terrorist, Kipo-Verbreiter/Konsument o.ä. bin ich nicht

P.s.: Zwang zur Rausgabe des Passwortes gibts zum Glück nicht in DE!