Grundlegende Frage zu Passwortlänge VS Anzahl möglicher Zeichen

[New_User]

Hallo,

Ich lese öfters etwas über die "Qualität" von Passwörtern und frage mich, folgendes bereits wissend:

• Die Anzahl möglicher Kombinationen errechnet sich aus (Anzahl möglicher Zeichen)^Passwortlänge Bsp. alle Kleinbuchstaben & Passw. 4 Zeichen, ergibt 26^4 = 456.976 Kombinationen (aaaa bis zzzz).
• Passwortqualität = Kombinationen in bits, also ln(Kombinationen)/ln(2) = 18,802 denn 2^18,802 = 456.976, also eine Folge von 18 Einsen und Nullen.

Gut soweit, dies zeigt, dass die Passwortlänge "wichtiger" ist als die Anzahl MÖGLICHER Zeichen ist.
DENN:
Ein Algorithmus für eine Brute Force Attacke muss doch von allen möglichen Zeichen ausgehen, sprich alle möglichen Zeichen ausprobieren (max 256 minus Formatierungszeichen CR, LF, TAB etc.) (Bei KeePass sind es 26 Groß + 26 Klein + 10 Zahlen + 22 Sonderzeichen + 8 Klammern + 94 lateinische Zeichen = 186 Zeichen)

So jetzt die Frage: Wenn das Programm eh ALLE 186 Zeichen durchgehen muss, so ist es doch völlig egal welche Zeichen man verwendet, sprich ein Passwort "abcdef" ist genauso sicher wie "1Z-[b" oder etwa nicht, denn viele Sites verlangen Sonderzeichen und Zahlen.
Danke für Eure aufklärenden Antworten

 

[Oli_P]

Interessante Frage... Unter den Umständen könnte ein Passwort ja auch aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa sein Bin mal gespannt auf die technisch versierten Antworten zu dieser Frage.

 

[xxMuahdibxx]

Und du weißt in welcher Reihenfolge das Programm durchtestet?

Ist dann zzz nicht auch sicherer als aaa?...

 

[Oli_P]

Es wäre demnach egal? Aber wie fängt eine Brutforce-Attacke überhaupt an? Gibt es das Passwort, welches immer als erstes oder letztes versucht wird?

 

[tRITON]

Tools versuchen, genau das zu optimieren, sprich, ein Passwort ist eher weniger AAAAA als ABCDE, so arbeitet zumindest HASHCAT.

Auch kann ein PW mit nur Buchstaben daher ggfls. doch schneller gefunden werden, wenn man erst ABC usw. probiert, als AB!. Von daher ist zwar die Verteilungswahrscheinlichkeit gleich, aber je nach Algorythmus eben doch ein Unterschried vorhanden.

Btw. ist die länge des PWs heute eher entscheidend, als die Zeichen dafür. die Komplexität erhöht sich mit jedem Zeichen mehr erheblich und das ist am Ende, was pre Quantenkryptographie entscheidend ist, wie sicher ein PW ist.

 

[Lumiel]

Im Grunde sollte das so sein. Die Passwortlänge ist der entscheidende Punkt. Je länger, umso besser.... Aber eines sollte man nicht vergessen: So ein Passwort könnte auch einfach erraten werden, indem man Dinge einbezieht, die betreffende Person angeht. Ein Passwort wie z. B. "IchBinNeunzehnhunder97Geboren", mag zwar viele Zeichen enthalten, ist aber, wenn es nicht von Maschinen erraten werden soll, sicher einfacher herauszubekommen, als ein Passwort mit Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Beide Methoden haben also ihren Vorteil. Ich würde also sehen, dass ich ein langes Passwort verwende, das am besten keinen Aufschluss über mich zulässt.

Ich bin da kein Profi, dass sind einfach nur meine Gedanken dazu.

VG

 

[TechFA]

• Die Anzahl möglicher Kombinationen errechnet sich aus (Anzahl möglicher Zeichen)^Passwortlänge Bsp. alle Kleinbuchstaben & Passw. 4 Zeichen, ergibt 26^4 = 456.976 Kombinationen (aaaa bis zzzz).

Irgendwie hast Du da einen Denkfehler drin … Weil es ist nicht 26⁴, sondern 4²⁶, was exakt 4.503.599.627.370.496 oder 4,5 Billiarden Kombinationen entspricht. Billiarden, mit einem B!

Also nein: Die Anzahl möglicher Kombinationen errechnet sich nicht aus Anzahl möglicher Zeichen × Passwortlänge, sondern umgekehrt Passwortlänge × Anzahl möglicher Zeichen.
Es ist demnach Passwortlänge mal mögliche Zeichen als Potenz.

 

[Oli_P]

Aber worauf vielleicht drauf hingeangen werden soll ist die Aussage, dass klassische Passwörter schlecht sind. Zumindest als einzelner Faktor. Und ja, die Länge machts beim Passwort. Und was das Passwort dann am Ende ist, z.B einfach nur das komplette abc aufgezählt (26 zeichen), ist dann egal. Weil dann haste 26 Zeichen-langes Passwort. tuste noch eine +1 am Anfang und ein $ am Ende und A und Z groß. Haste sicheres Passwort?

 

[calippo]

sprich ein Passwort "abcdef" ist genauso sicher wie "1Z-[b"

Ich vermute mal, dass Brute Force Attacken nicht mit Zufallsgenerator (also mit beliebigen Passworten in ungeordneter Reihenfolge) gestartet wird, sondern dass zunächst einfache Passwörter und geleakete Passwortlisten (=am häufigsten genutzte Passwörter) getestet werden.

 

[Oli_P]

Ja, Sicherheitslücken in irgendwelchen Webdiensten und die Angreifer kriegen die Zugangsdaten der User.

 

[kieleich]

Ein Algorithmus für eine Brute Force Attacke muss doch von allen möglichen Zeichen ausgehen

Man geht davon aus das der Angreifer dich kennt (Geschwister, Ex-Partner, ...) und somit auch über deine Gewohnheiten Bescheid weiss.

Also die Art und Weise wie du Passwörter verwendest ist kein geheimnis sondern nur welche konkrete form das passwort angenommen hat.

Und da kommt es dann, ganz alleine auf die Entropie an. XKCD 936 erklärt es. Du brauchst einen gewissen Zeichensatz (n bits pro Zeichen) und dann muss per ZUFALL ausgewählt werden bis du auf eine sinnvolle Anzahl Bits Entropie kommst (z.B. 44 Bit Entropy oder mehr).

 

[Oli_P]

Wenn man aber einen Passwort-Generator nutzt und für verschiedene Zugänge den Generator anders einstellt, dann kann man ja kein Muster mehr erkennen. Aber dann kannste dir das Passwort auch nicht mehr merken vielleicht.

 

[foxhunter]

Irgendwie hast Du da einen Denkfehler drin … Weil es ist nicht 26⁴, sondern 4²⁶, was exakt 4.503.599.627.370.496 oder 4,5 Billiarden Kombinationen entspricht. Billiarden, mit einem B!

Der TE hat nur mit 4 Passwortzeichen gerechnet:
1.PWD-Zeichen: eins von 26 möglichen Zeichen (a-z)
2.PWD-Zeichen: eins von 26 möglichen Zeichen (a-z)
3.PWD-Zeichen: eins von 26 möglichen Zeichen (a-z)
4.PWD-Zeichen: eins von 26 möglichen Zeichen (a-z)
Ergibt nach Adam Riese 26^4 Möglichkeiten.

 

[qiller]

@TE Du darfst Wörterbücher bzw. Rainbowtables nicht vergessen. Jedes "Wort" o. Zeichenkette und wenns eben nur "abcdef" ist, zählt dann praktisch nur als 1 Zeichen. Also ein Passwort wie "Hänschenkleingingallein" ist praktisch nur so viel wert, wie "7+Bh", weil es einfach aus 4 in Wörterlisten vorhandenen Wörtern besteht. Daher sind auch die häufig anzutreffenden Passwörter "Nachname+Geburtsjahr+!" komplett fürn Po.

 

[TechFA]

So jetzt die Frage: Wenn das Programm eh ALLE 186 Zeichen durchgehen muss, so ist es doch völlig egal welche Zeichen man verwendet, sprich ein Passwort "abcdef" ist genauso sicher wie "1Z-[b" oder etwa nicht, denn viele Sites verlangen Sonderzeichen und Zahlen.

Du mußt die Logik dahinter verstehen. Beispielsweise hat ein rein numerisches Paßwort (0–4) mit der Länge von bloß 4 Stellen genau 256 verschiedene Kombinationsstellen: Paßwortlänge × Anzahl möglicher Zeichen, ergo 4⁴. Ein Paßwort mit 0–9 schon 1.048.576, also 1 Million mögliche Kombinationen.

Ein Paßwort mit der selben 4-stelligen Länge mit einfach alpha-numerischem Inhalt (schreibungsunabhängig) hat demnach aber schon eine exorbitant höhere Komplexität: 4 hoch 10 Ziffern (0–9) + 26 Buchstaben (A–Z), ergo 4³⁶.
In Summe 4.722.366.482.869.645.213.696, also 4,72 Trilliarden mögliche Kombinationen.

Sobald die Variabilität der erlaubten Zeichen ansteigt (Groß- & Kleinschreibung, Satzzeichen, Sonderzeichen), steigt auch buchstäblich exponentiell die Komplexität als Folge davon.

@foxhunter Ich glaube wir reden hier irgendwie aneinander vorbei …

 

[E.o.B]

Ein Paßwort mit 0–9 schon 1.048.576, also 1 Million mögliche Kombinationen.

Ähm nein, die Potenz ist die Anzahl der Zeichen im PW...
(10 Mögliche Zeichen aus dem Pool) * (10 Mögliche Zeichen aus dem Pool) * (10 Mögliche Zeichen aus dem Pool) * (10 Mögliche Zeichen aus dem Pool) = 10 hoch 4 und nicht 4 hoch 10

* Hier wird es einem nochmal ausführlich vorgerechnet: https://www.1pw.de/brute-force.php

 

[AI-Nadja]

Kein gutes Brute Force Tool hat nur die Option chronologisch die Zeichen durchzugehen und anschließend, um ein zusätzliches Zeichen zu erweitern. So etwas passiert vielleicht im Studium, wenn man sein erstes Tool dafür erstellt hat.

Es gibt mittlerweile viele Datenbanken mit den meistgenutzten Passwörtern, welche empfehlenswert zuerst durchlaufen. Ein Passwort wie "password1", "monkey" oder "1q2w3e4r" wird damit in weniger als eine Sekunde erraten.
Jeder Datenleak mit neuen Passwörtern sorgt dafür, dass selbst die "guten" Passwörter zukünftig "sofort" erraten werden, besonders wenn diese "guten" Passwörter mehrmals vorkamen.

Außerdem ist der Mensch ziemlich faul!
Die meisten Hinweise zu guten Passwörtern sagen, man soll "Groß- und Kleinbuchstaben", "Zahlen" und "Sonderzeichen" nutzen. Nach dieser Logik wäre es das Dümmste, wenn man es exakt so übernimmt! Zuerst ein Großbuchstabe, dann Kleinbuchstaben, was dummerweise ein Wort ergibt, dann 1-4 Zahlen, was dummerweise ein Geburtsdatum ergibt und anschließend 1 Sonderzeichen, was dummerweise eines der ersten vorgeschlagenen Zeichen ist, welche leicht merkbar positioniert sind, also # ! ? . - +
Und wenn min. 8 Zeichen vorgeschlagen werden, wählt man Passwörter mit 8-12 Zeichen.

Das ist die perfekte Grundlage, das Tool auf ein Muster zu optimieren, welches zuerst das Wörterbuch nach beliebten Wörtern durchgeht, dann typische Geburtsdaten und anschließend diese vier Sonderzeichen.
Ein Passwort, welches theoretisch 1 Jahr benötigen würde, kann so in wenigen Stunden erraten werden.

 

[kieleich]

36^4 nicht 4^36

und das auch nur wenn sich Zeichen beliebig wieder holen dürfen bei der Zusatzregel "mindestens je 1 Groß Klein Zahl Zeichen" mit vier Stellen ist dann nur 26 (Groß) * 26 (Klein) * 10 (Zahl) * 10 (Sonderzeichen je nachdem) und dann noch paar Bit für die beliebige Reihenfolge...

Passwörter mit 4 Stellen sind Quatsch es sei denn du machst Chinesisch mit 50000 Piktogrammen

 

[Oli_P]

Ich lass neue Passwörter nur noch mit mindestens 20 zufälligen Zeichen erstellen. Die kenn ich selbst noch nicht mal mehr. Das entsperren eines Zugangs erledige ich dann anders.

 

[tollertyp]

Irgendwie hast Du da einen Denkfehler drin … Weil es ist nicht 26⁴, sondern 4²⁶, was exakt 4.503.599.627.370.496 oder 4,5 Billiarden Kombinationen entspricht. Billiarden, mit einem B!

Korrekt. Kann man sich bei PINs, die nur aus Zahlen bestehen, immer leicht "herleiten".
Ein Bank-PIN mit 4 Stellen hat 10.000 Möglichkeiten, von 0000 bis 9999. Das ist dann nicht 4^10 sondern 10^4.

Ich lass neue Passwörter nur noch mit mindestens 20 zufälligen Zeichen erstellen. Die kenn ich selbst noch nicht mal mehr. Das entsperren eines Zugangs erledige ich dann anders.

Eben, ich kenne quasi kein einziges Passwort mehr auswendig. Ganz selten kommt es mal vor, dass ich so ein Passwort manuell abtippen muss - dann ist es halt so.

Passwörter mit 4 Stellen sind Quatsch es sei denn du machst Chinesisch mit 50000 Piktogrammen

Wobei man bei dieser Aussage darauf hinweisen kann, dass ein Passwort, wenn es "sicher gespeichert" ist, z.B in einem TPM, auch mit 4 Zeichen sehr sicher sein kann.