Der-Orden-Xar schrieb:
Nein kein Schwachsinn, sondern ganz einfache Theorie:
Wenn ich mich nicht verrechnet habe machen 8 Zeichen davon je 1 Groß-, Kleinbuchstabe und Zahl bei einer 72 Zeichen starken Grundmenge eine etwa um eine Zehnerpotenz weniger Möglichkeiten als ohne die Restriktionen bei gleicher Länge & Grundmenge.
Der reinen Theorie nach ja. Bezieht man aber mal die Realität mit ein, bei der erstmal Wörterbuchattacken gefahren werden, helfen Zahlen und Sonderzeichen gegen die Abwehr des Angriffs direkt ungemein.
Azdak schrieb:
Und genau das ist leider der Hacken an der Sache. Ja, ein komplexes Passwort ist besser als ein weniger komplexes gleicher Länge. Wenn das aber erzwungen wird, dann dreht sich das. Der Schlüsselraum wird durch die Vorgabe kleiner. Das erzwingen führt eben nicht zur Wahl von besseren Passwörtern. Im Extremfall hat man Richtlinien, die dann so aussehen wie Crowbar sie beschrieben hat.
Die Leute nutzen weiter Passwörter, mit denen du in Nullkommanichts in den Systemen bist. Dann ist das erste Passwort Passwort1!, drei Monate später Passwort2" und weitere 3 Monate später Passwort Passwort3§.
Gute Passworter kann man leider nicht erzwingen! Die einzig sinnvolle Vorgabe ist die Länge und hier gilt je länger um so besser. Alles andere ist unterm Strich kontraproduktiv.
Und ohne die Richtlinie wäre es halt Jahrelang
Passwort, also noch schwächer. Wenn man es wirklich drauf anlegen will, kann man die Richtlinien so gestallten, dass halbwegs sichere Passwörter rauskommen, also erstmal das PW und beliebige Substrings gegen ein Wörterbuch abgleichen und so ganze Worte rauswerfen. Dann verhindern dass mehr als 3 Zeichen im neuen PW in der gleichen Reihenfolge auftauchen wie im Alten. Wer es unbedingt ganz hart will, kann auch erzwingen, dass Zahlen und Sonderzeichen nicht gruppiert am Ende stehen. Das schränkt den Schlüsselraum in der Theorie natürlich deutlich ein, sollte aber gegen die üblichen 0815 Wörterbuchangriffe etc. einen deutlich besseren Schutz bieten.
Wenn ich es auch gegen gezielte Angriffe absichern will, sollte ich erstmal über Mitarbeiterschulungen & Backgroundchecks nachdenken, da der soziale Angriffsvektor da fast immer zieht. Dazu Authentifizierung nur noch gegen kryptographische Methoden, SmartCards, Tokens etc. lassen grüßen.
Die Theorie über Schlüsselraumgröße etc. ist immer eine schöne Sache. Baue ich aber ein System für einen Kunden, muss ich die Realität anschauen und die Angriffe, gegen die ich verteidigen muss. Und dann weicht die beste Strategie schonmal von der Theorie ab.
