ComputerBase Menü
Aktuelles

Warum ist ein Passwort nur aus Zahlen nicht sicher?

  • Ersteller Ersteller Philipp692
  • Erstellt am Erstellt am
Spiczek schrieb:
Auf jeden Fall dauerte es mehrere Millionen Jahre für ein Passwort mit 16 Zeichen unterschiedlicher Art.
Zum Vergrößern anklicken....
Oder nur 0,0001 Sekunden, wenn der erste Versuch schon das Passwort ist ;)
Am Ende gibt der Wert nur an, wie lange es dauert bis alle möglichen Kombinationen durchprobiert sind. Das Passwort wird man schon früher finden. Trotzdem ist natürlich länger besser.

Und weils so schön ist, ein relevanter xkcd:
password_strength.png
 
  • Gefällt mir
Reaktionen: morb und tha_mos
conf_t schrieb:
Der Punkt ist, wenn der Brute-Force-Abgreifer weiß, dass nur Zahlen genutzt werden stimmt das. Wenn die aber alle Symbole ausprobiert werden und das Passwort nur aus Zahlen besteht, dann kann es länger dauern, je nach dem welche Symbole die angreifende Software als erstes wählt. Wenn sie direkt mit Zahlen anfängt, Pech gehabt
Zum Vergrößern anklicken....
Ja, volle Zustimmung. Die berechneten Zeiten gelten mehr oder weniger nur theoretisch. Trotzdem gilt: je komplexer das Kennwort, desto größer ist die Wahrscheinlichkeit, dass es länger dauert, es zu knacken. Auch ein Kennwort aus ganz vielen "1" kann theoretisch erst spät probiert werden - aber es ist immer besser, so viele verschiedene Zeichen wie möglich zu verwenden, Stichwort Entropie.
yxcvb schrieb:
spätestens seit den jüngsten Hacks sind Seiten wie Have I been pwned? bekannt und äußerst hilfreich.

Hier können Nutzer ihre E-Mail-Adresse eingeben, um prüfen zu lassen, ob der Account bei Datenleaks betroffen war. Eine weitere Möglichkeit, die die Website bietet, ist die gezielte Suche nach betroffenen Passwörtern.
Zum Vergrößern anklicken....
Have i been pwned? Ist eine geniale Website. Dort kann man übrigens auch seine eigenen Kennwörter prüfen, ohne diese selbst zu offenbaren, indem man einen Hashwert bildet und dann einen Teil des Hashwerts hochlädt. Man erhält dann alle passenden Hashwerte und kann nachschauen, ob der eigene dabei ist.
Ich verstehe vor dem Hintergrund nicht, warum nicht alle Onlinedienste diesen Check automatisch machen und somit verhindern, dass die User ein bereits geknacktes Kennwort verwenden.
Das Problem bei den bereits geknackten Passwörtern ist nämlich, dass die in sogenannten Rainbow Tables landen, die dafür sorgen, dass bei einem Leak auch gehashte Kennwörter leichter geknackt werden können. Also selbst wenn ein Anbieter eine gehashte Kennworttabelle "verliert", sollte man umgehend sein Kennwort ändern.
 
Pyrukar schrieb:
IdR ist es einfacher die Datenbank in der die Passwörter gespeichert sind zu knacken ... allzuviele Datenbankbetreiber sehen es nicht für nötig ihre Datenbanken zu verschlüsseln, wodurch dort die Passwörter regelmäßig in die Falschen hände gerät :)
Zum Vergrößern anklicken....
Naja, PW werden bei jedem einigermassen seriösen Betreiber aber nicht im Klartext gespeicht sondern Gehasht mit Salt.
Es ist heute aufwändig eine PW Datenbank zu haben welche PW im Klartext speichert, weil alle grösseren CMS oder andere Softwaremodule schon längst standartmässig gehasht sind.
Ein sicheres Passwort und verschiedene PW pro Dienst sind heute schon sehr safe. Wenn man nicht alle Links wie wild anklickt, Bugs vorhanden sind welche „man in the Middle“ attacken oder ein direktes abgreifen des PW direkt bei der Eingabe ermöglichen, ist man gut aufgestellt.
 
1621756662936.png

abhängig von eventuellen einschränkungen beim jeweiligen dienst kannst du mit einem generator echt unmöglichen zeichenmist erzeugen.
den kannst du mit einer tastatur aber auch kaum mehr eingeben :alien_alt:
 
  • Gefällt mir
Reaktionen: awanagana
Das Rechnen mit rein numerischen Werten lässt sich sowohl auf der Hardware als auch im Code stark optimieren.
Außerdem sind von Menschen gewählte numerische Passwörter einer gewissen Häufigkeitsverteilung unterworfen.
Die Wahrscheinlichkeit, dass das Durchprobieren von häufig verwendeten numerischen Passwörtern schneller geht, als das Ausprobieren aller sich logisch ergebenden Möglichkeiten ist nicht gering.
 
@cartridge_case: Da es hier um Passworteingaben geht könntest du mir demonstrieren wie du auf deiner Tastatur ein großes ß schreibst?
 
Das "ß" würde ich bei Passwörtern mittlerweile sowieso komplett meiden, weil es scheinbar von Windows/Android und iOS unterschiedlich interpretiert wird.

Auf deutsch: mit einem Passwort mit "ß" was auf einem Windows-Rechner vergeben wurde und auf einem Android-Handy problemlos funktioniert, kann ich mich auf dem iPad reproduzierbar nicht anmelden.
 
  • Gefällt mir
Reaktionen: BeBur
Ich halte ja den ganzen bisherigen Ansatz für "sichere Paßwörter" für komplett absurd.

Kein Mensch ohne erbeutete Hashes probiert stupide alle möglichen Kombinationen stur der Reihe nach durch.

Ich mein, wenn ich SICHER sein will, daß mein Zugang geschützt ist, dann nehme ich doch nicht den bescheuertst-möglichen Einbrecher an -- sondern ich geh davon aus, daß der Mensch mir mindestens ebenbürtig, im Normalfall fleißig überlegen ist (natürlich fällt es dann mit der Vorstellungskraft schwer). Also muß ich so ehrlich sein und sagen:
(a) natürlich fängt der interessierte Angreifer mit den üblichen Kombinationen an. Auch ein Angreifer kann Paßwortstatistiken lesen und ggfs. selber erstellen und wird natürlich erstmal "123456" probieren.
(b) wenn er kann wird er ne Datenbank erstellen, sowas wie Rainbow Tables, wo der Hash in der Hand zu einem nutzbaren Text aufgelöst werden kann. Dieser Text muß nicht das echte PW sein - ist es erwartungsgemäß auch nicht -- er muß nur denselben Hashwert haben wie das ursprüngliche Paßwort.
DB lookup dauert vielleicht ein paar Minuten. Wenn die Hardware schwach war und Optimierungsarbeit fehlt.

(c) auch bei Paßwörtern gilt, auch wenn es nicht schön ist, das System "warum die Tür eintreten wenn das Fenster offen steht". Nur in ganz wenigen Fällen will Der Angreifer(tm) wirklich MEINE Daten haben. Meist genügt ihm irgendein Zugang. Und wenn aus der Liste von Hashes, die er hat, 50% der Hashes binnen 10s zu knacken sind und die anderen 50% nicht, dann sind erstmal die ersten 50% fällig. "Normalerweise" reicht das. Warum den Aufwand machen?


Entsprechend geht es NICHT darum, besonders lange oder besonders komplexe oder besonders IRGENDWAS zu verwenden. Es geht darum, möglichst ein "Unikat" von einem Paßwort zu haben.

Und JA. Man muß es ab und an ändern. Den Moment, wo ich mein (neues) Paßwort das erste Mal "im Internet" verwende, ist es per Definition kompromittiert und es fängt ein Countdown an bis das PW irgendjemand geknackt hat.
PW nicht zu ändern heißt, daß einem das egal ist. Die notwendige Konsequenz: an irgendeiner Stelle ist jemand drin. Ich weiß nicht wann, ich weiß nicht wer, aber ich weiß sehr wohl daß überhaupt erstmal.

Ich bin mal mutig und sage, daß ein PW-Generator da helfen kann. Der ist natürlich sein eigenes Einfallstor, aber mit ein bißchen Guter Hoffnung Tee Emm darf man vielleicht annehmen, daß man als Mensch fürs Paßwortausdenken trotz allem noch weniger gut geeignet ist als der Generator.

(Der sollte aber natürlich offline sein und nicht in der Cloud. Sonst muß man davon ausgehen, daß ein Angreifer mein neues Paßwort schon kennt, bevor ich nur auf "Speichern" geklickt hab.)
 
Nur so aus Interesse, wie viele Möglichkeiten schafft dein heute so eine moderne GPU pro Sekunde? Also brute force via GPU?
 
CPUinside schrieb:
Anhang anzeigen 1083332
abhängig von eventuellen einschränkungen beim jeweiligen dienst kannst du mit einem generator echt unmöglichen zeichenmist erzeugen.
den kannst du mit einer tastatur aber auch kaum mehr eingeben :alien_alt:
Zum Vergrößern anklicken....
Na ja, man kann es auch übertreiben. ;) Viel weniger Zeichen machen es genauso... Aber danke für den Hinweis, ich werde danach im Internet suchen.
 
ẞß

Der Unterschied ist wirklich, ähm, wie soll ich sagen? Ziemlich sinnlos?
 
  • Gefällt mir
Reaktionen: Murray B.
Naja, sinnlos schon - aber auch irgendwie konsequent!
Eben eine deutsche Lösung für ein deutsches Problem. :D
 
Seit Einführung des großen ß frage ich mich immer wofür man es braucht. Kenne kein Wort, dass mit ß anfängt
 
  • Gefällt mir
Reaktionen: Murray B.
Da ich schon mehrfach auf diversen Maschinen das Problem mit der Tastastur hatte (war auf engl. oder sogar Osteuropa), vermeide ich deutsche wie schwer erreichbare Sonderzeichen in PWs.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

refilix
Steam Steam Passwort, nicht sicher?
Antworten
19
Aufrufe
2.658
refilix
refilix
N
Fritzbox 7590 Standard WLAN Passwort sicher?
Antworten
13
Aufrufe
6.434
NutzenderNutzer
N
habichtfreak
Leserartikel Powerbank - Warum keine hält was sie verspricht
2 3 4
Antworten
78
Aufrufe
49.285
Fahr4
F
AndrewPoison
  • Artikel Artikel
Leserartikel Der Gigant gegen Goliath² – und mittendrin ich
Antworten
18
Aufrufe
16.455
sil79
sil79
T
Passwort Manager: Warum nicht gleich über den Browser Passwörter speichern? Unsicher?
Antworten
10
Aufrufe
2.224
DatAres
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz