| 1 |
Hallo. |
| 2 |
|
| 3 |
Matthias Nimscholz schrieb am Friday 15 July 2005 16:04: |
| 4 |
|
| 5 |
> Ich bin zwar nicht merk- aber tippfaul! Also ist mein Benutzer-Kennwort |
| 6 |
> recht kurz (6 Zeichen). |
| 7 |
|
| 8 |
Passwortsicherheit hängt von verschiedenen Kriterien ab: |
| 9 |
|
| 10 |
- Länge |
| 11 |
- Verwendetes Alphabet (A-Z a-z 0-9 ...) |
| 12 |
- Anzahl der Versuche, ein Passwort zu erraten |
| 13 |
- Wahrscheinlichkeit, dass man bei der Eingabe beobachtet wird. |
| 14 |
- Echtes Wort oder Zufallszeichenkette |
| 15 |
- ... |
| 16 |
|
| 17 |
Handys haben z. B. eine sehr kurze Länge, hohe Zuschau-Wahrscheinlichkeit und |
| 18 |
kleines Alphabet. Das versucht man über die Beschränkung der Versuche |
| 19 |
auszugleichen. |
| 20 |
|
| 21 |
Wenn Du ein Linuxpasswort nimmst, dann hast Du bei 6 Zeichen und dem Alphabet |
| 22 |
A-Za-z knapp 2 * 10^10 Möglichkeiten. Zum erraten muss mal also |
| 23 |
wahrscheinlich die Hälfte aller Möglichkeiten durchprobieren - vorausgesetzt |
| 24 |
Du benutzt kein Wort, dass in einem Wörterbuch steht und direkt geraten |
| 25 |
werden kann. |
| 26 |
|
| 27 |
Wovor willst Du Dich nun schützen? Vor Angriffen über ssh? Sagen wir mal der |
| 28 |
Angreifer macht 100 Versuche pro Sekunde, dann ist er etwa 3 Jahre damit |
| 29 |
beschäftigt, Dein Passwort zu knacken. (((26*2)^6)/2)/(100*60*60*24*365) |
| 30 |
|
| 31 |
Sollte es allerdings jemand schaffen die shadow-Datei zu kopieren (Bug, |
| 32 |
Backup-CD, ...), dann kann er auf seinen eigenen Rechnern versuchen die Datei |
| 33 |
zu knacken. Entsprechende Programme schaffen vielleicht 5000 Cracks per |
| 34 |
Second (keine Ahnung ob das nicht viel zu niedrig ist, lange nicht mehr |
| 35 |
benutzt). Aber nach 22 Tagen hat er dann Dein Passwort geknackt ohne das Du |
| 36 |
irgendwas davon bemerkt hättest. |
| 37 |
|
| 38 |
Bei einem 8 Zeichen Passwort - bestehend aus Buchstaben, Zahlen und |
| 39 |
Sonderzeichen - bräuchte der Angreifer stolze 6400 Jahre ... |
| 40 |
|
| 41 |
|
| 42 |
> Schön fände ich aber eine weitere Sicherheitshürde. Sollte jemand 3 mal |
| 43 |
> versuchen mein Password erforlglos zu raten, soll mein Account entweder |
| 44 |
> automatisch gesperrt , |
| 45 |
|
| 46 |
Damit handelst Du Dir nur jede Menge Ärger ein. Dann versucht jemand Dein |
| 47 |
Passwort zu erraten und Du wirst jedesmal aus Deinem Rechner gesperrt. |
| 48 |
|
| 49 |
Prima DoS-Angriff. |
| 50 |
|
| 51 |
> oder zumindest ein wesentlich längeres Passwort verlangt werden. |
| 52 |
|
| 53 |
Hast Du das dann immer parat? Reicht sicherlich noch für einen halben |
| 54 |
DoS-Angriff :) |
| 55 |
|
| 56 |
Nur so ein paar Gedanken ... |
| 57 |
|
| 58 |
Chris |
| 59 |
|
| 60 |
-- |
| 61 |
Kontakt-Details: http://www.christoph-probst.com/kontakt/ |
| 62 |
PGP-FP: B171 7EA4 988C DD90 1601 D21C 5279 2FAF 9978 AF86 |
Archives