1 |
Hallo. |
2 |
|
3 |
Matthias Nimscholz schrieb am Friday 15 July 2005 16:04: |
4 |
|
5 |
> Ich bin zwar nicht merk- aber tippfaul! Also ist mein Benutzer-Kennwort |
6 |
> recht kurz (6 Zeichen). |
7 |
|
8 |
Passwortsicherheit hängt von verschiedenen Kriterien ab: |
9 |
|
10 |
- Länge |
11 |
- Verwendetes Alphabet (A-Z a-z 0-9 ...) |
12 |
- Anzahl der Versuche, ein Passwort zu erraten |
13 |
- Wahrscheinlichkeit, dass man bei der Eingabe beobachtet wird. |
14 |
- Echtes Wort oder Zufallszeichenkette |
15 |
- ... |
16 |
|
17 |
Handys haben z. B. eine sehr kurze Länge, hohe Zuschau-Wahrscheinlichkeit und |
18 |
kleines Alphabet. Das versucht man über die Beschränkung der Versuche |
19 |
auszugleichen. |
20 |
|
21 |
Wenn Du ein Linuxpasswort nimmst, dann hast Du bei 6 Zeichen und dem Alphabet |
22 |
A-Za-z knapp 2 * 10^10 Möglichkeiten. Zum erraten muss mal also |
23 |
wahrscheinlich die Hälfte aller Möglichkeiten durchprobieren - vorausgesetzt |
24 |
Du benutzt kein Wort, dass in einem Wörterbuch steht und direkt geraten |
25 |
werden kann. |
26 |
|
27 |
Wovor willst Du Dich nun schützen? Vor Angriffen über ssh? Sagen wir mal der |
28 |
Angreifer macht 100 Versuche pro Sekunde, dann ist er etwa 3 Jahre damit |
29 |
beschäftigt, Dein Passwort zu knacken. (((26*2)^6)/2)/(100*60*60*24*365) |
30 |
|
31 |
Sollte es allerdings jemand schaffen die shadow-Datei zu kopieren (Bug, |
32 |
Backup-CD, ...), dann kann er auf seinen eigenen Rechnern versuchen die Datei |
33 |
zu knacken. Entsprechende Programme schaffen vielleicht 5000 Cracks per |
34 |
Second (keine Ahnung ob das nicht viel zu niedrig ist, lange nicht mehr |
35 |
benutzt). Aber nach 22 Tagen hat er dann Dein Passwort geknackt ohne das Du |
36 |
irgendwas davon bemerkt hättest. |
37 |
|
38 |
Bei einem 8 Zeichen Passwort - bestehend aus Buchstaben, Zahlen und |
39 |
Sonderzeichen - bräuchte der Angreifer stolze 6400 Jahre ... |
40 |
|
41 |
|
42 |
> Schön fände ich aber eine weitere Sicherheitshürde. Sollte jemand 3 mal |
43 |
> versuchen mein Password erforlglos zu raten, soll mein Account entweder |
44 |
> automatisch gesperrt , |
45 |
|
46 |
Damit handelst Du Dir nur jede Menge Ärger ein. Dann versucht jemand Dein |
47 |
Passwort zu erraten und Du wirst jedesmal aus Deinem Rechner gesperrt. |
48 |
|
49 |
Prima DoS-Angriff. |
50 |
|
51 |
> oder zumindest ein wesentlich längeres Passwort verlangt werden. |
52 |
|
53 |
Hast Du das dann immer parat? Reicht sicherlich noch für einen halben |
54 |
DoS-Angriff :) |
55 |
|
56 |
Nur so ein paar Gedanken ... |
57 |
|
58 |
Chris |
59 |
|
60 |
-- |
61 |
Kontakt-Details: http://www.christoph-probst.com/kontakt/ |
62 |
PGP-FP: B171 7EA4 988C DD90 1601 D21C 5279 2FAF 9978 AF86 |