Passwortsicherheit

[oxfort]

Wer wissen möchte, wie lange es dauern sollte, bis ein Passwort geknackt ist.

Bitte nicht das aktuelle eigene Passwort eingeben.

How Secure Is My Password?

 

[Pixel-Toast]

Angesichts der Tatsache, dass CPUs wie GPUs immer leistungsfähiger werden und letztere beim PW knacken sogar effizienter sein sollen, ist vielleicht die Suche nach einem sicheren Ersatz für ein Passwort angebracht? s

Problem dürfte nur sein, die Massen von typischen Passwörtern abzubringen.

 

[Skalp]

Zu Anfangszeiten meines PC-Daseins, um 2000 rum, hatte ich schon merkwürdige Passwörter genommen. Fantasiewörter und meist noch eine Zahl irgendwo.
40 Jahre würde es benötigen um mein erstes PW zu knacken und die Zahl war noch nicht dabei. Inkl. einer zweistelligen Zahl = eine Million Jahre
@
Length: 11 characters
Character Combinations: 130
Calculations Per Second: 4 billion
Possible Combinations: 179 sextillion

 

[Thor77]

Mein Passwort scheint sicher zu sein...


Details:
Length: 16 characters
Character Combinations: 36
Calculations Per Second: 4 billion
Possible Combinations: 7 septillion

ot:
Aber das beste Passwort ist immer noch "incorrect", wenn man dieses vergisst und ein falsches eingibt sagt einem die Website "Your Password is incorrect"

 

[Lektro]

Angesichts der Tatsache, dass CPUs wie GPUs immer leistungsfähiger werden und letztere beim PW knacken sogar effizienter sein sollen, ...

Sind sie auch. Bei mir werkelt noch eine Core2Duo E8400-CPU (läuft auf 3,8 GHz). Die schafft gerade mal um die 130 Millionen Berechnungen pro Sekunde. Meine nVidia 8800GT immerhin schon 400, aber die GTX670570 macht dagegen 1700 Berechnungen pro Sekunde (beide nicht overclocked)! Siehe Screenshot.

 

[Schpaik]

Man sollte hierbei nicht vergessen, das sich der temporäre Wert auf die Variante der unendlichen Wiedereingabe bezieht.

Wenn ich ein paar Mal ein PW auf bestimmten Seiten eingebe und die sind alle falsch, dann kann ich das erst in der nächsten Stunde oder am nächsten Tag wieder probieren. Diese "Wartezeit" ist nicht (wie auch) mit berechnet.

In meinen Augen daher eher Panikmache.

 

[Amon]

Naja es geht dann auch um offline Attacken. Also wenn durch einen "Einbruch" auf den Server des Anbieters Passworthashes erbeutet wurden, wie ja in letzter Zeit öfter geschehen. Dann kann der Angreifer die Passwörter in aller Ruhe ohne Wartezeiten durchprobieren. Vor allem problematisch ist dann wenn man auf vielen Seiten das selbe PW benutzt.

So zuverlässig sind die PW-Sicherheitstest-Seiten auch nicht. Wenn irgendwelche Muster im PW sind, sodass es gut merkbar ist gibt auch schon Möglichkeiten das PW schneller als einfach per Brutforce oder Rainbowtables zu knacken.

Muss zugeben, dass ich da auch nicht so konsequent bin, zumindest bei wichtigeren Diensten, bei denen es auch um Geld geht nehme ich dann schon längere und unterschiedliche PWs.

Hab mir mal vorgenommen durchgehend die PWs in zufallsgenerierte lange Dinger zu ändern und dann alles per LastPass oder Keepass zu machen. Wenn ich mal zu komme...

Für Sachen wie hier das Forum bspw. verwende ich auch immer noch sehr unsichere Passwörter, war aber bisher auch noch nie ein Problem.

 

[ElSer]

abcdefghijklmnopqrstuvxxyz
48 quintillion years
"Your password is over 16 characters long. It should be pretty safe."
glaub ich nicht...

 

[Razorblade]

Sollte fürs erste reichen bei der Pre-Boot-Verschlüsselung. Nur Cold-boot macht mir da potentiell nen Strich durch die Rechnung...

 

[Der Internet]

abcdefghijklmnopqrstuvxxyz
48 quintillion years
"Your password is over 16 characters long. It should be pretty safe."
glaub ich nicht...

es geht um die Entschlüsselung und nicht um Wort-Listen

 

[QuHno]

Welcher Cracker braucht schon das Original Passwort? Er braucht lediglich ein funktionierendes und ob das das selbe ist hängt davon ab, wie die Hashes generiert werden. Da gibt es sicherere und weniger sichere Algorithmen. Bei den weniger sicheren gibt es "Kollisionen", d.h. verschiede Passwörter erzeugen den selben Hash.

Stellt euch einfach nur einmal vor, dass Ihr ein 50 Stelliges Passwort eingebt und der Server daraus einen 10 stelligen Hex Hash erstellt - der ist in Sekunden geknackt, wenn der Angreifer die Userdatenbank geklaut hat. Der Angreifer hat dadurch zwar nicht euer Passwort, aber eins womit er sich dort unter eurem Namen einloggen kann und das reicht ihm völlig.

Fazit: Es ist nicht nur wichtig, wie sicher Euer Passwort ist, sondern auch, wie der Server Betreiber damit umgeht. Einige Server Betreiber haben die Passwörter (und sogar die restlichen Userdaten) in der Vergangenheit unverschlüsselt gespeichert - ihr erinnert euch noch an den Playstation Netzwerk Hack, oder?