Man sollte den Test bei den Schweizer mal machen.
Okay, hab ich jetzt doch mal gemacht. Dort wird aus einem gegebenen Passwort der zugrundeliegende Schluesselraum geraten und aufgrund dessen Maechtigkeit geschaetzt, wie lange ein Angreifer braucht, ihn vollstaendig zu durchsuchen. Das ist schon mal eine ziemlich kuehne Herangehensweise, da, wenn ein Angreifer ein Passwort gar nicht kennt, er erstmal vom groesstmoeglichen Schluesselraum ueberhaupt ausgehen muss. Natuerlich untersucht er zuerst die kleineren Schluesselraeume, die in den groesseren enthalten sind. Allerdings gibt es auch darin ein paar disjunkte Raeume, mit denen er seine Zeit vergeuden wird. Eine Gewissheit, dass er darin den Schluessel findet, hat er aber nicht.
Bei naeherer Betrachtung faellt mir auf, dass kleinere Schluesselraeume eben keine echten Teilmengen der groesseren sind, da Passwoerter ja auch eine Laenge haben. Ich glaub, ich muss in die Richtung mal ein paar Hausaufgaben machen. Hat jemand eine gute Literaturempfehlung zu dem Thema?
Hat ein Angreifer, wie auch immer, ein Passwort erspaeht, kann er daraus eine mutige Schaetzung auf den Schluesselraum machen und diesen bei Angriffen auf weitere Passwoerter zugrunde legen. Und genau diese Situation kann der Test versuchen, abzubilden.
Ich habe gerade 5000-Köln eingegeben: Die Antwort kurz übertragen?
Nochmal langsam: dieser dusslige Automat hat schon bei unbedeutend komplizierteren Passwoertern keine Chance, den Schluesselraum zuverlaessig zu schaetzen. Wenn Du, genau wie dem Automaten, einem halbwegs intelligenten Menschen eines Deiner Passwoerter verraetst, wird er ziemlich schnell drauf kommen, dass Dein Schluesselraum weniger als 10.000 Zahlen enthaelt. Dass Du ihn durch Anhaengen einer Stadt kuenstlich aufzublaehen versuchst, stoert nicht weiter, da diese Information leicht zuzuordnen ist. Um also dem Automaten vergleichbare Werte zu entlocken, solltest Du den Test mit _nur_ der Postleitzahl machen.
Das Besondere an diesem Paßwort ist doch, daß so schnell, und
darum geht es, keiner draufkommt, daß hier alte Postleitzahlen
UND Orte mit Umlaute verwendet werden.
Du hast es doch gerade verraten. Kennt man ein Passwort, kennt man alle. Kennt man ein Passwort, dass aus den Anfangsbuchstaben eines Satzes gebildet wurde, hat man kaum eine Chance, auf andere Passwoerter zu schliessen. Die Sicherheit einer Methode sollte nicht unter ihrer Offenlegung leiden. Und wer stellt sicher, dass Dir im (wie auch immer) umnebelten Zustand nicht mal eins der Passwoerter oder gar die Methode, sie zu bilden, rausrutscht?
Und, eine andere Anmerkung. Wer kann sich schon eine wirre
Zeichenfolge, wie zB hkgaidwwh ohne Vertippen/geistigen
Verrenkungen merken?
Ich ganz gut. Wenn Du eine bessere Idee hast, immer her damit. Wenn Du die Idee geheim halten musst, hast Du schon versagt.
Was das heißen soll, nun „Hänschen klein, ging…“ das ist
mir schlichtweg zu blöd, sowas, neben den x anderen Paßwörtern
zu merken.
Ich kann mir Kinderreime wesentlich besser merken, als die Postleitzahl von Hinterbuxte-Hachingen am Weseroberlauf. (Und Du wirst doch nicht etwa auf die Idee kommen, Dich auf grosse Staedte zu beschraenken und so den Schluesselraum fuer den Angreifer auch noch schoen zu sortieren? BTW: er wuerde ihn wahrscheinlich sowieso in dieser Reihenfolge durchsuchen, wobei das bei dieser Maechtigkeit aber keine Rolle spielt.)
Nebenbei bemerkt, ist dieses Paßwort deutlich schlechter, als
meine obigen Versuche!
Du hast es ja auch nicht verstanden: „Hk9a1dwWh“ -> 551 Jahre. Fuer gemaessigte Sicherheitsansprueche reicht mir das. Wenn ich Satzzeichen im Reim mit beruecksichtige: „Hk,9a1dwWh“ -> 5819395 Jahre.
HTH,
Gruss vom Frank.
. Oder wenigstens mitlauschen, und das kann man eigentlich als sicher annehmen.