Passwörter & Brute-Force

Balkazar · 10. November 2019 um 15:23

Grüß euch Beisammen,

mir schwirrt schon seit geraumer Weile eine Frage durch den Kopf. Und zwar:
Es wird (logischerweise) immer empfohlen, ein möglichst kompliziertes Passwort zu wählen, welches aus Sonderzeichen, Zahlen und Groß/Kleinbuchstaben besteht. Der Grund hierfür ist, dass es einfach viel mehr Kombinationen gibt, somit eine BruteForce-Attacke gewaltig erschwert wird.
Allerdings frage ich mich, weshalb ein Passwort aus zum Beispiel 15 Kleinbuchstaben unsicherer sein soll, als ein Passwort aus allen möglichen Zeichen, wenn man es unter der Annahme versucht zu knacken, dass es ein Allzeichenpasswort ist.
Probiert der normale Brute-Force-Algorithmus denn erst alle Kleinbuchstabenlösungen durch und geht dann zu den Groß/Kleinbuchstaben? Mein Ansätz wäre viel mehr gewesen, alle 1-Zeichen-Passwörter, dann alle 2-Zeichen, dann alle 3-Zeichen usw durchzuprobieren. Von mir aus dann auch erst alle Klein-, dann alle Klein/Groß, dann alle Klein/Groß/Zahl usw. Kombinationen. Aber selbst wenn der Algorithmus so funktioniert, wie ich ihn beschrieben habe, wäre ein 15-Zeichenpasswort, welches aus Kleinbuchstaben besteht, tatsächlich ziemlich sicher. Denn der Angreifer weiß ja nicht, dass er eigentlich nur alle Kleinbuchstaben durchprobieren müsste, deswegen ist er gezwungen, sämtliche Permutationen durchzugehen.

Ich hoffe, ich habe meine Frage verständlich formuliert - und würde mich über eine Antwort freuen.
Vielen Dank,
Balk

Christian_d0c230 · 10. November 2019 um 15:23

Naja, nach welchem Schema die einschlägigen Programme beim Brute-Force vorgehen wird wahrscheinlich unterschiedlich gehandhabt, aber allein schon mal daß Du ein 15 Zeichen langes Kennwort hast dürfte Dich vom Gros der Anwender abheben, denn die meisten haben ja schon Schwierigkeiten sich die vierstellige PIN ihrer EC-Karte zu merken.

Dabei ist es ansich recht einfach, sich ein wirklich sicheres Passwort zu merken, indem man nicht nach dem Wort ansich grübelt, sondern sich ein Muster ausdenkt…

Man nehme z.B. etwas, womit man eh jeden Tag im Internet zu tun hat - eine URL…also z.B. „www.wer-weiss-was.de“. Kann ja auch „www.lieschenmüller.wanneeikel“ sein. Dann gehste her und sagst "OK, jeder 1. Buchstabe ist gross, also „Www.Lieschenmüller.Wanneeikel“. Sodele, nu is Lieschen Müller Baujahr 1984, machen wir also ein „Www.Lieschenmüller.Wanneeikel/1984“ daraus.

Voila, und schon haste ein wunderbares Kennwort, das alles an Zeichen drin hat, lang ist, schwer zu knacken ist per Brute-Force und last-but-not-least…leicht zu merken.

Man kann nun aber auch hergehen und für JEDE Webseite (Blog, Onlineshop, whatever) ein eigenes Kennwort vergeben - wieder nach dem bekannten Muster, also z.B. „Www.Webseitenname.de/1984“ oder wenn’s kurz sein soll z.B. „WN/1984“ (WN = Kürzel aus "www.webseitenname.de").

Hat man sich einmal so ein Muster zurechtgebaut, kann man sich ohne Probleme für 30 Webseiten oder Dateien, whatever…30 verschiedene Kennwörter merken. Sollte eines „gehackt“ werden, sind die anderen immer noch sicher. Auf das eigentliche Muster kommen dann nur „Zufallstreffer“, wobei der 6er im Lotto noch wahrscheinlicher sein dürfte.

pumpkin_1768a9 · 10. November 2019 um 15:23

Moien

Es wird (logischerweise) immer empfohlen, ein möglichst
kompliziertes Passwort zu wählen, welches aus Sonderzeichen,
Zahlen und Groß/Kleinbuchstaben besteht.

Richtig. Das hat aber einen einfachen Hintergrund:

Die meisten Leute wollen ein normales Wort als Passwort benutzen. Beim Bruteforce fängt man i.d.R. mit einer Wörterbuchattacke an. Dabei testet man mehr-oder-weniger den Inhalt des Duden durch.

Wenn die Leute nun ihr Wort (Katze) mit Gross/Klein und Sonderzeichen garnieren (kA1çE) trifft eine Wörterbuchattacke schonmal nicht mehr sofort.

Wenn es dann tatsächlich zum Bruteforce Angriff kommt dauert es länger wenn alle Buchstabengruppen benutzt werden. Diese Wartezeit schränkt man ein indem erstmal nur „normale“ Buchstaben benutzt werden. Und erst wenn alles nichts hilft geht man mit dem vollen Satz an die Sache ran.

Denn der Angreifer weiß ja nicht,
dass er eigentlich nur alle Kleinbuchstaben durchprobieren

Er kann aber mal hoffen…

cu

Balkazar · 10. November 2019 um 15:23

Denn der Angreifer weiß ja nicht,
dass er eigentlich nur alle Kleinbuchstaben durchprobieren

Er kann aber mal hoffen…

Okay, auf gut deutsch ist es so, wie ich gesagt habe - nur, wenn der Angreifer tatsächlich einen kompletten Durchlauf mit reinen Kleinbuchstaben startet, hat er bei einem solchen Passwort einen Vorteil. Sobald er alle Sonderzeichen durchtestet, dauern 15 Zeichen so oder so viel zu lange.

Danke : )

Balkazar · 10. November 2019 um 15:23

Danke für deine Antwort, allerdings ging meine Frage eher um das Prinip des Algorithmus, weniger darum, wie man Passwörter sich merkt/erstellt. Trotzdem danke ; )

herrmann_59614f · 10. November 2019 um 15:24

Okay, auf gut deutsch ist es so, wie ich gesagt habe - nur,
wenn der Angreifer tatsächlich einen kompletten Durchlauf mit
reinen Kleinbuchstaben startet, hat er bei einem solchen
Passwort einen Vorteil. Sobald er alle Sonderzeichen
durchtestet, dauern 15 Zeichen so oder so viel zu lange.

Wobei die Differenzierung nach Zeichenklassen das übliche Verfahren ist. Es ist i. d. R. nicht sinnvoll, gleich auf den vollen möglichen Zeichensatz zu testen, da die Wahrscheinlichkeit, dass ein schwaches Kennwort verwendet wird, überwältigend ist und den recht geringen Mehraufwand, zunächst gegen begrenzte Klassen zu testen, mehr als wett macht.

Der Aufwand bei 26 Kleinbuchstaben und 10-stelligem Passwort liegt bei 1,4*10^14 zu testenden Möglichkeiten - die gegenwärtige Finanzkrise hat weit grössere Vermögen verschleudert.

Bei Klein- und Grossbuchstaben sind’s schon 1,4*10^17 Möglichkeiten - naja, tausendmal mehr, nicht so dolle.

Kompletter ASCII-Zeichensatz mit (grob geschätzt) 200 darstellbaren Zeichen: ~ 1*10^23 - nochmal eine Million mal mehr Möglichkeiten, langsam geht dem Brute Force die Luft aus.

Also teste ich doch erst die umfangarmen Zeichenklassen und bin die in zwei Tagen durch. Habe ich dann noch kein Ergebnis, fallen die zwei verlorenen Tage nicht ins Gewicht.

Wobei ein Cracker selten zwei Tage Geduld aufbringen muß - dank Wörterbuchattacke wird er meist nach ein paar Sekunden fündig.

Gruß

Hermann_Schaefer · 10. November 2019 um 15:24

Es wird (logischerweise) immer empfohlen, ein möglichst
kompliziertes Passwort zu wählen, welches aus Sonderzeichen,
Zahlen und Groß/Kleinbuchstaben besteht. Der Grund hierfür
ist, dass es einfach viel mehr Kombinationen gibt, somit eine
BruteForce-Attacke gewaltig erschwert wird.

Das trifft nur dann zu, wenn die Kennwörter sehr kurz sind und eine Wörterbuchattacke vermieden werden soll. Gegen echte Brute-Force-Attacken nüzten sie natürlich gar nichts.
Bei Angriffen (gegen z.B. WLAN/WPA oder NTLM) per Rainbow Tables ist es ebenso völlig wurscht, wie das Kennwort aussieht.

Sinnvoll sind solche K3nnw0e®t3r also nur bei z.B. POP3/IMAP oder ähnlichem, da dort i.d.R. nur kurze Kennwörter möglich sind.