Manchmal kriegt man auch in der IT das Gefühl, deren Aussagen seien so
gewiß wie jene der Ernährungsberater, die uns heute davon abraten, das
zu essen, was sie uns gestern empfohlen haben.
Jahrelang wird einem von Kundigen der IT-Sicherheit geraten,
Passwörter mindestens 8stellig zu wählen, alphanumerisch, mit Groß-
und Kleinbuchstaben und Sonderzeichen.
Alles Schmarrn, wie es scheint.
Zum Knacken eines Paßworts wie z. B. Tr0b4dor&3 brauchen Hacker
angeblich nur 3 Tage, bei vorausgesetzten 1000 Versuchen pro Sekunde.
Läßt man die Server-Intelligenz mal außen vor - sie wird hoffentlich
nicht so blöd sein zuzuschauen, wie 3 Tage lang Millionen vergeblicher
Zugriffe erfolgen, wenn auch von unterschiedlichen IP-Adressen via
Bot-Netzen - so ist trotzdem die angebliche Knackzeit erschreckend
gering.
Mir fehlt leider die Voraussetzung, diesem Comic mathematisch zu
folgen.
Conclusio des Ganzen ist die Behauptung, daß Paßwörter aus 4 üblichen
Wörtern sicherer seien als der oben zitierte Tr0b4dor&3. Selbst wenn
man die 4 Wörter, wie z. B. "correct horse battery staple" aus einem
Grundwortschatz von 2000 Wörtern nimmt, brauche man zum Erraten
solcher Wort-Kombinationen 500 Jahre.
Empfohlen wird also, leicht zu merkende 4 Wörter als Paßwort zu
nehmen, die eigentlich unknackbar sind, anstatt ein schwer zu
merkendes alphanumerisches Ungetüm, das zudem leicht zu knacken sei.
Plausibel ist mir das nicht. Und mathematisch verstehe ich es nicht.
Kann mir das jemand erklären? Vor allem wüßte ich gerne, was genau die
im Comic erwähnten 28 und 44 bits of entropy sind bzw. woraus sie sich
bilden. Warum hat eines der 4 Wörter (correct, horse ...) 11 bits of
entropy?
Werner Tann wrote:
> Plausibel ist mir das nicht. Und mathematisch verstehe ich es nicht.
> Kann mir das jemand erklären? Vor allem wüßte ich gerne, was genau die
> im Comic erwähnten 28 und 44 bits of entropy sind bzw. woraus sie sich
> bilden. Warum hat eines der 4 Wörter (correct, horse ...) 11 bits of
> entropy?
Bei 2000 Wörtern im Grundwortschatz und zufälliger(!) Auswahl daraus,
ergibt das eine Entropie von log2(2000) = 10.9 (und ein bißchen was)
pro Wort.
Nehmen wir 2048 Wörter, sind es sogar genau 11 Bits pro Wort. Vier
Wörter a 11 Bit sind dann 44 Bit.
Vinzent.
-- The most likely way for the world to be destroyed, most experts agree,
is by accident. That's where we come in; we're computer professionals.
We cause accidents.
-- Nathaniel Borenstein
>> Plausibel ist mir das nicht. Und mathematisch verstehe ich es nicht.
>> Kann mir das jemand erklären? Vor allem wüßte ich gerne, was genau die
>> im Comic erwähnten 28 und 44 bits of entropy sind bzw. woraus sie sich
>> bilden. Warum hat eines der 4 Wörter (correct, horse ...) 11 bits of
>> entropy?
>Bei 2000 Wörtern im Grundwortschatz und zufälliger(!) Auswahl daraus,
>ergibt das eine Entropie von log2(2000) = 10.9 (und ein bißchen was)
>pro Wort.
Okay, anders. Wie würdest Du das Deinem 12jährigen Sohn erklären, der
mit Entropie und Logarithmen noch nichts am Hut hat.
Konkret: Warum log(2)? Woher kommt die 2? Ob man eines der 2000 Wörter
auswählt oder nicht, also 2 mögliche "Zustände"? Sorry, daß ich
Logarithmen gelernt habe, ist leider 40 Jahre her. Was konkret
bedeutet eine Entropie von 44 Bits?
Werner Tann wrote:
> "Vinzent Hoefler"
> <0439279208b62c95f1880bf0f8776...@t-domaingrabbing.de> schrieb:
>> Bei 2000 Wörtern im Grundwortschatz und zufälliger(!) Auswahl daraus,
>> ergibt das eine Entropie von log2(2000) = 10.9 (und ein bißchen was)
>> pro Wort.
> Okay, anders. Wie würdest Du das Deinem 12jährigen Sohn erklären,
18. Seit heute. ;)
> der
> mit Entropie und Logarithmen noch nichts am Hut hat.
Ich versuch's mal.
> Konkret: Warum log(2)? Woher kommt die 2?
Ausschließlich daher, daß man die Entropie in der Informationstheorie in
Bits angibt und ein Bit hat genau zwei Zustände.
Als Pseudo-Formel:
Anzahl der zur Darstellung notwendigen Bits = log2 (Anzahl der Zustände)
Andersherum: Mit x Bits kann man 2**x verschiedene Dinge (Symbole)
kodieren, so wie man mit x Ziffern 10**x verschiedene Zahlen darstellen
kann (dann wär's log10).
Die 2000 Wörter sind nichts anderes als Symbole, man kann sie beliebig
durch etwas anderes ersetzen (Zahlen, Farben, chinesische Schriftzeichen,
Volt, ...), das macht es höchstens schwerer, sie sich zu merken, aus Sicht
der Informationstheorie ist es aber völlig wurscht.
> Ob man eines der 2000 Wörter
> auswählt oder nicht, also 2 mögliche "Zustände"?
Nein, eines aus 2'000. Um das zahlenmäßig in Bits darzustellen, braucht
man derer 11.
> Sorry, daß ich
> Logarithmen gelernt habe, ist leider 40 Jahre her. Was konkret
> bedeutet eine Entropie von 44 Bits?
Hier: Daß es 2**44 verschiedene Möglichkeiten für ein solches Paßwort
gibt. Da bei zufälliger Auswahl die Wahrscheinlichkeit für das Auftreten
eines beliebigen Symbols gleich ist, hat jedes Wort den gleichen
Informationsgehalt (Entropie) und vier davon den vierfachen.
Interessant wird die Informationstheorie eigentlich erst, wenn die
Wahrscheinlichkeiten für das Auftreten der unterschiedlichen Symbole
auch unterschiedlich sind, wie das z.B. bei natürlichsprachlichem Text
der Fall ist. Oder bei dem, was User sich so als Paßwort generieren,
indem sie bestimmte Buchstaben durch andere Symbole ersetzen (E => 3,
S => $), weil die Paßwort-Policy Sonderzeichen und Zahlen verlangt.
Vinzent.
-- The most likely way for the world to be destroyed, most experts agree,
is by accident. That's where we come in; we're computer professionals.
We cause accidents.
-- Nathaniel Borenstein
Werner Tann <wt...@gmx.at> wrote:
> Jahrelang wird einem von Kundigen der IT-Sicherheit geraten,
> Passw rter mindestens 8stellig zu w hlen, alphanumerisch, mit
> Gro - und Kleinbuchstaben und Sonderzeichen.
> Alles Schmarrn, wie es scheint.
Nein, und da ist kein Widerspruch.
Da brute force Angriffe immer schneller werden, muessen Passwoerter
hinreichend viele Moeglichkeiten haben, um standzuhalten. Also
entweder viel laenger oder aus einer groesseren Zeichenbasis.
Ersteres ist fuer Menschen wesentlich einfacher zu realisieren.
> Conclusio des Ganzen ist die Behauptung, da Pa w rter aus 4
> blichen W rtern sicherer seien als der oben zitierte Tr0b4dor&3.
Wenn diese 4 Woerter hinreichend lang sind, "daistwaslos" waere
nicht sehr stark.
30 zufaellige UTF-8 Zeichen sind natuerlich noch staerker, aber
schlecht zu merken.
Werner Tann <wt...@gmx.at> wrote:
> "Vinzent Hoefler" schrieb:
>> Werner Tann wrote:
>>> Plausibel ist mir das nicht. Und mathematisch verstehe ich es nicht.
>>> Kann mir das jemand erklären? Vor allem wüßte ich gerne, was genau
>>> die im Comic erwähnten 28 und 44 bits of entropy sind bzw. woraus
>>> sie sich bilden. Warum hat eines der 4 Wörter (correct, horse ...)
>>> 11 bits of entropy?
>>Bei 2000 Wörtern im Grundwortschatz und zufälliger(!) Auswahl daraus,
>>ergibt das eine Entropie von log2(2000) = 10.9 (und ein bißchen was)
>>pro Wort.
> Okay, anders. Wie würdest Du das Deinem 12jährigen Sohn erklären, der
> mit Entropie und Logarithmen noch nichts am Hut hat.
Gar nicht. Ich würde ihm sagen: "Make it so!"
Wer's verstehen will, muss sich mit der Mathematik beschäftigen.
Wer sich nicht mit der Mathematik beschäftigen will, wird's nicht
verstehen.
Ganz einfach eigentlich, gell?
cu
59cobalt
-- "All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
> Werner Tann <wt...@gmx.at> wrote:
> > Jahrelang wird einem von Kundigen der IT-Sicherheit geraten,
> > Passw rter mindestens 8stellig zu w hlen, alphanumerisch, mit
> > Gro - und Kleinbuchstaben und Sonderzeichen.
> > Alles Schmarrn, wie es scheint.
> Nein, und da ist kein Widerspruch.
> Da brute force Angriffe immer schneller werden, muessen Passwoerter
> hinreichend viele Moeglichkeiten haben, um standzuhalten.
Irgend was verstehe ich nicht. Was n tzt es denn, wenn die Logik zum
Erzeugen unterschiedlicher Passworte immer sachneller wird wenn die
Eingabegeschwindigkeit und die Anzahl der Versuche begrenzt ist?
>Wer's verstehen will, muss sich mit der Mathematik besch ftigen.
>Wer sich nicht mit der Mathematik besch ftigen will, wird's nicht
>verstehen.
Ich bin davon berzeugt, da man jedem kognitiv gesunden Menschen
alles erkl ren kann, sei er Kind oder erwachsen, Hilfsarbeiter oder
Akademiker, Norweger oder Neger. Dadurch da man eine Erkl rung
vereinfacht, mu sie nicht notwendig falsch werden. Auch die
differenziertesten wissenschaftlichen Theorien h chsten
Abstraktionsgrades sind - gemessen an der Wirklichkeit, die sie
beschreiben wollen - immer Vereinfachungen. Siehe Quantentheorie.
Ganz praktisch "politisch" habe ich eine tief verwurzelte Abneigung
dagegen, Methoden anzuwenden, die mich *augenscheinlich* nicht
berzeugen, deren Wirksamkeit ich also glauben mu .
>Andersherum: Mit x Bits kann man 2**x verschiedene Dinge (Symbole)
>kodieren, so wie man mit x Ziffern 10**x verschiedene Zahlen darstellen
>kann (dann w r's log10).
Gut, das ist ungef hr angekommen. Vielen Dank!
Plausibel ist es mir deswegen nicht geworden. Ich will nicht
akzeptieren, da es schwierig sein soll, 4 W rter aus 2000 in kurzer
Zeit herauszufinden.
correct horse battery staple
Anweisung ans Hackerskript: Pr fe jedes Zeichen, beginnend mit dem ersten, ob es in der Liste der
2000 W rter enthalten ist. Also c? Nein. Weiter mit co. Nein. Weiter mit cor. Nein. ... usw.
Treffer bei correct.
Hast Du eine Zeichenkette gefunden, die als Wort in der Liste ist,
merke Dir den String und trenne ihn von der Eingabe ab. Setze fort mit
dem n chsten Zeichen. Also mit h von horse. Ist h in der Liste? Nein.
Ist ho in der Liste? Nein. .... usw. Ist horse in der Liste? Ja. H nge
horse an das gemerkte correct. usw.
Die Abarbeitung eines solchen Skripts wird vermutlich nicht mal eine
Sekunde dauern! Oder wo ist mein Denkfehler?
Wie gesagt, wir gehen davon aus, da es sich um ein Pa wort aus 2000
W rtern des Grundwortschatzes handelt, wie im Artikel erkl rt.
Jens Fittig wrote:
> Irgend was verstehe ich nicht. Was nützt es denn, wenn die Logik zum
> Erzeugen unterschiedlicher Passworte immer sachneller wird wenn die
> Eingabegeschwindigkeit und die Anzahl der Versuche begrenzt ist?
-- The most likely way for the world to be destroyed, most experts agree,
is by accident. That's where we come in; we're computer professionals.
We cause accidents.
-- Nathaniel Borenstein
> > Irgend was verstehe ich nicht. Was n tzt es denn, wenn die Logik zum
> > Erzeugen unterschiedlicher Passworte immer sachneller wird wenn die
> > Eingabegeschwindigkeit und die Anzahl der Versuche begrenzt ist?
Gibt es sowas auch in verst ndlicher Sprache? Und kurzer einfacher
verst ndlicher Erkl rung?
Ich kann es nicht glauben, da jemand "offline" z.B. mein Ebaypasswort
knacken kann. Oder GMX oder was auch immer. GMX macht nach 3 (oder 5?)
Fehlversuchen dicht! Andere Einloggm glichkeiten auch hnlich.
Wie soll also jemand offline mit 5 Versuchen mein Passwort erraten und
erfolgreich probieren k nnen? Im normalen Wortschatz kommen meine
Passworte nicht vor. Ein Mix aus Silben und Sonderzeichen.
Es ist immer wieder faszinierend wie solche angeblich erfolgreichen
Versuche im Fernsehen gezeigt werden. Da laufen in atemberaubender
Geschwindigkeit Hexzahlengruppen ber den Bildschrim und nach ein paar
Sekunden steht das Passwort in Klartext da und der Moderator loggt
sich damit demonstrativ als Beweis bei Ebay ein. Das glaube ich
einfach nicht.
Werner Tann wrote:
> "Vinzent Hoefler"
> <0439279208b62c95f1880bf0f8776...@t-domaingrabbing.de> schrieb:
>>Andersherum: Mit x Bits kann man 2**x verschiedene Dinge (Symbole)
>>kodieren, so wie man mit x Ziffern 10**x verschiedene Zahlen darstellen
>>kann (dann w r's log10).
> Gut, das ist ungef hr angekommen. Vielen Dank!
> Plausibel ist es mir deswegen nicht geworden. Ich will nicht
> akzeptieren, da es schwierig sein soll, 4 W rter aus 2000 in kurzer
> Zeit herauszufinden.
> correct horse battery staple
> Anweisung ans Hackerskript:
> Pr fe jedes Zeichen, beginnend mit dem ersten, ob es in der Liste der
> 2000 W rter enthalten ist.
> Also c? Nein. Weiter mit co. Nein. Weiter mit cor. Nein. ... usw.
> Treffer bei correct.
Da liegt Dein Denkfehler. Du bekommst nicht die Antwort "Treffer bei 'correct'". Du bekommst nur die Antwort "falsches Passwort".
Du musst solange probieren, bis Du *genau* die Zeichenfolge "correct horse battery staple" testest. Und das sind bei einem Alphabet mit 2000 Symbolen (das W rterbuch) in der G enordnung 2000^4/2 = 8*10^12 notwendige Versuche.
Das entspricht btw. in etwa den 44 bit von weiter oben, 2^44 /2 ~ 8.8*10^12.
-- The Eagle has landed.
Werner Tann wrote:
> "Vinzent Hoefler"
> <0439279208b62c95f1880bf0f8776...@t-domaingrabbing.de> schrieb:
>> Andersherum: Mit x Bits kann man 2**x verschiedene Dinge (Symbole)
>> kodieren, so wie man mit x Ziffern 10**x verschiedene Zahlen darstellen
>> kann (dann wär's log10).
> Gut, das ist ungefähr angekommen. Vielen Dank!
Gut. :)
> Plausibel ist es mir deswegen nicht geworden. Ich will nicht
> akzeptieren, daß es schwierig sein soll, 4 Wörter aus 2000 in kurzer
> Zeit herauszufinden.
> correct horse battery staple
> Anweisung ans Hackerskript:
> Prüfe jedes Zeichen, beginnend mit dem ersten, ob es in der Liste der
> 2000 Wörter enthalten ist.
Nein, nicht Zeichen, wir suchen Worte (als Ersatz für Symbole).
Wir gehen ebenfalls davon aus, daß dem Cracker diese Wortliste bekannt ist
und meinetwegen auch, daß er weiß, daß es vier Worte aus eben dieser Liste
sind.
> Die Abarbeitung eines solchen Skripts wird vermutlich nicht mal eine
> Sekunde dauern! Oder wo ist mein Denkfehler?
Dein Denkfehler liegt darin, daß Du hier voraussetzt, daß dem Cracker
das Paßwort bekannt ist oder Teile davon bereits zum Teilerfolg
führen. Ersteres sollte man in allen Szenarien ausschließen können. ;)
Letzteres ist schlich falsch. Entweder das Paßwort paßt oder es paßt
nicht (ok, letzteres ist nicht ganz korrekt, wenn man letztlich nur
Hashes vergleicht, aber die Kollisionswahrscheinlichkeit ist gering
genug, um sie vernachlässigen zu können).
Ein Kombinationsschloß mit vier Ziffern hat ja auch 10'000 Möglichkeiten,
die man durchprobieren müßte. Was Du beschreibst, wäre ein Kombinations-
schloß, was Dir nach jeder Ziffer sagt, ob sie richtig war oder nicht,
was die Anzahl der Versuche von durchschnittlich 5'000 auf maximal 40
(4 Ziffern a 10 Möglichkeiten) heruntersetzt.
> Wie gesagt, wir gehen davon aus, daß es sich um ein Paßwort aus 2000
> Wörtern des Grundwortschatzes handelt, wie im Artikel erklärt.
Exakt. Der Hacker hat nun diesen Wortschatz und muß die korrekten vier
Wörter daraus finden. Brute force wäre das die Kombination jeden Wortes
mit jedem aus dem Wörterbuch, das sind mal eben 2000 x 2000 x 2000 x 2000
Möglichkeiten (also ziemlich genau 16 Billionen). Um 16 Billionen
Möglichkeiten darzustellen, benötigt man mindestens 44 (ganze) Bit.
Vinzent.
-- The most likely way for the world to be destroyed, most experts agree,
is by accident. That's where we come in; we're computer professionals.
We cause accidents.
-- Nathaniel Borenstein
>> > Irgend was verstehe ich nicht. Was nützt es denn, wenn die Logik zum
>> > Erzeugen unterschiedlicher Passworte immer sachneller wird wenn die
>> > Eingabegeschwindigkeit und die Anzahl der Versuche begrenzt ist?
> Gibt es sowas auch in verständlicher Sprache? Und kurzer einfacher
> verständlicher Erklärung?
> Ich kann es nicht glauben, daß jemand "offline" z.B. mein Ebaypasswort
> knacken kann. Oder GMX oder was auch immer. GMX macht nach 3 (oder 5?)
> Fehlversuchen dicht! Andere Einloggmöglichkeiten auch ähnlich.
Vielleicht nicht spezifisch Deines. Aber das eines anderen, welches in
einer veröffentlichten Paßwortliste steht und in anderen Accounts
so (oder nur ähnlich) wiederverwendet wird.
> Wie soll also jemand offline mit 5 Versuchen mein Passwort erraten und
> erfolgreich probieren können? Im normalen Wortschatz kommen meine
> Passworte nicht vor. Ein Mix aus Silben und Sonderzeichen.
Ja, und? Wenn er 10'000'000 Usernamen mit den zugehörigen Paßworthashes
hat, kann er versuchen, die Hashes zu knacken. Und irgendeiner von den
Usernamen wird dann schon sein "12345", "passwort123" oder "f6/V12-gmx"
(weil das andere "f6/V12-wow" lautete) als Paßwort wiederverwendet haben.
> Es ist immer wieder faszinierend wie solche angeblich erfolgreichen
> Versuche im Fernsehen gezeigt werden. Da laufen in atemberaubender
> Geschwindigkeit Hexzahlengruppen über den Bildschrim und nach ein paar
> Sekunden steht das Passwort in Klartext da und der Moderator loggt
> sich damit demonstrativ als Beweis bei Ebay ein. Das glaube ich
> einfach nicht.
Wenn er bei Ebay das gleiche Paßwort verwendet wie das aus der geknackten
Datenbank (sofern es nicht ohnehin die von Ebay wäre) wird das klappen.
Und ja, das ist natürlich der Show wegen.
Aber was die Leute immer wieder gern verkennen ist ja nicht, daß es darum
geht, /eine/ spezifische Person bzw. deren Accounts anzugreifen, sondern
eine /beliebige/. Der Rest ist eine Frage der Wahrscheinlichkeit.
Vinzent.
-- The most likely way for the world to be destroyed, most experts agree,
is by accident. That's where we come in; we're computer professionals.
We cause accidents.
-- Nathaniel Borenstein
die IMHO nichts nutzt, weil keiner so viele Versuche bis zum Erfolg
durchf hren kann und wohl nur in den seltensten F llen irgendwas mit
Passwortlisten anfangen kann, die genau zu dem zu knackenden Passwort
passen k nnten.
>Da brute force Angriffe immer schneller werden, muessen Passwoerter
>hinreichend viele Moeglichkeiten haben, um standzuhalten.
brigens ist die eigentliche Message des von mir zitierten Artikels,
die eigentliche Erkenntnis der Spieleschmiede ArenaNet, da die
heutigen Hacker von Spiele-Servern mehrheitlich gar keine
BruteForce-Methoden verwenden, sondern die Benutzer- und Pa w rter
bereits kennen! Aus Phishingattacken, Keyloggern uws. Und sie n tzen
die Tatsache aus, da sehr viele Spieler die desselben Accountdaten
f r verschiedene Spiele benutzen. Hei t: 1 Server geknackt und Daten
gestohlen oder die Daten per Phishing f r 1 Spiel abgegriffen, ffnet
Zugang zu weiteren Spielen.
>Da liegt Dein Denkfehler. Du bekommst nicht die Antwort "Treffer bei >'correct'". Du bekommst nur die Antwort "falsches Passwort".
Das ist mir inzwischen auch aufgegangen, ja. :-)
Nach Eingabe von "c", bekommt der Hacker ja keine Best tigung daf r,
da "c" an dieser Position richtig ist. Er mu immer die gesamte
Zeichenkette ausprobieren und bekommt nur f rs Ganze ein "richtig"
oder "falsch".
Verwirrend sind die " blichen W rter" halt deswegen, weil immer betont
wurde, man solle in Pa w rter keine solchen W rterbuchw rter
verwenden, auch nicht als Teil des Pa worts, z. B. als bkcorrectQa.
Offensichtlich stellt bei "correcthorsebatterystaple" die *L nge* die
Sicherheit her und macht die darin verwendeten blichen W rter f r den
Benutzer ungef hrlich.
>Verwirrend sind die " blichen W rter" halt deswegen, weil immer betont
>wurde, man solle in Pa w rter keine solchen W rterbuchw rter
>verwenden
Herrgottsakra, vor lauter Logarithmen kann ich jetzt nimmer Deutsch.
--> man solle in Pa w rterN
(Kam davon, weil ich zuerst "in Pa w rter ... packen" schreiben
wollte.)
> Verwirrend sind die "üblichen Wörter" halt deswegen, weil immer betont
> wurde, man solle in Paßwörter keine solchen Wörterbuchwörter
> verwenden, auch nicht als Teil des Paßworts, z. B. als bkcorrectQa.
Das ist ja auch grundsätzlich richtig. Eine wirklich zufällige Folge
von 11 Zeichen (nicht nur kleine und große Buchstaben, sondern auch
Zahlen und Sonderzeichen) ist deutlich sicherer, als wenn 7 dieser 11
Zeichen ein "Wörterbuchwort" sind wie in Deinem Falle.
Andersherum sind 25 Zeichen sicherer als 11.
> Offensichtlich stellt bei "correcthorsebatterystaple" die *Länge* die
> Sicherheit her und macht die darin verwendeten üblichen Wörter für den
> Benutzer ungefährlich.
> Manchmal kriegt man auch in der IT das Gefühl, deren Aussagen seien so
> gewiß wie jene der Ernährungsberater, die uns heute davon abraten, das
> zu essen, was sie uns gestern empfohlen haben.
> Jahrelang wird einem von Kundigen der IT-Sicherheit geraten,
> Passwörter mindestens 8stellig zu wählen, alphanumerisch, mit Groß-
> und Kleinbuchstaben und Sonderzeichen.
Hier findest Du diesbezüglich einen sehr gut erklärenden Artikel, allerdings nur in English.
Interessant ist eventuell noch die am Ende des Artikel erwähnte Passcard (http://passwordcard.org). Eine zuverlässige, einfache, flexible Lösung für das tägliche Passwort-Problem.
Robert Jasiek <jas...@snafu.de> wrote:
> Dietz Proepper wrote:
>> 2000^4/2
> Wieso /2 ?
2000^4 ist die Gesamtheit der Möglichkeiten. Die Hälfte davon ist die
Anzahl Möglichkeiten, die man im Durchschnitt testen muss, um einen
Treffer zu erhalten.
cu
59cobalt
-- "All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Werner Tann <wt...@gmx.at> wrote:
> Ansgar -59cobalt- Wiechers <usenet-2...@planetcobalt.net> schrieb:
>> Wer's verstehen will, muss sich mit der Mathematik beschäftigen.
>> Wer sich nicht mit der Mathematik beschäftigen will, wird's nicht
>> verstehen.
> Ich bin davon überzeugt, [...]
Das steht dir frei.
cu
59cobalt
-- "All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Werner Tann wrote:
> Dietz Proepper <dietz-n...@rotfl.franken.de> schrieb:
>>Da liegt Dein Denkfehler. Du bekommst nicht die Antwort "Treffer bei
>>'correct'". Du bekommst nur die Antwort "falsches Passwort".
> Das ist mir inzwischen auch aufgegangen, ja. :-)
Gut.
> Nach Eingabe von "c", bekommt der Hacker ja keine Bestätigung dafür,
> daß "c" an dieser Position richtig ist. Er muß immer die gesamte
> Zeichenkette ausprobieren und bekommt nur fürs Ganze ein "richtig"
> oder "falsch".
Exakt.
> Verwirrend sind die "üblichen Wörter" halt deswegen, weil immer betont
> wurde, man solle in Paßwörter keine solchen Wörterbuchwörter
> verwenden,
Naja, es heißt eigentlich, dass man kein solches verwenden soll. Von *mehrere* ist selten die Rede. Zudem, es gibt nachwievor Systeme, welche Passwörter auf recht kurze Längen begrenzen, dort sind wortbasierte Passwörter eher ungeschickt.
> auch nicht als Teil des Paßworts, z. B. als bkcorrectQa.
> Offensichtlich stellt bei "correcthorsebatterystaple" die *Länge* die
> Sicherheit her und macht die darin verwendeten üblichen Wörter für den
> Benutzer ungefährlich.
Exakt. Ein Wort <-> 2000 Versuche, zwei Wörter, 2000*2000 usw. wenn man vielleicht noch ungewöhnliche Wörter mit einmischt, dann wird das Alphabet (d.h. die Menge der Wörter) nochmal wesentlich größer.
-- The Eagle has landed.
