Wie schnell können deine Passwörter gecrackt werden?

13.06.2010 | 12 Kommentare | Jeffrey

Durch Mat­thias bin ich heute über Twit­ter auf einen inter­es­san­ten Bei­trag von Mike gestoßen.

In die­sem Bei­trag geht es darum wie schnell dass Pass­wör­ter mit einem mit­tel­mä­ßi­gen Com­pu­ter gecrackt wer­den können.

So wie ich das aus der Gra­fik her­aus­le­sen konnte, sollte man keine Pass­wör­ter unter 8 Zei­chen (Klein­buch­sta­ben, Groß­buch­sta­ben, Zah­len und Son­der­zei­chen) verwenden.

So eine Aus­sage ist jedoch schwer zu tref­fen, da andere Umstände wie Art der Passwort-Verschlüsselung oder auch Metho­den wie Wörterbuch-Attacken nicht erwähnt werden.

KeePass

Ein klei­ner Satz am Rande: Auch ein siche­res Pass­wort bringt sehr wenig, wenn man sich dann bei­spiels­weise in einem öffent­li­chen WLAN unver­schlüs­selt irgendwo damit einloggt.

Jetzt meine Frage: Legt ihr viel Wert auf die Passwort-Sicherheit? Ver­wen­det ihr Tools wie Kee­Pass, dass ihr euch die Pass­wör­ter nicht mer­ken müsst?

Ähnliche Artikel

Schwache Anwendungsspezifische Passwörter bei Google?
Vom Song, Satz oder Film zum sicheren Passwort
WebBrowserPassView: Browserunabhängig Passwörter auslesen
Windows Passwörter mit ophcrack auslesen

12 Kommentare

  1. TeneTours (13/06/2010) Antworten

    Es ist erstaun­lich was man­che Leute für sichere Pass­wör­ter hal­ten. Mitt­ler­weile fin­den sich ja genü­gend Rain­bow Tables im Web die man füt­tern kann, des­halb sollte man ein Pass­word aus ver­schie­de­nen Zei­chen wäh­len. Es gibt ja genü­gend Gene­ra­tor im Web.

    Kee­Pass kenne ich nicht, kannst du es empfehlen? :-)

  2. Michael (13/06/2010) Antworten

    Hallo
    in mei­ner online-Anfangszeit hatte ich nur ein Pass­wort für alle Seiten.

    Dann kam mal eine die auch Zah­len haben wollte, da habe ich mir ein zwei­tes Pass­wort zuge­legt. Das habe ich aber nur benutzt wo Zah­len erfor­der­lich waren.

    In letz­ter Zeit bin ich dazu über gegan­gen, mein Stan­dard­pass­wort um eine zur Seite pas­sende Zahlen/Zeichen/Buchstaben Kom­bi­na­tion zu erweitern.

    Vor kur­zem hat mein Homepage-Hoster mir ein neues Pass­wort zusen­den müs­sen, das war eines aus einer sinn­lo­sen Zahlen/Zeichen/Klein-Großbuchstaben Kom­bi­na­tion.
    Erst dachte ich, das ich mir das nicht mer­ken kann. Aber jetzt habe ich es ein paar mal benutzt und ich muss sagen auch so eine sinn­lose Abfolge von Zei­chen kann man sich merken.

    Das Pro­blem ist jetzt aber, dass man sicher­heits­hal­ber für jede Seite eine andere sinn­lose Zei­chen­folge braucht, und da wird es schwie­rig sich das alles zu merken.

  3. Jeffrey (13/06/2010) Antworten

    @Michael:

    Durch das, dass ich Kee­Pass für die Passwort-Verwaltung benutze, muss ich mir nur noch ein Pass­wort mer­ken und die rest­li­chen Pass­wör­ter sind alle kom­plett ver­schie­den und in Kee­Pass abgelegt.

  4. Jeffrey (13/06/2010) Antworten

    @TeneTours:

    Das mit den Rain­bow Tables kommt natür­lich auch noch dazu, das stimmt!

    Ich nutze Kee­Pass bestimmt schon ein Jahr und kann es auf jeden Fall empfehlen.

    Wiki­pe­dia bezüg­lich Sicherheit:

    «Die Kenn­wort­da­ten­bank ver­schlüs­selt Kee­Pass wahl­weise nach dem Advan­ced Encryp­tion Standard-Algorithmus (AES) oder dem Twofish-Algorithmus; beide gel­ten als äußerst sicher. Die Hash-Funktion zur Ermitt­lung eines ein­deu­ti­gen Prüf­wer­tes über­nimmt SHA-256.»

  5. caschy (13/06/2010) Antworten

    Kom­plexe Pass­wör­ter, wech­selnd + Kee­PassX. Nuff said :)

  6. Jeffrey (13/06/2010) Antworten

    @caschy:

    Ich muss mir auch mal über­le­gen, ob ich zu Kee­PassX wech­seln soll, da das natür­lich auch unter Linux funk­tio­nie­ren würde :)

  7. Konstel (13/06/2010) Antworten

    Was hal­tet ihr eigent­lich so von Last­Pass?
    Da gibt es halt auch ein Mas­ter PW, aber alle PWs sind in der Cloud und kom­men übers Internet.

  8. Knut (14/06/2010) Antworten

    Naja einen klei­nen Teil der Fra­gen hat­ten wir ja bei mir schon geklärt. Klar 8 Zei­chen sind in 0,nix geknackt, wenn das ange­grif­fene Sys­tem keine ent­spre­chen­den Gegen­maß­nah­men führt. (Login sper­ren nach 3 Attempts etc.)

    Ich per­sön­lich arbeite mit 25-Stelligen Pass­wör­tern (Ich muss sie mir ja nicht mer­ken) mit 56 Zei­chen pro Stelle. So geht selbst bei ange­nom­me­nen 100mio Break-Attempts pro Sekunde die Welt sicher noch ein paar Mal unter bis die durch­ge­lau­fen sind.

    Wörterbuch-Angriffe etc. kann man sich spa­ren. Das prüft mein Gene­ra­tor, dass das kei­nen Sinn macht. Somit kann man bei mir ent­we­der über den Hash, wenn man ihn in die Fin­ger bekommt oder über einen Bru­te­Forcer ver­su­chen das Pass­wort zu kna­cken. Und wenn jemand den Hash in die Fin­ger bekommt, dann ist das Ziel­sys­tem sowieso schon gefal­len und er hat Voll­zu­griff auf die Daten. Dank mei­ner 1-Passwort-pro-Dienst Regel bleibt alles andere wei­ter­hin sicher.

    Gespei­chert wird der ganze Kram (1 Pass­wort für jeden Login, keine Dop­pel­ver­wen­dung) auf einem eige­nen Ser­ver mit einer ent­spre­chen­den Ver­schlüs­se­lung der Ein­träge in der Daten­bank basie­rend auf einer eige­nen Software.

    Was das WLAN angeht: Is mir voll­kom­men wumpe. Das erste was mein Lap­top macht, wenn er Inter­net sieht: VPN auf­bauen und Default-Gateway umbie­gen. Somit befinde ich mich vom Pake­trou­ting direkt in einem von mir ver­wal­te­ten und so weit siche­ren Netz­werk. Pech für die Snif­fer des WLAN-Betreibers.

  9. Jeffrey (14/06/2010) Antworten

    @Konstel:

    Ich per­sön­lich möchte nicht, dass andere allen­falls meine Pass­wör­ter ein­se­hen kön­nen.
    Drop­box in Zusam­men­hang mit Kee­Pass fände ich hin­ge­gen aber OK. Nutze ich aktu­ell aber noch nicht.

    @Knut

    Bezüg­lich den Gegen­mass­nah­men habe ich gerade eine kleine Frage an dich: Kann ich das mit den maxi­mal fal­schen Log­ins mit SSH / Linux-Server rea­li­sie­ren und hal­test du das für sinnvoll?

    Wie hast du deine Passwort-Datenbank rea­li­siert? Sel­ber ent­wi­ckelt oder irgend ein Open­Source Pro­jekt dahinter?

    Auch zum VPN habe ich noch eine Frage: Wäre es even­tu­ell mög­lich, dass du zu dem Thema einen Bei­trag in dei­nem Blog schreibst? Bei­spiels­weise, was du als VPN-Server ver­wen­dest (PC Zuhause, Ser­ver im RZ,…) und was für eine Soft­ware dar­auf ein­ge­setzt wird. Würde mich interessieren.

  10. Knut (14/06/2010) Antworten

    Zu dei­ner ers­ten Frage: Ja, es ist mög­lich die SSH-BruteForcer zu kil­len. Eine der Mög­lich­kei­ten ist ssh­guard (http://www.sshguard.net/), wel­ches sich deine Log­files schnappt dar­aus die Login-Attempts aus­liest und in eine spe­zi­elle Firewall-Regel schreibt, um den­je­ni­gen zu besei­ti­gen. Wie sinn­voll es ist musst du sel­ber beur­tei­len. Ich setze es nicht ein, da meine Sys­teme anders gesi­chert sind. (ID-Files, hohe Pass­wort­si­cher­heit / Pass­wör­ter nicht erlaubt)

    Die Pass­wort­da­ten­bank ist eine Eigen­ent­wick­lung, wel­che aller­dings momen­tan kom­plett über­ar­bei­tet wird. (Ist zumin­dest eins der Pro­jekte auf mei­ner Liste…)

    Klar kann ich mir mal auf­schrei­ben, dass ich dazu einen Arti­kel auf­setze wie man das realisiert.

  11. Jeffrey (14/06/2010) Antworten

    @Knut:

    Danke für die Hilfe!

    Ich freue mich auf den VPN-Artikel :)

  12. Boehrsi (16/06/2010) Antworten

    Also ich lege auch Sicher­heit viel Wert und habe somit lange Pass­wör­ter, aber lei­der zum Teil halt ähnli­che Pass­wör­ter bei ver­schie­de­nen Diens­ten, aber eigent­lich nie kom­plett gleiche.

    Verw­la­tungs­tools für meine PWs nutze ich nicht, weiß nicht denn ich habe beden­ken das wenn man den Zugang zu dem Tool dann knackt, dass dann ein­fach mal alle auf ein­mal weg wären und das wäre mal echt der Super-Gau ^^.

Beitrag kommentieren

Kommentieren ohne Angabe von Name und E-Mail Adresse möglich. Kommentare werden moderiert. Spam und Offtopic wird gelöscht.