Ideales Passwort

Das ideale Passwort sollte aus Zeichen und Buchstaben in groß und klein bestehen. Ein Buchstabe der sich wiederholt ist im schlimmsten Fall ein Sicherheitsrisiko. Man kann auch Sonderzeichen verwenden (die anderen sollte man nicht verwenden - die kann man unter Umständen nicht eingeben), !@#$%^&*()[],. sind diese. So kommt man auf eine Länge von 76 Zeichen, in dem alles genau einmal drin ist. Jede Zahl, jedes Sonderzeichen, jeder Buchstabe groß, jeder Buchstabe klein. Zufällige Anordnung, versteht sich.

So, und jetzt mal paranoia beiseite. Was gibts zum Nachtisch?

Tja, nicht ganz weitergedacht, da in diesem Szenario ja unter allen Möglichkeiten, die es mit den besagten Zeichen gibt nur diese verwendet werden, in denen jedes Zeichen genau (oder maximal) einmal vorkommt - also quasi ohne "Zurücklegen". Somit ist das also schonmal keine ideale Vorgehensweise :P.

Ohne Paranoia: Dampfnudel oder Crepes vom Weihnachtsmarkt (wenn man denn gezwungen wurde dahin zu gehen) ;)

Kat schrieb:
--------------------------------------------------------------------------------
> Das ideale Passwort sollte aus Zeichen und Buchstaben in groß und klein
> bestehen. Ein Buchstabe der sich wiederholt ist im schlimmsten Fall ein
> Sicherheitsrisiko. Man kann auch Sonderzeichen verwenden (die anderen
> sollte man nicht verwenden - die kann man unter Umständen nicht eingeben),
> !@#$%^&*()[],. sind diese. So kommt man auf eine Länge von 76 Zeichen, in
> dem alles genau einmal drin ist.

Das ist ein Scherz, oder? Falls nicht: Erstens kann ein WPA-Schlüssel maximal 63 Zeichen lang sein. Bleibt man also bei deiner Prämisse, aus 63 verschiedenen Zeichen alle möglichen Permutationen ohne Wiederholung zuzulassen, gibt uns das genau 63! = ca. 1.98 * 10^87 verschiedene Passwörter.

Warum nicht einfach alle Variationen mit Wiederholung zulassen? Das sind dann nämlich 76^63 Passwörter (um bei deinen 76 erlaubten Zeichen zu bleiben), was ungefähr 3.10 * 10^118 entspricht - also doch ein gutes Stück mehr.

EDIT: Empfehlenswert ist es natürlich, ein so generiertes Passwort noch einmal per Wörterbuchangriff zu testen - prinzipiell könnte der Generator ja auch "katze123katze123..." ausspucken. Solche Ergebnisse sollte man dann wohl ausnehmen :)


> So, und jetzt mal paranoia beiseite. Was gibts zum Nachtisch?

Ich empfehle ein gutes Einsteigerbuch für Wahrscheinlichkeitsrechnung bzw. Kombinatorik.



1 mal bearbeitet, zuletzt am 08.12.09 19:09 durch -.-.

was hällst du eigentlich passwort-generatoren ?

einige leute sind ja oft sehr misstrauisch diesen gegenüber^^

und kann man da einen mit gutem gewissen empfehlen?

ich nutze den von keepass.

mfg

Passwort Generatoren sind immer nur so sicher, wie die Quelle aus denen sie Zufallszahlen gewinnen - wobei selbst ein zeitbasierter Pseudozufallsgenerator hier schon für Liesschen Müller ausreichend gut ist; denn auch wenne in Angreifer genau weiß welcher Generator benutzt wurde und ungefähr um welche Uhrzeit welchen Datums, so viel einfacher wird das knacken dadurch auch nicht - es schränkt zwar die Anzahl der zu probierenden Passwörter ein, aber es sind immer noch verdammt viele.

Wichtig ist nur, dass er offline läuft. Weil dir ein Passwort online erzeugen zu lassen, um es dann über das Internet zu schicken - SSL hin oder her - ist einfach keine gute Idee.

/Mecki

Also ich nehme immer passwort als Passwort =)

-.- schrieb:
--------------------------------------------------------------------------------
> Kat schrieb:
> ---------------------------------------------------------------------------
> -----
> > Das ideale Passwort sollte aus Zeichen und Buchstaben in groß und klein
> > bestehen. Ein Buchstabe der sich wiederholt ist im schlimmsten Fall ein
> > Sicherheitsrisiko. Man kann auch Sonderzeichen verwenden (die anderen
> > sollte man nicht verwenden - die kann man unter Umständen nicht
> eingeben),
> > !@#$%^&*()[],. sind diese. So kommt man auf eine Länge von 76 Zeichen,
> in
> > dem alles genau einmal drin ist.
>
> Das ist ein Scherz, oder? Falls nicht: Erstens kann ein WPA-Schlüssel
> maximal 63 Zeichen lang sein. Bleibt man also bei deiner Prämisse, aus 63
> verschiedenen Zeichen alle möglichen Permutationen ohne Wiederholung
> zuzulassen, gibt uns das genau 63! = ca. 1.98 * 10^87 verschiedene
> Passwörter.
>
> Warum nicht einfach alle Variationen mit Wiederholung zulassen? Das sind
> dann nämlich 76^63 Passwörter (um bei deinen 76 erlaubten Zeichen zu
> bleiben), was ungefähr 3.10 * 10^118 entspricht - also doch ein gutes Stück
> mehr.
Mal abgesehen davon. Die folgenden Zeichen sind KEINE Sonderzeichen sondern auf jeder US-Tastatur zu finden und damit immer eingebbar:
1234567890
a-z
A-Z
,.;:'"|\/!@#$%^&[](){}_+-*=~<>?
Das dürften schon 93 sein, wenn ich mich nicht verzählt habe. Eventuell müsste man natürlich Tottasten (~^) weglassen.

Ich würde aber schon aus Prinzip noch exotischere Zeichen wie …·»«ð€ŧ←↓ł¶œçäößØ verwenden. Wenn man die unter Windows nicht leicht eingeben kann, ist das umso besser ;)

Buzzel schrieb:
--------------------------------------------------------------------------------
> Also ich nehme immer passwort als Passwort =)


Das ist internationalen Crackern gegenüber aber nicht sehr fair; "password" wäre besser.

Hast Recht, steht ja auch da

"Passwort eingeben"

Nehmt 'n Umlaut mit rein (ä,ö,ü) und ihr habt schon mal den Großteil der auf der Welt lebenden Hackern sicher ausgesperrt.

Die kennen die Zeichen nämlich gar nicht.

Also ich habe einen 30-Seitigen Buchstabenwürfel auf meinem Schreibtisch liegen, und manchmal auch einen 8-Seitigen Würfel zusätzlich.

Golum schrieb:
--------------------------------------------------------------------------------
> Nehmt 'n Umlaut mit rein (ä,ö,ü) und ihr habt schon mal den Großteil der
> auf der Welt lebenden Hackern sicher ausgesperrt.
>
> Die kennen die Zeichen nämlich gar nicht.


hahahhahhahaha danke das du mich zum lachen gebracht hast hahaha

ecelim schrieb:
>
> hahahhahhahaha danke das du mich zum lachen gebracht hast hahaha

Wäre auch n tolles Passwort. Semantisch mehr oder weniger sinnvolle Sätze, die syntaktisch falsch sind. Da bleiben dann auch die deutschen Hacker aussen (bei Dir dann "ausen") vor ;-)

Ich nehme als Passwort den vollen Namen mit Telefonnummer der Mutter des Hackers. Dann wollen wir ja mal sehen ;o)

Da braucht der "Hacker" nur seine Schwester fragen. Die Daten sind identisch, selbst dann, wenn du die Sozialversicherungsnummer mit rein nimmst.

Kat schrieb:
--------------------------------------------------------------------------------
> Ein Buchstabe der sich wiederholt ist im schlimmsten Fall ein
> Sicherheitsrisiko.

Solche falschen Aussagen demonstrieren mal wieder, dass Amateure kein Cryto machen sollten. Nein, ein Informatik-Diplom oder Ingenieursabschluss reicht nicht, verleitet vielleicht noch eher zu falschen Annahmen wie oben.

True, true, but...
leider nicht weit genug gedacht. Es fängt ja leider schon damit an, dass diverse Router-/AP-Hersteller grundsätzlich nicht beliebige Zeichen zulassen. Andere beschränken unsinnigerweise die Maximallänge auf eine unter 63 Zeichen. Zudem sollte mE (zumindest bei den Consumer-Geräten) keine eigene Phrase eingegeben werden dürfen. Der AP sollte das selbst pseudo-random generieren und dann eine Datei mit der Phrase anbieten (ö.ä.).

Oho, ein Diplom Neider. Ja in deinem Keller hast sicher mehr Wissen ergoogled.