Sicherste verschlüsselung mit eigenem Passwort
-
Was ist die sicherste Verschlüsselung mit einem Passwort, dass man selber aussuchen und merken kann. Also keinen privaten Schlüssel den man irgendwo speichern muss.
-
One-Time Pad. Ah ne, da ist dir das Passwort wohl zu lang. AES ist zwar nicht so sicher, aber weit verbreitet und sicher ausreichend.
-
cooky451 schrieb:
AES ist zwar nicht so sicher, aber weit verbreitet und sicher ausreichend.
AES unsicher? Ich glaube, der BND hat eine offene Stelle für dich.
-
komparativ?
-
SeppJ schrieb:
cooky451 schrieb:
AES ist zwar nicht so sicher, aber weit verbreitet und sicher ausreichend.
AES unsicher? Ich glaube, der BND hat eine offene Stelle für dich.Er hat nicht geschrieben, dass AES unsicher ist. AES ist allerdings nicht so sicher wie das One-Time-Pad Verfahren. Bei One-Time-Pad hat man bewiesen, dass es nicht geknackt werden kann, wenn der Schlüssel korrekt gewählt wird. Bei AES dagegen konnte man inzwischen Schwächen entdecken, welche allerdings aktuell noch keine Relevanz in der Praxis haben.
Von daher stimmt die Aussage, dass AES unsicherer ist als One-Time-Pad. Aber die Aussage ist natürlich eher ironisch gemeint
Grüssli
-
.oO fragt sich noch, wie man bei längeren texten den schlüssel generieren würde Oo.
-
hmmm... schrieb:
.oO fragt sich noch, wie man bei längeren texten den schlüssel generieren würde Oo.
damit du das knacken kannst oda watt
-
qwertzuioasdfghj schrieb:
Was ist die sicherste Verschlüsselung mit einem Passwort, dass man selber aussuchen und merken kann. Also keinen privaten Schlüssel den man irgendwo speichern muss.
Alle marktüblichen Verschlüsselsverfahren sind wesentlich sicherer als die Verwendung von selbst gewählten Schlüsseln, die man sich merken kann.
Ciao, Allesquatsch
-
Machst deinem Namen ja alle Ehre.
-
cooky451 schrieb:
Machst deinem Namen ja alle Ehre.
Ich kann das Verfahren angreifen oder den Schlüssel.
Auch ein perfektes Verfahren nützt nichts, wenn man per Brute-force mal eben die Schlüssel durchtesten kann. Bei dem, was sich manche Leute aussuchen und merken können, schafft das manch Gamer-PC in ein, zwei Tagen.Ciao, Allesquatsch
-
Ich kann das Verfahren angreifen oder den Schlüssel.
Auch ein perfektes Verfahren nützt nichts, wenn man per Brute-force mal eben die Schlüssel durchtesten kann. Bei dem, was sich manche Leute aussuchen und merken können, schafft das manch Gamer-PC in ein, zwei Tagen.Jetzt versuch dich nicht mit "manche Leute" rauszureden, jeder der nicht gerade geistig behindert ist, kann sich mit einer halbwegs ordentlichen Technik ganz locker mindestens 5 Passwörter merken die auch 1000 GTX 690 nicht in 1000000 Jahren knacken können. Insofern ist die Aussage
Alle marktüblichen Verschlüsselsverfahren sind wesentlich sicherer als die Verwendung von selbst gewählten Schlüsseln, die man sich merken kann.
einfach nur schwachsinnig. Zumal die Aussage sich ja schon selbst widerspricht. AES ist wohl mehr als marktüblich und kann problemlos mit einem "merkbaren" Passwort genutzt werden. Insofern kann man dazu nur sagen: Allesquatsch.
-
@cooky451
Meinte er nicht dass viele Passwörter relativ unsicher sind, eben weil sie leicht zu merken sind und weil sie auch relativ oft benutzt werden und dadurch ein Eindringling relativ schnell das Passwort erraten kann ?Mal anders herum gefragt:
Man sitzt vor einem fremden Computer und möchte sich unter einem fremden Account einloggen ? Welches Passwort würdest du zuerst probieren ?
-
qwertzuioasdfghj schrieb:
Was ist die sicherste Verschlüsselung mit einem Passwort, dass man selber aussuchen und merken kann.
Die größte Schwachstelle befindet sich ca. 60 cm vor dem Bildschirm und beinhaltet das "Passwort, dass man selber aussuchen und merken kann".
-
Bitte ein Bit schrieb:
@cooky451
Meinte er nicht dass viele Passwörter relativ unsicher sind, eben weil sie leicht zu merken sind und weil sie auch relativ oft benutzt werden und dadurch ein Eindringling relativ schnell das Passwort erraten kann ?Kann ich aus
Allesquatsch schrieb:
Alle marktüblichen Verschlüsselsverfahren sind wesentlich sicherer als die Verwendung von selbst gewählten Schlüsseln, die man sich merken kann.
nicht herauslesen. Ich sehe da nur grandioses Unwissen.
-
Hallo Cooky
cooky451 schrieb:
einfach nur schwachsinnig.
Wahrscheinlich werden wir auch unterschiedliche Meinung darüber haben, welches Verbesserungspotenzial bei Deinen Umgangsformen, beim Textverständnis und bei dem Verständnis von Kryptologie besteht.
Aber ich bin durchaus gewillt, auf halbwegs sachliche Argumente einzugehen.
Vielleicht schaffst Du ja auch ein Streitgespräch auf Sachebene, auch wenn wir nicht zu einer gemeinsamen Einschätzung kommen.
AES ist wohl mehr als marktüblich und kann problemlos mit einem "merkbaren" Passwort genutzt werden.
Dein "problemlos" kann sich IMHO aber nur auf die Nutzung, nicht aber auf den Aspekt Sicherheit beziehen.
Ich darf mal zitieren:AxCrypt Handbuch schrieb:
The following is true of a file encrypted with AxCrypt:
· If you are using a key-file, your information is protected by the full 128-bit strength of AES - currently considered unfeasible to break.
· If you are using a pass phrase only, AxCrypt will protect your information within the limits of that pass phrase. If it's too short, security suffers. Anything shorter than 10 characters is short. Full 128-bit strength requires a meaningless sequence of at least 22 characters.Zufällige 22 ASCII-Charakter sind meines Erachtens nichts mehr, was sich Leute aussuchen und merken würden. Diverse Programme bieten inzwischen den Service, bereits bei der Eingabe eines Passwortes dessen Eignung als farbigen Balken anzuzeigen und die Entropie in bit zu messen.
cooky451 schrieb:
Jetzt versuch dich nicht mit "manche Leute" rauszureden, jeder der nicht gerade geistig behindert ist, kann sich mit einer halbwegs ordentlichen Technik ganz locker mindestens 5 Passwörter merken die auch 1000 GTX 690 nicht in 1000000 Jahren knacken können.
Da ich beruflich mit der Materie zu tun habe, möchte ich Deine polemische Unterstellung zurückweisen, dass nur geistig Behinderte ein Problem damit haben. Wenn man den Anwender sein Passwort selbst aussuchen lässt, sind komplexe Passworte auch heute noch die seltene Ausnahme. Selbst in Unternehmen, in denen die meisten Anwender Akademiker sind und bei denen es diverse Schulungen und Anweisung gibt.
Selbst ich war hier faul und habe für das Forum nur mein siebenstelliges Standardpasswort gewählt. Keepass misst da eine Entropie von 32bit. So etwas knackt bereits eine Grafikkarte in einer Sekunde.
Von daher: Wenn es Passworte sein sollen, die sich die Leute selbst aussuchen können und merken sollen, ist man schon vom Schlüssel her um Dimensionen unter der Sicherheit von Standardalgorithmen.
Es gibt hinreichend empirische Analyse, was Leute als Passworte verwenden. Und ich glaube nicht, dass die alle geistig Behinderte sind.Ciao, Allesquatsch
ps.: Hätte vielleicht erwähnen sollen, dass ich davon ausgehe, dass professionelle Brute-Force-Angriffe natürlich nicht dumm durchprüfen, sondern die empirischen Wahrscheinlichkeiten einzelner Zeichen und Zeichensequenzen berücksichtigen.
-
Allesquatsch schrieb:
Zufällige 22 ASCII-Charakter sind meines Erachtens nichts mehr, was sich Leute aussuchen und merken würden.
Na ja, 22 Zeichen sind in der Tat mehr als geschätzt. Ich würde eher von 12-16 ausgehen. Das ist gut merkbar. Mal rechnen:
http://de.wikipedia.org/wiki/Brute-Force-Methode schrieb:
Schon auf einem handelsüblichen Mittelklasse-Computer können etwa 15 bis 25 Millionen Passwörter pro Sekunde ausprobiert werden (Stand 2008).
Okay, sagen wir mal, wir sind bei 120 Millionen bei einer ordentlichen Kiste angekommen. Wir nehmen ein Alphabet aus 68 (24 + 24 + 10 +10) Zeichen an. Und einen Angreifer mit 100 solcher Kisten im Zimmer. (Die Stromrechnung will ich nicht bekommen.) Dann mal los.
12 Stellen: 68^12 / (120000000 * 100) / 60 / 60 / 24 / 365 = 25829
14 Stellen: 68^14 / (120000000 * 100) / 60 / 60 / 24 / 365 = 119436460
16 Stellen: 68^16 / (120000000 * 100) / 60 / 60 / 24 / 365 = 552274193753Da scheine ich ja ein paar ganz tolle Neuerungen verpasst zu haben. Sind die Rechner wirklich so schnell, dass wir jetzt 22 Stellen brauchen? Hm. AES-128? War da nicht was? Genau, der Key ist ja nur 128 bit (16 byte) groß. Hm. Jetzt müssen wir die 22 Zeichen da rein pressen. Klappt net so richtig. Na gut, nehmen wir die 7 Byte. 128 / 7 = 18.29. Nä, geht nicht. Okay, einige Sonderzeichen werden bestimmt nicht genutzt, lieber auf Nummer sicher gehen. 128 / 6 = 21.334. Sieht schon besser aus. Heißt das jetzt die verwenden intern einen Algorithmus, der das Passwort noch mal ein bisschen mixt? Warum schreiben sie dann nicht dazu, dass man auch einen langen Satz nehmen kann, man dann nur viel mehr Zeichen braucht? Du kannst mich sicher aufklären.
Allesquatsch schrieb:
Wenn man den Anwender sein Passwort selbst aussuchen lässt, sind komplexe Passworte auch heute noch die seltene Ausnahme. Selbst in Unternehmen, in denen die meisten Anwender Akademiker sind und bei denen es diverse Schulungen und Anweisung gibt.
Zwischen Faulheit und Unfähigkeit liegen oft Welten.
Allesquatsch schrieb:
Selbst ich war hier faul und habe für das Forum nur mein siebenstelliges Standardpasswort gewählt.
Da haben wir's ja. Weil der Forenaccount ja auch nicht besonders wichtig ist. Hat aber nichts mit Unfähigkeit zu tun.
Allesquatsch schrieb:
Es gibt hinreichend empirische Analyse, was Leute als Passworte verwenden. Und ich glaube nicht, dass die alle geistig Behinderte sind.
Ich halte sie für faul.
Allesquatsch schrieb:
ps.: Hätte vielleicht erwähnen sollen, dass ich davon ausgehe, dass professionelle Brute-Force-Angriffe natürlich nicht dumm durchprüfen, sondern die empirischen Wahrscheinlichkeiten einzelner Zeichen und Zeichensequenzen berücksichtigen.
Das sollte natürlich kaum Auswirkungen haben bei einem ordentlichen Passwort.
Edit: PS:
Mir ist durchaus bewusst, dass viele Leute schache Passwörter verwenden. Trotzdem halte ich die Aussage, Schlüssel die man sich merken kann seien so gut wie immer unzureichend für einfach nur haarsträubend. Mit der richtigen Technik kann jeder sich etwas Hübsches basteln.
-
Hallo cooky451,
ich erkenne sehr positive Entwicklungen.
Zwei Dinge möchte ich noch mal wiederholen:
-
Das, was normale Menschen sich als Passwort aussuchen ist in der Entropie deutlich schlechter als die Schlüssellänge der Verfahren. Von daher ist der Angriff auf ein Passwort deutlich billiger als sich überhaupt mit den Verfahren zu beschäftigen.
Nimm einfach mal Dein Passwort und lass Keepass die Entropie messen. Ist natürlich nur eine Heuristik, gibt aber einen Anhaltspunkt. Mein Foren-Passwort gehört zu den ersten 4,3 Mrd. Möglichkeiten. -
Angriffe auf Passwörter laufen anders als gegen (pseudo)zufällige Keys. Denn Menschen sind, wie Du selbst erkannt hast, faul und haben entsprechende Vorlieben bei der Wahl selbst gewählter Passworte. Entsprechend findet man die meisten Passwort schon beim abtesten einfacher Kombinationen oder Wörterbucheinträge.
Daher habe ich bei meinem Passwort auf die Sekunde geschlossen. Das ist natürlich vom Algorithmus abhängig und wie viel Aufwand die Erkennung des Entschlüsselung kostet. Aber als Anhaltspunkt nehme ich den Gamer-PC meines Kollegen, der nicht in der IT-Security arbeitet und das Dinge letztes Jahr zum Spielen gebaut hat. Der packt laut Benchmark 15 Mrd. MD5-Hashes in der Sekunde.
Ciao, Allesquatsch
-
-
Allesquatsch schrieb:
Nimm einfach mal Dein Passwort und lass Keepass die Entropie messen.
Gibts sowas auch online?
-
Ich kann mir bspw. Problemlos
jzVbn67PH
merken. Mein Passwort für den Forenaccount ist ähnlich.
-
Nicht, dass ich das so mache, aber für so was ist gut im Passwort Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen, die so ähnlich aussehen. Ich weiß gerade nicht mehr, wie das heißt, aber das ist dafür geradezu perfekt!
-
sagmal schrieb:
Allesquatsch schrieb:
Nimm einfach mal Dein Passwort und lass Keepass die Entropie messen.
Gibts sowas auch online?
Leider weiß ich jetzt nichts als Standalone, aber bei googemail und beim ePostbrief habe ich das auch schon gesehen.
Ciao, Allesquatsch
