3. Sicherste verschlüsselung mit eigenem Passwort

Sicherste verschlüsselung mit eigenem Passwort

  • A

    cooky451 schrieb:

    Machst deinem Namen ja alle Ehre.

    Ich kann das Verfahren angreifen oder den Schlüssel.
    Auch ein perfektes Verfahren nützt nichts, wenn man per Brute-force mal eben die Schlüssel durchtesten kann. Bei dem, was sich manche Leute aussuchen und merken können, schafft das manch Gamer-PC in ein, zwei Tagen.

    Ciao, Allesquatsch

    0
  • C

    Ich kann das Verfahren angreifen oder den Schlüssel.
    Auch ein perfektes Verfahren nützt nichts, wenn man per Brute-force mal eben die Schlüssel durchtesten kann. Bei dem, was sich manche Leute aussuchen und merken können, schafft das manch Gamer-PC in ein, zwei Tagen.

    Jetzt versuch dich nicht mit "manche Leute" rauszureden, jeder der nicht gerade geistig behindert ist, kann sich mit einer halbwegs ordentlichen Technik ganz locker mindestens 5 Passwörter merken die auch 1000 GTX 690 nicht in 1000000 Jahren knacken können. Insofern ist die Aussage

    Alle marktüblichen Verschlüsselsverfahren sind wesentlich sicherer als die Verwendung von selbst gewählten Schlüsseln, die man sich merken kann.

    einfach nur schwachsinnig. Zumal die Aussage sich ja schon selbst widerspricht. AES ist wohl mehr als marktüblich und kann problemlos mit einem "merkbaren" Passwort genutzt werden. Insofern kann man dazu nur sagen: Allesquatsch.

    0
  • B

    @cooky451
    Meinte er nicht dass viele Passwörter relativ unsicher sind, eben weil sie leicht zu merken sind und weil sie auch relativ oft benutzt werden und dadurch ein Eindringling relativ schnell das Passwort erraten kann ?

    http://www.heise.de/security/meldung/Sicherheitsreport-offenbart-miserable-Kennwoerter-schlechter-Virenschutz-1447492.html

    Mal anders herum gefragt:
    Man sitzt vor einem fremden Computer und möchte sich unter einem fremden Account einloggen ? Welches Passwort würdest du zuerst probieren ?

    0
  • M

    qwertzuioasdfghj schrieb:

    Was ist die sicherste Verschlüsselung mit einem Passwort, dass man selber aussuchen und merken kann.

    Die größte Schwachstelle befindet sich ca. 60 cm vor dem Bildschirm und beinhaltet das "Passwort, dass man selber aussuchen und merken kann".

    0
  • C

    Bitte ein Bit schrieb:

    @cooky451
    Meinte er nicht dass viele Passwörter relativ unsicher sind, eben weil sie leicht zu merken sind und weil sie auch relativ oft benutzt werden und dadurch ein Eindringling relativ schnell das Passwort erraten kann ?

    Kann ich aus

    Allesquatsch schrieb:

    Alle marktüblichen Verschlüsselsverfahren sind wesentlich sicherer als die Verwendung von selbst gewählten Schlüsseln, die man sich merken kann.

    nicht herauslesen. Ich sehe da nur grandioses Unwissen.

    0
  • A

    Hallo Cooky

    cooky451 schrieb:

    einfach nur schwachsinnig.

    Wahrscheinlich werden wir auch unterschiedliche Meinung darüber haben, welches Verbesserungspotenzial bei Deinen Umgangsformen, beim Textverständnis und bei dem Verständnis von Kryptologie besteht.

    Aber ich bin durchaus gewillt, auf halbwegs sachliche Argumente einzugehen.

    Vielleicht schaffst Du ja auch ein Streitgespräch auf Sachebene, auch wenn wir nicht zu einer gemeinsamen Einschätzung kommen.

    AES ist wohl mehr als marktüblich und kann problemlos mit einem "merkbaren" Passwort genutzt werden.

    Dein "problemlos" kann sich IMHO aber nur auf die Nutzung, nicht aber auf den Aspekt Sicherheit beziehen.
    Ich darf mal zitieren:

    AxCrypt Handbuch schrieb:

    The following is true of a file encrypted with AxCrypt:
    · If you are using a key-file, your information is protected by the full 128-bit strength of AES - currently considered unfeasible to break.
    · If you are using a pass phrase only, AxCrypt will protect your information within the limits of that pass phrase. If it's too short, security suffers. Anything shorter than 10 characters is short. Full 128-bit strength requires a meaningless sequence of at least 22 characters.

    Zufällige 22 ASCII-Charakter sind meines Erachtens nichts mehr, was sich Leute aussuchen und merken würden. Diverse Programme bieten inzwischen den Service, bereits bei der Eingabe eines Passwortes dessen Eignung als farbigen Balken anzuzeigen und die Entropie in bit zu messen.

    cooky451 schrieb:

    Jetzt versuch dich nicht mit "manche Leute" rauszureden, jeder der nicht gerade geistig behindert ist, kann sich mit einer halbwegs ordentlichen Technik ganz locker mindestens 5 Passwörter merken die auch 1000 GTX 690 nicht in 1000000 Jahren knacken können.

    Da ich beruflich mit der Materie zu tun habe, möchte ich Deine polemische Unterstellung zurückweisen, dass nur geistig Behinderte ein Problem damit haben. Wenn man den Anwender sein Passwort selbst aussuchen lässt, sind komplexe Passworte auch heute noch die seltene Ausnahme. Selbst in Unternehmen, in denen die meisten Anwender Akademiker sind und bei denen es diverse Schulungen und Anweisung gibt.
    Selbst ich war hier faul und habe für das Forum nur mein siebenstelliges Standardpasswort gewählt. Keepass misst da eine Entropie von 32bit. So etwas knackt bereits eine Grafikkarte in einer Sekunde.
    Von daher: Wenn es Passworte sein sollen, die sich die Leute selbst aussuchen können und merken sollen, ist man schon vom Schlüssel her um Dimensionen unter der Sicherheit von Standardalgorithmen.
    Es gibt hinreichend empirische Analyse, was Leute als Passworte verwenden. Und ich glaube nicht, dass die alle geistig Behinderte sind.

    Ciao, Allesquatsch

    ps.: Hätte vielleicht erwähnen sollen, dass ich davon ausgehe, dass professionelle Brute-Force-Angriffe natürlich nicht dumm durchprüfen, sondern die empirischen Wahrscheinlichkeiten einzelner Zeichen und Zeichensequenzen berücksichtigen.

    0
  • C

    Allesquatsch schrieb:

    Zufällige 22 ASCII-Charakter sind meines Erachtens nichts mehr, was sich Leute aussuchen und merken würden.

    Na ja, 22 Zeichen sind in der Tat mehr als geschätzt. Ich würde eher von 12-16 ausgehen. Das ist gut merkbar. Mal rechnen:

    http://de.wikipedia.org/wiki/Brute-Force-Methode schrieb:

    Schon auf einem handelsüblichen Mittelklasse-Computer können etwa 15 bis 25 Millionen Passwörter pro Sekunde ausprobiert werden (Stand 2008).

    Okay, sagen wir mal, wir sind bei 120 Millionen bei einer ordentlichen Kiste angekommen. Wir nehmen ein Alphabet aus 68 (24 + 24 + 10 +10) Zeichen an. Und einen Angreifer mit 100 solcher Kisten im Zimmer. (Die Stromrechnung will ich nicht bekommen.) Dann mal los.
    12 Stellen: 68^12 / (120000000 * 100) / 60 / 60 / 24 / 365 = 25829
    14 Stellen: 68^14 / (120000000 * 100) / 60 / 60 / 24 / 365 = 119436460
    16 Stellen: 68^16 / (120000000 * 100) / 60 / 60 / 24 / 365 = 552274193753

    Da scheine ich ja ein paar ganz tolle Neuerungen verpasst zu haben. Sind die Rechner wirklich so schnell, dass wir jetzt 22 Stellen brauchen? Hm. AES-128? War da nicht was? Genau, der Key ist ja nur 128 bit (16 byte) groß. Hm. Jetzt müssen wir die 22 Zeichen da rein pressen. Klappt net so richtig. Na gut, nehmen wir die 7 Byte. 128 / 7 = 18.29. Nä, geht nicht. Okay, einige Sonderzeichen werden bestimmt nicht genutzt, lieber auf Nummer sicher gehen. 128 / 6 = 21.334. Sieht schon besser aus. Heißt das jetzt die verwenden intern einen Algorithmus, der das Passwort noch mal ein bisschen mixt? Warum schreiben sie dann nicht dazu, dass man auch einen langen Satz nehmen kann, man dann nur viel mehr Zeichen braucht? Du kannst mich sicher aufklären.

    Allesquatsch schrieb:

    Wenn man den Anwender sein Passwort selbst aussuchen lässt, sind komplexe Passworte auch heute noch die seltene Ausnahme. Selbst in Unternehmen, in denen die meisten Anwender Akademiker sind und bei denen es diverse Schulungen und Anweisung gibt.

    Zwischen Faulheit und Unfähigkeit liegen oft Welten. 😉

    Allesquatsch schrieb:

    Selbst ich war hier faul und habe für das Forum nur mein siebenstelliges Standardpasswort gewählt.

    Da haben wir's ja. Weil der Forenaccount ja auch nicht besonders wichtig ist. Hat aber nichts mit Unfähigkeit zu tun.

    Allesquatsch schrieb:

    Es gibt hinreichend empirische Analyse, was Leute als Passworte verwenden. Und ich glaube nicht, dass die alle geistig Behinderte sind.

    Ich halte sie für faul.

    Allesquatsch schrieb:

    ps.: Hätte vielleicht erwähnen sollen, dass ich davon ausgehe, dass professionelle Brute-Force-Angriffe natürlich nicht dumm durchprüfen, sondern die empirischen Wahrscheinlichkeiten einzelner Zeichen und Zeichensequenzen berücksichtigen.

    Das sollte natürlich kaum Auswirkungen haben bei einem ordentlichen Passwort.

    Edit: PS:
    Mir ist durchaus bewusst, dass viele Leute schache Passwörter verwenden. Trotzdem halte ich die Aussage, Schlüssel die man sich merken kann seien so gut wie immer unzureichend für einfach nur haarsträubend. Mit der richtigen Technik kann jeder sich etwas Hübsches basteln.

    0
  • A

    Hallo cooky451,

    ich erkenne sehr positive Entwicklungen.

    Zwei Dinge möchte ich noch mal wiederholen:

    1. Das, was normale Menschen sich als Passwort aussuchen ist in der Entropie deutlich schlechter als die Schlüssellänge der Verfahren. Von daher ist der Angriff auf ein Passwort deutlich billiger als sich überhaupt mit den Verfahren zu beschäftigen.
      Nimm einfach mal Dein Passwort und lass Keepass die Entropie messen. Ist natürlich nur eine Heuristik, gibt aber einen Anhaltspunkt. Mein Foren-Passwort gehört zu den ersten 4,3 Mrd. Möglichkeiten.

    2. Angriffe auf Passwörter laufen anders als gegen (pseudo)zufällige Keys. Denn Menschen sind, wie Du selbst erkannt hast, faul und haben entsprechende Vorlieben bei der Wahl selbst gewählter Passworte. Entsprechend findet man die meisten Passwort schon beim abtesten einfacher Kombinationen oder Wörterbucheinträge.
      Daher habe ich bei meinem Passwort auf die Sekunde geschlossen. Das ist natürlich vom Algorithmus abhängig und wie viel Aufwand die Erkennung des Entschlüsselung kostet. Aber als Anhaltspunkt nehme ich den Gamer-PC meines Kollegen, der nicht in der IT-Security arbeitet und das Dinge letztes Jahr zum Spielen gebaut hat. Der packt laut Benchmark 15 Mrd. MD5-Hashes in der Sekunde.

    Ciao, Allesquatsch

    0
  • ?

    Allesquatsch schrieb:

    Nimm einfach mal Dein Passwort und lass Keepass die Entropie messen.

    Gibts sowas auch online?

    0
  • S

    Ich kann mir bspw. Problemlos

    jzVbn67PH

    merken. Mein Passwort für den Forenaccount ist ähnlich.

    0
  • E

    Nicht, dass ich das so mache, aber für so was ist gut im Passwort Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen, die so ähnlich aussehen. Ich weiß gerade nicht mehr, wie das heißt, aber das ist dafür geradezu perfekt!

    0
  • A

    sagmal schrieb:

    Allesquatsch schrieb:

    Nimm einfach mal Dein Passwort und lass Keepass die Entropie messen.

    Gibts sowas auch online?

    Leider weiß ich jetzt nichts als Standalone, aber bei googemail und beim ePostbrief habe ich das auch schon gesehen.

    Ciao, Allesquatsch

    0
  • A

    Sone schrieb:

    Ich kann mir bspw. Problemlos

    jzVbn67PH

    merken. Mein Passwort für den Forenaccount ist ähnlich.

    Schon nicht schlecht, aber auch nicht gut, da es nur Ziffern und Buchstaben enthält. Dummerweise sind aber Angriffsversuche genau so gestaffelt: Nur Buchstaben, dann die Ziffern dazu, dann die häufigen Sonderzeichen, dann die auf der Tastatur herstellbaren dazu. Parallel dazu auch Wörterbücher und Kombinationen.

    Einfach ein Sonderzeichen anfügen, macht es gleich ums Zigtausendfache sicherer.

    Ciao, Allesquatsch

    0
Anmelden zum Antworten