| |
 |
Veröffentlicht durch dawn am Mittwoch 13. Februar, 19:15
Aus der gib'-mir-dein-passwort-und-ich-speichere-es Abteilung
|
|
|
|
|
Umbi schreibt "Der Datenschutzbeauftragte von Zug wies mich auf diesen Passwort Checker hin. Ist noch witzig das Ding mal auszuprobieren; man kann jeweils einstellen für welches System (Windows oder Unix) das PW gebraucht wird und bekommt dann den Hinweis, ob man es ändern sollte weil es zu unsicher ist."
|
|
|
|
|
|
|
"Was mich aber ein bisschen verwundert, warum das Gleiche Passwort auf einem Windows-Rechner nur 391 Sekunden braucht, um geknackt zu werden, aber wenn das PW für ein Unix verwendet wird, braucht (der gleiche 1-Ghz-Pentium PC) 3 Stunden um es zu knacken (und findet auch weniger wörter). Mein Beispiel war 'netzhaut'... witzig, mit verschiedenen Wörtern braucht jeweils das eine System viel laenger, um das PW jeweils zu knacken... :-) ... aber alternierend, mal ist Windows schneller, mal Unix (was IMHO völliger Schwachsinn ist, da ein PW-Cracker ja nicht wirklich um Faktoren langsamer ist, nur weil das OS anders ist, oder hab ich da mal nicht aufgepasst in der Schule ???)"
|
|
|
|
< SNMP Probleme | Druckausgabe | SourceForge ändert ToS > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 14. February, 13:20 MES (#5)
|
|
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 14. February, 11:10 MES (#2)
|
|
|
|
|
Was ist an einem Password wie 'cE10hhU' schwach? Die Webseite hat mir empfohlen, es umgehend zu aendern, weil darin das Wortfragment 'hhu' vorkaeme. Was zum ***** bedeutet 'hhu'? Insbesondere wundert mich das, wo doch bei den Empfehlungen steht, man soll Gross/Kleinschreibung und Zahlen verwenden (und Sonderzeichen, Ok).
Oder heisst Wortfragment einfach, dass man keine drei Buchstaben hintereinander haben sollte?
So, und nun kommt der Gag: Fuer ein Unix-System ist das Password angeblich gut.
Also ich finde das komisch.
twm
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
So ähnliches ist mir auch untergekommen. Seltsamerweise habe ich aber auch ein, fast wort-artiges, Gebilde aus 8 kleinen Buchstaben gefunden, dass, zumindest bei Unix, als "brauchbar" tituliert wurde.
Was mir auch schon passiert ist waren freundliche Hinweise bei Passwort-Eingaben, dass Sonderzeichen nicht erlaubt seien. Bei WinZip habe ich einmal ein Passwort mit einem "§" drin benutzt - das hat bei mir super geklappt, aber von denen, die das Archiv erhielten, konnten es nicht alle auspacken.
--> Die Regel "Sonderzeichen in Passwörtern verwenden" ist nett, aber selten anwendbar! Vermutlich gibt es immer dort Ärger, wo die Sache über diverse Betriebssysteme geht. Also bei verschlüsselten Files und beim Internet.
Grüsse vom Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hmmm... dann war das die Falle, in die ich mich mit dem Paragraphen-Zeichen gelegt habe. Allerdings steht im Sonderzeichen-Beispiel, dass auf der Passwort-Test-Seite gegeben wird, ein £ (Pound Sterling), welches auch nicht Teil von 7bit-ASCII ist. Es sieht so aus, als würden die dort dieses Problem auch nicht kennen.
Grüsse vom Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich habe denen jetzt eine Mail geschrieben,
das auf diese Problematik hinweist:
Hallo,
Zum Passwort-Checker habe ich folgende Anmerkungen:
-
Unter http://www.cnlab.ch/pwcheck/technischer_ablauf.htm
steht, dass mit A-Z, 0-9 36 Zeichen zur Verfügung stehen.
Das stimmt nur bei Systemen, die keine Unterscheidung von
Klein- und Grossbuchstaben beim Passwort zulassen.
Mit A-Z, a-z, 0-9 habe ich doch immerhin 62 Zeichen !
-
Die Verwendung von Sonderzeichen (siehe
http://www.cnlab.ch/pwcheck/empfehlungen.html)
ist daran gebunden, dass die Sonderzeichen nur aus
dem ASCII-Bereich 32-127 stammen, ansonsten ist die
Zuordnung von 'Darstellung' zu 'Byte-Wert' von den aktuellen
Ländereinstellungen abhängig.
Sonderzeichen ausserhalb ASCII 32-127 können also nur
dann vernünftig verwendet werden, wenn entweder
-
Das Passwort immer auf der gleichen Konsole eingegeben
wird (also zB Workstation-Login)
-
Sichergestellt ist, dass jeder Rechner, wo man das Passwort
eingibt, die gleiche Code-Tabelle konfiguriert ist.
Andernfalls sollte man sich (wie gesagt) auf Zeichen zwischen
32 und 127 beschränken... (Also auch keine Umlaute !). Deshalb
empfehle ich Ihnen, das Symbol für 'englisches Pfund' aus den
Beispielen rauszunehmen.
Mit freundlichen Grüssen.
|
|
|
|
|
|
|
|
|
|
|
|
|
Jaja, ist ein etwas seltsames Programm...
Ich nahm 2 Woerter, die in vielen Worterbuechern vorkommen, eun reihte si aneinander -> schwach (was auch stimmt)
Ich setzte eine 2-stellige Zahl hintendran (gab dann 10 Zeichen) -> schwach
Wenn man aber die zwei ziffern in die Mitte des Wortes stellt, wirds ploetzlich brauchbar... hmmm...
cu
Marco
--
auch die Zehe ist ein Laufwerk
|
|
|
|
|
|
|
|
|
|
|
|
|
"... eun reihte si ..."
Also wenn man die Wörter so schreibt wird das Passwort gleich viel stärker ;-)
SCNR
Grüsse vom Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
Der Quervergleich "Unix/Linux" zu "Windows" bringt gerade bei Passwörtern, die eigentlich nicht sehr sicher sind, erstaunliche Resultate. So ist zum Beispiel das schöne Wort "OberDampfschiffSeilAnbinder" (in genau dieser Schreibweise) bei Windows schwach und bei Unix/Linux stark - der maximal mögliche Unterschied!
Natürlich kam mir der Gedanke, es liege daran, dass Windows die Gross-/Kleinschreibung nicht beachtet. Aber selbst wenn man das ganze Wortungetüm in Kleinbuchstaben schreibt steht dem "schwach (1h)" bei Windows noch ein "brauchbar (2d)" bei Unix/Linux gegenüber.
Der Knochen
PS: Ich hoffe, ich habe jetzt niemandem sein root-Passwort versaut! ;-)
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
Nur 6 Zeichen bei Windows? Is ja irre... (weil für grosse Sicherheit ja laut der Empfehlung 8 Zeichen nötig sind). Das mit den 8 Zeichen bei Unix habe ich (zumindest bei Linux) schon selbst herausgefunden.
So wundert es mich natürlich nicht, dass bei einem langen Wort (eben mindestens 8 Zeichen) die Sicherheit bei Unix automatisch grösser ist - das tatsächlich betrachtete Passwort ist in jedem Falle mindestens 2 Zeichen länger.
Dass die meisten Benutzer keine Lust haben, sich sichere (immer = schwer zu merkende) Passwörter anzuwenden steht auf einem anderen Blatt... deshalb sind ja Smartcards und biometrische Verfahren im Kommen (Zu letzterem gibt's einen Artikel im aktuellen ix - der erste Fingerabdruckscanner mit Linux-Unterstützung, aber der Test fiel etwas ernüchternd aus, weil der Sensor selbst eine hohe Fehlerrate produziert).
Der Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich meine, dass es daran liegt, dass die Knack-Programme nicht nach Dumb-Force vorgehen. Und da zeigt es sich, dass User gerne ein Wort verwenden und "zur Sicherheit" ein paar Zahlen dranhängen. Dass nach den Zahlen noch ein Sonderzeichen folgt, ist sehr unwahrscheinlich.
Daniel "HTH" Reutter
--
Hanlon's Razor:
Never attribute to malice that which can be adequately explained by stupidity
|
|
|
|
|
|
