Als niedrig gelten solche Passwörter, die folgenden Regeln folgen:
-
Das Passwort muß mindestens ein alphanumerisches Zeichen enthalten.
-
Es ist nicht länger als 14 Zeichen.
-
Es enthält keine Leerzeichen.
-
Es kann zudem noch ein Sonderzeichen enthalten, muß aber nicht.
-
Es wird zwischen Groß- und Kleinschreibung unterschieden.
-
Es hat eine Lebensdauer von maximal einem Jahr.
Beispiele (In Klammern die Beispielaussprache in Englisch):
IcvawyowgIbCic (Ic-vaw-yowg-Ib-Cic)
tunebelk (tun-eb-elk)
itvigumI (it-vig-um-I)
uccywojEgty (uc-cy-woj-Eg-ty)
hiddUlicdift (hidd-Ul-ic-dift)
SudNom (Sud-Nom)
Wahrscheinlichkeit:
10454% bei einer Länge von 6 und einer Auswahl aus 65 Zeichen
[a-zA-Z0-9] und ein paar Sonderzeichen.*
161% bei einer Länge von 7 aus gleicher Auswahl.*
2,5% bei einer Länge von 8 aus gleicher Auswahl.
0,0000000000003% bei einer Länge von 14 und gleicher Auswahl.
*)
Die Werte über 100% kommen dadurch zustande, daß die gesamte
Gültigkeitsdauer als Zeit für die Versuche zur Verfügung steht.
Bei der theoretischen Anzahl von 250.000 Versuchen pro Sekunde
sind die einfachen Passwörter nun einmal sehr schnell geknackt,
bei sehr einfachen Passwörtern sogar deutlich innerhalb der
Gültigkeitsdauer. Solche Passwörter/Gültigkeitsdauer Kombinationen
sind demnach eindeutig ungeeignet.
Das Login-Programm benutzt unter anderem auch die Möglichkeit,
durch Herabsetzung der Anzahl der Versuche pro Sekunde die Sicherheit
der Passwörter zu erhöhen. In den mir bekannten Distributionen ist
z.B. eine kleine Pause von einer Sekunde nach Eingabe eines fehlerhaften
Passwortes eingestellt. Dadurch reduziert sich die Anzahl der Versuche
auf einen pro Sekunde. Dieser Umstand sollte aber unter gar keinen
Umständen genutzt werden, da die verschlüsselten Passwörter in einer
Datei gehalten werden.
(Eine Datei vor dem Lesen zu schützen ist sehr schwierig, es können
immer mal wieder Sicherheitslücken auftreten, die das zulassen könnten,
nicht zuletzt direkter Hardwarezugriff) Auf diese Angaben können dann
normale Crackprogramme angesetzt werden, die dann wieder auf 250.000
Versuche pro Sekunde und mehr kommen können.
|