SelfLinux » Elementare Systemverwaltung » Über die Sicherheit von Passwörtern » Teil 1 SelfLinux-0.8.0
« zurück weiter »
SelfLinux logo
OrdnerÜber die Sicherheit von Passwörtern Revision: 1.1.2.5
Autor: Christoph Zurnieden
Layout: Matthias Hagedorn
Lizenz: GFDL

1 Über die Sicherheit von Passwörtern

Die Sicherheit eines passwortgeschützten Systems hängt entscheidend von der richtigen Auswahl eines Passworts ab. Es können im grobem fünf Sicherheitsstufen unterschieden werden: Nachlässig, Niedrig, Mittel, Hoch und Sehr Hoch.

Unter dem Punkt Wahrscheinlichkeit ist die Wahrscheinlichkeit in Prozent angegeben, daß das Password in einer gegebenen Zeit durch Brute-Force-Methoden erraten werden kann.

Die Berechnung erfolgt nach der Formel des National Computer Security Centers [NCSC1985a] (eine Kopie liegt unter http://www.radium.ncsc.mil/tpep/library/rainbow/CSC-STD-002-85.html)

Formel NCSC1985a
Formel NCSC1985a

wobei tlife die Lebenszeit des Passwortes in Sekunden ist,

die Anzahl der möglichen Tests pro Sekunde, nc die Anzahl der möglichen Zeichen und l die Länge des Passwortes.

liegt mit durchschnittlichen Rechnern und normalem Verfahren (crypt()) bei etwa 250.000 Versuchen/Sekunde.



2 Nachlässig

Als nachlässig sind solche Passwörter einzustufen, die aus regulären Wörtern bestehen, die aus einer Wortliste abgearbeitet werden können, wie sie massenhaft im Internet kursieren. Ja, jede Rechtschreibhilfe hat eine solche Wortliste. Unter solche Wörter fallen natürlich auch Namen, insbesondere von Familienangehörigen und Haustieren. Auch Wörter, die auf der Tastatur gebildet werden können ("wert", "asdf" u.s.w.) gehören dazu. Außerdem alle Passwörter, die einfach zu kurz sind, mögen sie auch noch so geschickt gewählt sein.

Wahrscheinlichkeit:
Geht stark gegen 100%.



3 Niedrig

Als niedrig gelten solche Passwörter, die folgenden Regeln folgen:

  • Das Passwort muß mindestens ein alphanumerisches Zeichen enthalten.
  • Es ist nicht länger als 14 Zeichen.
  • Es enthält keine Leerzeichen.
  • Es kann zudem noch ein Sonderzeichen enthalten, muß aber nicht.
  • Es wird zwischen Groß- und Kleinschreibung unterschieden.
  • Es hat eine Lebensdauer von maximal einem Jahr.

Beispiele (In Klammern die Beispielaussprache in Englisch):

IcvawyowgIbCic (Ic-vaw-yowg-Ib-Cic)
tunebelk (tun-eb-elk)
itvigumI (it-vig-um-I)
uccywojEgty (uc-cy-woj-Eg-ty)
hiddUlicdift (hidd-Ul-ic-dift)
SudNom (Sud-Nom)

Wahrscheinlichkeit:

10454% bei einer Länge von 6 und einer Auswahl aus 65 Zeichen [a-zA-Z0-9] und ein paar Sonderzeichen.*
161% bei einer Länge von 7 aus gleicher Auswahl.*
2,5% bei einer Länge von 8 aus gleicher Auswahl.
0,0000000000003% bei einer Länge von 14 und gleicher Auswahl.

*)
Die Werte über 100% kommen dadurch zustande, daß die gesamte Gültigkeitsdauer als Zeit für die Versuche zur Verfügung steht. Bei der theoretischen Anzahl von 250.000 Versuchen pro Sekunde sind die einfachen Passwörter nun einmal sehr schnell geknackt, bei sehr einfachen Passwörtern sogar deutlich innerhalb der Gültigkeitsdauer. Solche Passwörter/Gültigkeitsdauer Kombinationen sind demnach eindeutig ungeeignet.

Das Login-Programm benutzt unter anderem auch die Möglichkeit, durch Herabsetzung der Anzahl der Versuche pro Sekunde die Sicherheit der Passwörter zu erhöhen. In den mir bekannten Distributionen ist z.B. eine kleine Pause von einer Sekunde nach Eingabe eines fehlerhaften Passwortes eingestellt. Dadurch reduziert sich die Anzahl der Versuche auf einen pro Sekunde. Dieser Umstand sollte aber unter gar keinen Umständen genutzt werden, da die verschlüsselten Passwörter in einer Datei gehalten werden.
(Eine Datei vor dem Lesen zu schützen ist sehr schwierig, es können immer mal wieder Sicherheitslücken auftreten, die das zulassen könnten, nicht zuletzt direkter Hardwarezugriff) Auf diese Angaben können dann normale Crackprogramme angesetzt werden, die dann wieder auf 250.000 Versuche pro Sekunde und mehr kommen können.


« zurück weiter »
Inhalt