30.01.13 14:28 Uhr
 6.204
 

Studie: Passwörter im Yoda-Grammatikstil sind sicherer

Laut einer Studie der Carnegie Mellon Universität, sollte man sich beim Passwortausdenken an Yodas Sprechweise aus "Star Wars" orientieren.

Normalerweise bilden User Passwörter nach dem üblichen grammatikalischen Muster "Personalpronomen, Verb, Adverb", wie z.B. "Er läuft langsam".

Stellt man diese um, hätten es Hacker wesentlich schwerer, diese zu entschlüsseln. "Wenn Sie eine Vorlage für Ihr Kennwort benutzen - einen dummen Spruch, die Zeile eines Lieds oder ein Zitat: Verfälschen Sie das Original grundsätzlich etwas", so der Rat der Experten - und wohl auch von Yoda.


Videoplayer auf dieser Seite ausblenden
WebReporter: mozzer
Rubrik:   High Tech
Schlagworte: Studie, Passwort, Yoda, Grammatik
Quelle: www.heise.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Forscher warnen: Niemals Peace-Zeichen auf Fotos im Internet zeigen
Neue Seite "taz.gazete" will türkischen Journalisten eine Stimme geben
Facebook-Chef hat zwölf Mitarbeiter zur Löschung von Hassposts auf seinem Profil

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

24 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
30.01.2013 14:51 Uhr von ted1405
 
+17 | -5
 
ANZEIGEN
Nix gelernt, Du hast.

Passwörter sind vor allem dann sicher, wenn sie KEIN NORMALES WORT enthalten. Die Reihenfolge der Wörter macht da nur wenig Unterschied.

Aber andererseits stimmt´s natürlich schon ... ein Passwort im Yoda-Style ist zumindest für geschätzte 12 Millisekunden sicherer als "keins", "passwort" oder "qwertz".
Kommentar ansehen
30.01.2013 15:10 Uhr von Shortster
 
+8 | -0
 
ANZEIGEN
@ted1405

Mitnichten. Du musst in Deinen Passwörtern Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen erlauben, aber nicht zwingend verlangen. In diesem Fall ist der einzige Parameter, der Deine Passwörter sicherer macht die Länge des Passwortes. Was dann unter Umständen halt auch ein schicker langer Satz sein kann, den ich mir als Mensch absolut leicht merken kann. Ein Rechner, der dieses Passwort bspw. per Bruteforce knacken soll, ist mit "!23S!cher" schneller fertig, als mit "Mein Total Sicheres Passwort". Um Wörterbuchangriffe dann etwas "spannender" zu machen, sollten natürlich schon ein oder zwei Konstrukte enthalten sein, die eben NICHT unbedingt in einem Wörterbuch stehen...

"Shortsters total serehcis und fast unknackbares Passwort" reicht für die meisten Fälle also absolut aus. Und ich kann es mir merken ;-)

Witzige Illustration dazu: http://xkcd.com/...

Update: Ein wichtiger Aspekt in Bezug auf die Länge wurde in der Kurzzusammenfassung nicht erwähnt. Der Originalartikel erwähnt dort natürlich die einzige Einschränkung: dass die verwendeten Passwortphrasen auf einer "natürlichen" Grammatik basieren, wie bspw. Titel von Liedern, oder eben Bibelzitaten. Daher auch der Hinweis, dass man das etwas abfangen kann, indem man von den herkömmlichen Grammatiken abweicht...

[ nachträglich editiert von Shortster ]
Kommentar ansehen
30.01.2013 15:39 Uhr von Destkal
 
+2 | -7
 
ANZEIGEN
bankmanNk0keln43
lauBwasmalkint3l04
blaAtspat3ngreffel902

Hab ich mir jetzt mal eben so ausgedacht. Für was brauch ich nochmal psudowissenschaftlichen Yoda-Scheiß?

Mal ehrlich, für welchen Mist verschwenden Studenten eigentlich ihre Zeit?
Kommentar ansehen
30.01.2013 15:47 Uhr von eugler
 
+1 | -4
 
ANZEIGEN
@Destkal

Angst vor Menschen mit mehr Bildung? *g*
Kommentar ansehen
30.01.2013 15:47 Uhr von Shortster
 
+4 | -0
 
ANZEIGEN
@Destkal

"Mein Passwort ist sehr viel sicherererer als wie Deins"
vs.
"bankmanNk0keln43"

Mein Passwort ist sicherer als Deins. Aus zwei Gründen. Erstens: es ist länger. Unter der Annahme, dass das Passwort aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen kann, braucht man für mein Passwort exponentiell länger als für Deins. Wörterbuchangriffe werden durch "sicherererer" abgemildert.

Zweiter Aspekt: Ich kann mir mein Passwort merken, ohne es irgendwo hinschreiben zu müssen, was lokal gesehen immer noch das größte Sicherheitsrisikio in Bezug auf Passwörter darstellt.

Und mit sowas "verschwenden" nicht nur Studenten ihre Zeit ;-)
Kommentar ansehen
30.01.2013 16:18 Uhr von Phillsen
 
+1 | -1
 
ANZEIGEN
Also glaubt man der Statistik, ist es völlig schnuppe, woraus sich ein Passwort zusammensetzt.
Es kommt lediglich darauf an wieviele Möglichkeiten bzw verschiedene Zeichen es gibt und wie lang das passwort ist.

Dieser Bullshit mit es muss zahlen und Sonderzeichen und sonstawas enthalten ist doch völliger Blödsinn.

Das macht es vielleicht für einen Menschen schwer bis unmöglich es zu erraten. Aber einer Software ist völlig egal wie die Zeichen angeordnet sind. Sie probiert einfach alle Möglichkeiten durch die es gibt. Je mehr Möglichkeiten, desto länger dauerts bis sie das Passwort geknackt hat.

Also nochmal im Klartext mit Beispiel.
Passwörter, die nur aus Kleinbuchstaben bestehen dürfen und 6 Zeichen lang sind:
26!/(26-6)! = 165765600 kombinationen wenn jeder Buchstabe nur einmal vorkäme.
Mit Großbuchstaben
52!/(52-6)! = 1,466*10^10 Kombinationen

Wenn wir jetzt noch 10 Sonderzeichen dazunehmen
Sind wir bei 4,426*10^10 Kombinationen

Und es ist doch dem Computer völlig Egal ob er zuerst As und dann @s verwendet oder sonstwas.

Aber was red ich, Shortster hat es schon richtig erklärt.
Kommentar ansehen
30.01.2013 16:25 Uhr von Wieselshow
 
+2 | -1
 
ANZEIGEN
Wo die ganzen Cryptologen nun herkommen..
.. ihr und euer dummes Pseudointelligentes Gelaber.

Der eine rechnet was von Milliarden Kombinationen, blablabla...

Pass auf: ich geb euch ein GMX Account mit einer Passwortlänge von 8 Zeichen. NUR Buchstaben und nur Kleinschreibung. Das knackt keiner von euch. Wetten!? (Zeitraum 48h).
Kommentar ansehen
30.01.2013 17:11 Uhr von xilli
 
+1 | -1
 
ANZEIGEN
correct horse battery staple
http://xkcd.com/...
Kommentar ansehen
30.01.2013 17:28 Uhr von Kati_Lysator
 
+2 | -0
 
ANZEIGEN
@ Wieselshow
kann es sein, dass das daran liegt, das nach 3 fehleingaben der account für einen bestimmten zeitraum gesperrt ist ?
Kommentar ansehen
30.01.2013 17:45 Uhr von c3rlsts
 
+1 | -0
 
ANZEIGEN
Ich finds immer wieder erschreckend, wie Leute das Wort "Wörterbuchattacke" verwenden, ohne zu wissen, was er bedeutet.

Bei einer Wörterbuchattacke geht der Hackende *NICHT* hin und hängt zufällig Wörter aneinander, die er einem Wörterbuch entnimmt! Sondern er hat eine Liste mit Passwörtern, die er nach und nach abarbeitet: ein (Pass-)Wörterbuch! Würde man versuchen auch nur die gängigsten Wörter zu kombinieren, so hat man sicherlich schon bei drei oder vier Wörtern mehr mögliche Kombinationen als bei zehn Buchstaben.

"FranzMagKuchen" ist ein sehr viel sichereres Passwort als z.B. "dK%r6Ff$" oder ähnliches, und trotzdem sehr einfach zu merken. Ein Passwort wie "FranzMagKuchenWeilDenIsstErDochSoGern" ist mit heutiger Technik als unkackbar anzusehen.
Kommentar ansehen
30.01.2013 18:00 Uhr von miyoko
 
+4 | -1
 
ANZEIGEN
Die Sache mit den Passwörtern ist nicht so leicht zu beantworten wie es vielleicht scheint. Erstmal sollten wir uns eine gemeinsame Grundlage schaffen.
Das "Passwortknacken" bedeutet, dass man einen sogenannten Hash eines Passworts hat. Ein Hash bedeutet, das ein Text (oder in dem Fall ein Passwort) anhand festgelegter Regeln umgeändert, sodass der Klartext nichtmehr erkennbar ist. Im Gegensatz zur Verschlüsselung lässt sich ein Hash nicht zurückrechnen. Deshalb muss man Kombinationen ausprobieren und wenn man dann einen gleichen Hash erzeugt hat, weiß man das ist das Passwort.

Deshalb lässt sich diese Art von "Angriff" nicht auf Accounts auf bestimmten Webseiten verwenden, da die Hashüberprüfung serverseitig stattfindet und der Client den Hash nicht besitzt. Und ein Server lässt nur eine gewisse Anzahl Versuche zu. Deshalb braucht ihr euch bei Webaccounts weniger Gedanken zu machen. Was aber natürlich nicht heißen soll, dass ihr euren Namen oder euer Geburtsort als Passwort nehmen solltet.

Gefährlich wird die Sache dann, wenn durch einen Hackerangriff die Passwort hashes aus Datenbanken geklaut werden (wie bei LinkedIn letztes Jahr passierte).
Kommentar ansehen
30.01.2013 18:15 Uhr von miyoko
 
+4 | -0
 
ANZEIGEN
... da wir das jetzt geklärt haben kommt die Sache mit dem Hashknacken:
Wie bereits erwähnt bekommt man die Klartextpasswörter nur durch Ausprobieren raus. In frühen Jahren war das noch eine simple Technik, bei der einfach jede Kombination von unten durchgezählt wurde. Man geht einfach jedes mögliche Zeichen an jeder Stelle einmal durch.
Schlauere Systeme fangen mit Wörterbuchlisten an. Doch inzwischen ist auch das veraltet. Leider...
Denn auch die Hashcracker haben fortschritte gemacht. Heute Crackapps haben eine Passwort Logik implementiert. So probieren die Programme nicht einfach nur Wörter aus, sondern auch Wort-Zahl-Kombinationen (Beispiel: Passwort => P455w0r7) und sogar Satzkombinationen. Außerdem wird inzwischen der Kontext berücksichtigt. Ein Passworthash von LinkedIn wird zum Beispiel auch auf L1nk3d1N untersucht, usw...).

Man mag jetzt vielleicht einwerfen, dass diese Art sehr aufwendig ist, da pro Wort Tausende von kombinationen ausprobiert werden müssen. Das stimmt... Aber heutige GPU-Cluster schaffen =>180 Milliarden Hashes<= pro Sekunde. Und auf einmal klingt das ganze nichtmehr so unrealistisch. (http://www.heise.de/...)

Natürlich kann es immer noch Wochen dauern bis ein Passwort geknackt ist. Aber bei LinkedIn wurden mehrere Millionen Hashes geklaut. Da kann man das auf eine ganze liste von hashes anwenden und mindestens 50% kann dabei in unter 24H geknackt werden.

Wichtig ist also nicht nur wie "stark" das Passwort ist, sondern auch welcher Hashalgorithmus verwendet wird. MD5 ist der wohl häufigste, allerdings auch der am schnellsten zu knackende Hash. Während MD5 180 Milliarden Versuche pro Sekunde ermöglicht sind es bei Bcrypt und Sha512crypt nur 71.000 beziehungsweise 364.000. Ein gewaltiger Unterschied.
Kommentar ansehen
30.01.2013 18:28 Uhr von EvilMoe523
 
+1 | -0
 
ANZEIGEN
@ Shortster

Schön dass deine Passwörter noch länger sind, aber hast du auch mal ausgerechnet, wie lang es benötigt ein Passwort aus 16 Zeichen, mit Groß,-Kleinschreibung und Zahlen zu knacken?

Man kann es auch übertreiben :)
Kommentar ansehen
30.01.2013 18:40 Uhr von Shortster
 
+1 | -0
 
ANZEIGEN
@c3rlsts

Keine Sorge, ich weiß was "Wörterbuchattacke" im ursprünglichen Sinne bedeutet. Der Witz an der ganzen Sache ist doch aber, dass ab dem Moment wo Du das Ganze auf einer Grammatik aufbaust, dir deine "Wörter" (d.h. in dem Fall eben auch Sätze) aus atomaren Einheiten zusammenbasteln kannst.

Aber auch für nen "klassischen" Wörterbuchangriff ist es wahrscheinlicher dass ich ein "total sicheres Passwort" in dieser Liste habe, als bspw. ein "total sicherereres Passwort...
Kommentar ansehen
30.01.2013 20:58 Uhr von palmchen
 
+0 | -0
 
ANZEIGEN
und den ganzen Quark darf man sich dann doch auch noch merken.
So geht das doch nicht. Deshalb ein Beispiel, wie es besser geht.
Man nehme einen normalen Satz, zB : "Ein Stuhl mit abgesägten Beinen". Nun mit den ersten beiden Buchstaben ein Wort bilden:

EiStmiabBe

Das kann jetzt noch mit Groß- und Kleinschreibung versehen werden oder auch mit Ziffern aufgehübscht werden.
Jetzt ist es für alle Unleserlich, selbst auf der Tastatur beim eintippen abgesehen nicht nachvollziehbar und demzufolge sicher!
Und für den Benutzer selbst jederzeit zu merken !
Kommentar ansehen
30.01.2013 22:40 Uhr von Jaqulz
 
+1 | -0
 
ANZEIGEN
Ich benutz immer den "Shortnews-Style" einfach wörter kombinieren die
a) nicht existieren , siehe Crushial
b) zusammen geschriebe Wörter mit - "trennen"
c) einfach-mal-ein-bindestrich-zwischen-die-wörter

Leider wird das immer geknackt.