Kennwort (Passwort) und seine Sicherheit

HalbeHälfte

Vice Admiral Special
Mitglied seit
30.07.2006
Beiträge
674
Renomée
8
Da ich heute leider kurz Zeit für Ausgrabungen hatte :D, und zwar auf einem ganz anderen Dampfer unterwegs war, und trotzdem hier reinstolperte...

Wir hatten erst letzte Woche eine Diskussionn deswegen. Die sichere oder unsichere Implementierung mal außer acht. Ging nur um Längen/Komplexität.

Ich bin übrigens schon seit etlichen Jahren ein Freund davon
https://www.heise.de/security/meldu...ufende-Kennwoerter-nicht-laenger-4407156.html

Davon abgesehen können Passwörter können nie wirklich sicher sein, egal wie lang. Irgendwann steht genug Rechenpower zur verfügung um nicht 15.000 oder 150.000 sondern 1.500.000 oder 15.000.000 Passwörter pro Sekunde zu bruteforcen. Man denke nur an die fortschritte mit GPU Codebreakern.
Soviel hat sich da wohl nicht getan beim Bruteforcen, oder? Der Thread ist 10 Jahre her... So viel anders sehen die Empfehlungen was Länge angeht auch heute nicht (??)
Das ist wohl von 2018 (?) https://it-service.network/blog/2017/10/23/sichere-passwoerter-passwortsicherheit/

Unsere Netzwerker sagen, wenn du unter 12 Zeichen bist, kannst du auch "123" nehmen... Der Typ von ThinkingObjects sagt da, er benötigt für 16 Zeichen mit keiner besonderen aber brauchbaren Komplexität, also wohl klein/groß und Zahlen, 3 Monate. Erzählt leider nicht mit was.

Wieviel schneller sind FPGAs? PicoComputing hatte 2012 eine PCIe-Karte mit 6x Xilinx Virtex-6 LX240T und 3GB DDR3 drauf (150W), das war beim Bruteforcen ~10x schneller als eine 7970.
Elcomsoft meinte zur gleichen Zeit (ohne genauer drauf einzugehen), was man an FPGAs in ein 4U Gehäuse unterbringen kann ist so schnell wie 2000 Dualcores.

Den Leuten von Truecrypt was das wohl schon damals recht klar (Länge vs. Komplexität). Man konnte da schon ewig lange, zum Passwort noch eine Schlüsseldatei von mind. 64Bytes bis 2KB (?) Länge erstellen. Bei VeraCrypt ist doch noch wesentlich größer gemacht worden. KeePass kann sowas auch.
Damit "verlängert" man das Passwort (ja, 2 Faktor, schon klar) auf Kilobytes.

Und heute? Hat jemand einen GUTEN Link - nicht von irgendeinem interessierten Laien - wie der Aufwand pro zusätzliches Zeichen für FPGA/GPU steigt?
 
Zuletzt bearbeitet:
Es kommt darauf an wie "Paranoid" du bist. Die heuteigen Verschlüsselungsverfahren sind mit hoher Wahrscheinlichkeit nicht mehr sicher, wenn du der Annahme folgen kannst dass NSA oder eine andere derartige Organisation über Quantenkomputer mit hinreichenden Quantenbit-Länge hat. Dann ist AES 256 512bit etc... alles in annehmbarer Zeit knack bar.
Im übrigen diese Gedankenspiele kommen von den selben Leuten die schon früh behaupteten die NSA könne den Telefonverkehr eines ganzen Staates gleichzeitig abhören. Sie wurden als Spinner gebrandmarkt und seit Snowden wissen wir, Sie hatten recht - auch wenn Österreich nun kein besonders großer Staat ist...

Und nur damit eines klar ist IBM arbeitet an dieser Problematik - es sollte also keiner leichtsinnig meinen das ist alles Quatsch..

https://futurezone.at/science/ibm-q...-bald-jede-verschluesselung-knacken/400038388

https://www.zurich.ibm.com/securityprivacy/quantumsafecryptography.html

https://fudzilla.com/news/46339-ibm-warns-that-encryption-s-reign-will-be-over-soon

https://www.forbes.com/sites/tirias...gainst-quantum-computing-future/#6325bb5ec42e

Es gibt auch Hoffnung - IBM "hat" wohl eine Verschlüsselung die unter Mathematikern als Quanten-Sicher gilt und die und das ist umgekehrt ja auch das wichtige - was die Kosten (Zeit bis zur Verschlüsselung) mit den heute üblichen Verfahren vergleichen kann. Sprich im Best Case wird die Verschlüsselung von Daten genau so lange dauern wie bisher auch....

Also je nachdem an was du bereits heute glaubst - ist es egal was du machst - denn gecknackt könnte es schon heute in sehr geringer Zeit werden. Du müsstest auf die Implementationen dieses neuen Verfahrens warten.....

Ich bin im übrigen kein Freund von zu viel "Paranoia"... Und wieso sollte die NSA sich auch für mich interessieren...
Aber deine Fragen finde ich gut... Unsere IT richtet zur Zeit default mäßig die Anmeldung mit PIN an den Windowsrechnern ein.... Ja ne klar eine "Nummer" (Geburtstage wahrscheinlich bei 95% der Daus) ist bestimmt sicherer als ein Alphanumerischer String.... Ja mir ist klar entscheidend ist auch die Länge des Passworts aber eine Nummer ich bitte euch... Da wird jeder Normalo was nehmen was über Sozialphishing mit hoher Wahrscheinlichkeit abfischbar ist...
 
Zurück
Oben Unten