Passwörter - Theorie und Praxis

Passphrasen

Unter der Annahme, dass ein Angreifer 100 Milliarden Passwörter pro Sekunde testen kann, dauert ein Brute-Force-Angriff auf ein 8-stelliges Passwort über dem Alphabet aller 95 ASCII-Zeichen im Worst-Case gerade einmal

958 / 1011 s = 18,4 h.

Ein entsprechender Angriff auf ein 15 stelliges Passwort über dem Alphabet {a, …, z} würde
2615 / 1011 s = 539 a
dauern.

Damit sind Passwörter, die aus

für einen Menschen schwer zu memorieren und für einen Angreifer leicht zu dechiffrieren.

Im Vergleich dazu sind etwas längere Passwörter, selbst wenn sie lediglich aus den Kleinbuchstaben {a, …, z} gebildet werden, für einen Menschen deutlich leichter zu memorieren, und für einen Angreifer sehr viel schwer zu dechiffrieren.

Relativ lange Passwörter, die aber dennoch gut für memorieren sind, werden oft als so genannte Passphrasen bezeichnet.

Beim Erstellen solcher Passphrasen sind der Phantasie keine Grenzen gesetzt, so dass eine mögliche Passphrase zum Beispiel sein könnte:
nadaborder4fanta=hinreichend4heitERsicht

Wird gefordert, dass eine Passphrase unbedingt Sonderzeiten und Großbuchstaben enthalten muss, so lassen sich diese meist leicht in eine beabsichtigte Passphrase einbauen.

Noch besser ist natürlich, solche Passphrasen zufällig zu generieren, etwa mittels des so genannten Diceware-Verfahrens.

Aufgabe 1

Recherchiere im Internet, was man unter dem so genannten Diceware-Verfahren versteht. Erzeuge mittels des Diceware-Verfahrens eine mindestens 20 stellige Passphrase. Verwende einen herkömmlichen Spielwürfel, um echte Zufallszahlen zu generieren.

Aufgabe 2

Schreibe ein Python-Programm, dass echte Zufallszahlen von der Tastatur einliest und daraus Passphrasen nach dem Diceware-Verfahren generiert. Die Zufallszahlen kannst du mit einem herkömmlichen Spielwürfel erzeugen. Fertige Wortlisten für das Diceware-Verfahren findet du in verschiedenen Sprachen im Internet.

Aufgabe 3

In Aufgabe 2 könnte man zunächst auf die Idee kommen, die nötigen Zufallszahlen von Python generieren zu lassen. Was hältst du von dieser Idee?

Aufgabe 4

Recherchiere im Internet, wie sich echte Zufallszahlen generieren lassen.

X

Fehler melden

X

Suche