i

Passwörter - Theorie und Praxis

Passphrasen

Unter der Annahme, dass ein Angreifer 100 Milliarden Passwörter pro Sekunde testen kann, dauert ein Brute-Force-Angriff auf ein 8-stelliges Passwort über dem Alphabet aller 95 ASCII-Zeichen im Worst-Case gerade einmal

958 / 1011 s = 18,4 h.

Ein entsprechender Angriff auf ein 15-stelliges Passwort über dem Alphabet {a, …, z} würde
2615 / 1011 s = 539 a
dauern.

Damit sind Passwörter, die aus

  • mindestens 8 Zeichen bestehen,
  • Groß- und Kleinbuchstaben, alle möglichen Sonderzeichen und Ziffern beinhalten
  • und nach einem möglichst zufälligen Muster gebildet werden,
für einen Menschen schwer zu memorieren und für einen Angreifer leicht zu dechiffrieren.

Im Vergleich dazu sind etwas längere Passwörter, selbst wenn sie lediglich aus den Kleinbuchstaben {a, …, z} gebildet werden, für einen Menschen deutlich leichter zu memorieren, und für einen Angreifer sehr viel schwer zu dechiffrieren.

Relativ lange Passwörter, die aber dennoch gut für memorieren sind, werden oft als sogenannte Passphrasen bezeichnet.

Beim Erstellen solcher Passphrasen sind der Phantasie keine Grenzen gesetzt, so dass eine mögliche Passphrase zum Beispiel sein könnte:
nadaborder4fanta=hinreichend4heitERsicht

Wird gefordert, dass eine Passphrase unbedingt Sonderzeiten und Großbuchstaben enthalten muss, so lassen sich diese meist leicht in eine beabsichtigte Passphrase einbauen.

Noch besser ist natürlich, solche Passphrasen zufällig zu generieren, etwa mittels des sogenannten Diceware-Verfahrens.

Aufgabe 1

Recherchiere im Internet, was man unter dem sogenannten Diceware-Verfahren versteht. Erzeuge mittels des Diceware-Verfahrens eine Passphrase, die aus mindestens 6 Diceware-Wörtern besteht. Verwende einen herkömmlichen Spielwürfel, um echte Zufallszahlen zu generieren.

Aufgabe 2

Die folgende Passphrase wurde zufällig mit dem Diceware-Verfahren erzeugt:

tintenfleck-biergarten-hinauf-selber-backt-verarbeiten-parkbank-fragst-bringen-gerahmt

Beurteile die Sicherheit dieser Passphrase.

Aufgabe 3

Schreibe ein Python-Programm, das echte Zufallszahlen von der Tastatur einliest und daraus Passphrasen nach dem Diceware-Verfahren generiert. Die Zufallszahlen kannst du mit einem herkömmlichen Spielwürfel erzeugen. Fertige Wortlisten für das Diceware-Verfahren findest du in verschiedenen Sprachen im Internet.

Aufgabe 4

Schreibe ein Python-Programm, das Passphrasen nach dem Diceware-Verfahren generiert. Die dazu nötigen Zufallszahlen sollen (anders als in Aufgabe 2) nun ebenfalls automatisiert mit Python erzeugt werden. Fertige Wortlisten für das Diceware-Verfahren findest du in verschiedenen Sprachen im Internet.

Aufgabe 5

In Aufgabe 2 und in Aufgabe 3 werden die Zufallszahlen für das Diceware-Verfahren auf verschiedene Arten erzeugt. Zähle jeweils Vor- und Nachteile der beiden Verfahren auf. Erkläre auch, was man unter dem Begriff Pseudozufallszahl versteht.

Aufgabe 6

Recherchiere im Internet, wie sich echte Zufallszahlen in großer Menge und automatisiert generieren lassen.

Suche

v
11.11.2
inf-schule.de/kryptologie/passwoerter_theorie_und_praxis/02_passphrasen
inf-schule.de/11.11.2
inf-schule.de/@/page/MZUKb0eMNKEfqsu8

Rückmeldung geben