Minimize on Start and Close

    Hallo Susanne,


    ok, das mit dem Mitlesen stimmt.


    Würdest du mir zustimmen bei


    1) Die angegebenen Knackzeiten bei den Verfahren sind Maximalzeiten. Erst werden die Wörterbücher durchgerasselt und dann werden Zeichenkombis ausprobiert. Es kann sein, dass meine Zeichenkombination direkt am Anfang dabei ist und dann war's da.
    2) Mit der Änderung des Passwortes kann ich eine Zeichenkombination wählen, die der zeitgleiche Angreifer schon gewählt hat. Aber genauso gut kann es mir passieren, dass ich einer der nächsten zu testenden Zeichenkombinationen wähle. Darauf habe ich keinen Einfluss.
    3) Beim Pishing, Key-Loggern, ÜBer-Die-Schulter-gucken etc. ist die Stärke des Passwortes ziemlich egal.


    Ist es nicht so, dass man mit zu hohen Anforderungen an Passwort und die Änderungshäufigkeit erst provoziert, dass es Post-its und Zettel in der Schublade gibt, auf denen das Passwort steht? Das bin ich sehr hin und her gerissen, welchen Kompromiss man da eingehen darf.


    Grüße


    Basel

  • Hallo Basel,


    Die angegebenen Knackzeiten bei den Verfahren sind Maximalzeiten.

    Ja, genauer gesagt kann man die Anzahl die maximal nötigen Versuche bestimmen und diese in Rechenzeiten umrechnen.

    Es kann sein, dass meine Zeichenkombination direkt am Anfang dabei ist und dann war's da.

    Rein theoretisch kann das passieren. Das ist aber kein Grund zu Pessimismus. Das kann wirklich nur in der Theorie passieren. Gleiches gilt für Deine Frage unter 2).


    Wir Menschen haben Probleme damit, uns das Wachstum einer Exponentialfunktion und die damit verbundenen großen Zahlen vorzustellen. Nehmen wir zur Vereinfachung mal an, für ein Passwort stünden 100 verschieden Zeichen zur Verfügung (Großbuchstaben, Kleinbuchstaben, alle Sonderzeichen, Zahlen). Damit gibt es 10000 zweistellig, 1 Millionen dreistellige, 100 Millionen vierstellige Passwörter. Das scheint zunächst nicht viel.
    Bei einem 20-stelligen Passwort ergibt sich eine Zahl mit 40 Nullen. Diese Zahl kann man sich schwer vorstellen. Man kann aber versuchen, sie anders ausdrücken: Die Wahrscheinlichkeit, dass ein solches Passwort der nächsten Zeichenkombination entspricht, ist etwas so hoch wie 6 richtige Zahlen im Lotto zu tippen und zwar 6 Mal hintereinander!
    Oder, auf eine weitere Art verbildlicht: Bei 10 Milliarden Passwortchecks pro Sekunde genügt das Alter des Universums nicht, um alle Kombinationen zu testen. Und falls Dir das nicht genügt, weil Du Angst vor Supercomputern hast, nimm einfach zwei Stellen dazu. Dann wärst Du schon bei 10000 Universen*. ;-)



    Beim Pishing, Key-Loggern, ÜBer-Die-Schulter-gucken etc. ist die Stärke des Passwortes ziemlich egal.

    Ja, das ist korrekt. Aber sag jetzt bitte nicht, das sei ein Grund auf starke Passwörter zu verzichten.



    Ist es nicht so, dass man mit zu hohen Anforderungen an Passwort und die Änderungshäufigkeit erst provoziert, dass es Post-its und Zettel in der Schublade gibt, auf denen das Passwort steht?


    Ja, diese Spezies gibt es. Aber Du hast es ja selbst in der Hand, ob Du dazugehörst oder nicht.


    Gruß


    Susanne




    (*)
    Und weil das auch die Angreifer wissen, fahren sie erst gar keine solchen Brut-Force-Angriffe auf starke Passwörter. Deshalb verlangen die Dienste Hintertüren oder Zweitschlüssel oder setzen auf aktive Spionage, z.B. mittels Keyloggern.

    Hallo,


    ich will nicht gegen starke Passwörter argumentieren, keine Sorge.


    Unwahrscheinlich heißt, das es für denen einen, den es trifft trotzdem sehr real ist und nicht nur ein bisschen. Das fällt dann unter nicht ausschliessbares Restrisiko, denke ich.


    Grüße


    Basel

  • Hallo Basel,


    ich denke für ist es an der Zeit, mich aus dieser Diskussion zu verabschieden. Ehrlich gesagt wird mir das jetzt zu esoterisch. Ich habe Dir nach besten Wissen und gewissen zu erklären versucht, wie und mit welchen Maßnahmen man sich gegen einen Passwortdiebstahl und dessen Folgen absichern kann.

    Das fällt dann unter nicht ausschliessbares Restrisiko, denke ich.

    Wenn ein Restrisko auszuschließen wäre, dann gäbe es kein Restrisiko mehr. Insofern kann ich schon mit diesem Begriff nichts anfangen.


    Es gibt kein Leben ohne Restrisiken und die entsprechende Wahrscheinlichkeiten. Frag mal Erwin Schrödinger.


    Gruß


    Susanne