Passwörter - Theorie und Praxis

Passwörter

Als Empfehlung für gute Passwörter liest man häufig, dass ein gutes Passwort

• mindestens 8 Zeichen lang sein sollte.
• aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern bestehen sollte.
• nach einem möglichst komplexen Muster gebildet werden sollte.

Ein gutes Passwort wäre somit zum Beispiel: f8$)?,G3 Liest man dann weiter, so folgen meist die Empfehlungen:

• Niemals für verschiedene Dienste das gleiche Passwort verwenden.
• Passwörter nicht auf Zetteln oder in Dateien auf einem Computer notieren.
• Passwörter unbedingt in regelmäßigen Abständen ändern.

Ein typischer Computernutzer kommt heute wahrscheinlich leicht auf 10-20 oder sogar noch deutlich mehr Passwörter, die er oder sie sich auf diese Weise merken müsste. Damit ist die Umsetzung der obigen Forderungen für die meisten Nutzer völlig unrealistisch.

Als Konsequenz werden dann meist:

• Viel zu einfache Passwörter verwendet, in denen dann oft auch noch leicht zu erratende persönliche Daten wie Namen oder Geburtstage vorkommen.
• Das gleiche Passwort mehrmals bei verschiedenen Diensten verwendet.
• Passwörter nie oder viel zu selten geändert.
• Passwörter in einfachen Textdateien auf unsicheren Computern gespeichert.

Ein einfacher Ausweg aus dem beschriebenen Dilemma ist es, so genannte Passphrasen statt Passwörter zu verwenden. Im Folgenden sollen nun solche Passphrasen und deren Eigenschaften genauer betrachtet werden.

Aufgabe 1

Wie viele mögliche Passwörter gibt es bei der EC-Karte? Wie viele beim typischen Online-Banking? Wie versuchen Banken, dennoch eine gewisse Sicherheit zu garantieren?

Aufgabe 2

Wie viele achtstellige Passwörter gibt es über dem Alphabet der ASCII-Zeichen? Wie lange würde ein Brute-Force-Angriff im so genannten Worst-Case dauern, wenn ein Angreifer Hundert Milliarden Passwörter pro Sekunde testen kann?

Aufgabe 3

Wie lange würde ein Brute-Force Angriff im Worst-Case auf ein 20 stelliges Passwort über dem Alphabet {a, … , z} dauern, wenn ein Angreifer Hundert Milliarden Passwörter pro Sekunde testen kann? Gib die Zeit in einer aussagekräftigen Einheit an. Mache zunächst ein Überschlagsrechnung, indem du lediglich die auftretende Zehnerpotenzen mit geeigneten Näherungen abschätzt. Rechne dabei mit den folgenden Näherungen: 1 min ≈ 100 s, 1 h ≈ 100 min, 1 d ≈ 10 h, 1 a ≈ 1000 d

Aufgabe 4

Ab welcher Stellenzahl gibt es mehr Passwörter über dem Alphabet {a, … , z} als es 10 stellige Passwörter über dem Alphabet der ASCII-Zeichen gibt?

Aufgabe 5

Recherchiere, wie viele Passwörter eine Angreiferin bei einem Brute-Force-Angriff auf eine Passwortdatei heute pro Sekunde in etwa durchführen kann, wenn ihr leistungsfähige Hardware zur Verfügung steht.