https://xkcd.com/936/

https://imgs.xkcd.com/comics/password_strength.png

Vorweg, ich habe keine Ahnung und zwar eine Menge.


Den Teil mit den langen Sätzen habe ich verstanden, länger gleich sicherer. OK.


Aber wie muss ich mir den Teil mit den 1000 Versuchen / Sekunde vorstellen? Ich habe eine Eingabemaske und soll mein Passwort eingeben? Bei mir bei der Arbeit, kann ich in SAP 3x das Passwort falsch eingeben und werde gesperrt. Wie läuft so ein "Passwort-Angriff", dass 1000 Versuche pro Sekunde möglich sind.

Danke für eine bildreiche Erklärung.

Aber wie muss ich mir den Teil mit den 1000 Versuchen / Sekunde vorstellen? Ich habe eine Eingabemaske und soll mein Passwort eingeben? Bei mir bei der Arbeit, kann ich in SAP 3x das Passwort falsch eingeben und werde gesperrt. Wie läuft so ein "Passwort-Angriff", dass 1000 Versuche pro Sekunde möglich sind.
Der Comic ist von 2011.

Und auch heute machen selbst die "Großen" noch genug Mist, was Security angeht. Bei kleinen Diensten (Foren, Nebengewerblichen Shops, etc.) dürfte das noch schlimmer sein.
Bei wiederverwendeten Passwörtern reicht es ja, die schwächste Stelle anzugreifen.

Die 1000 Versuche pro Sekunde sind eher für einen Anwendungsfall wie bei verschlüsselten Dateien.

Die 1000 Versuche pro Sekunde sind eher für einen Anwendungsfall wie bei verschlüsselten Dateien.

This, da gehts nicht um Eingabemasken von nem Router

Es steht explizit im Comic, dass es bei dieser Zahl um "weak remote web services" und nicht um lokale Angriffe geht.

Lokal liegt man mehrere Größenordnungen darüber.

Wie glaubt ihr erklären zu können, was ihr nicht gelesen habt? :confused:

Bei mir bei der Arbeit, kann ich in SAP 3x das Passwort falsch eingeben und werde gesperrt.

Ist nicht überall so. Zudem haben viele Dienste neben der Webeingabemaske noch diverse APIs, worüber man sich einloggen kann. Reicht wenn eine davon kein Limit hat.

Grundsaetzlich sollte jedes Passwort so gewählt werden, dass es auch einem lokalen Angriff standhält, dann hat man seinen Teil zur Sicherheit beigetragen.

Wie glaubt ihr erklären zu können, was ihr nicht gelesen habt? :confused:

geht am einfachsten, 3dc Style eben

Ich würde dem Comic ja auch an einem Punkt widersprechen:

"Cracking a stolen Hash is faster, but it's not something the average user should worry about"

Bei Nutzung eines einigermaßen sinnvollen Passworts (wenigstens mal keine Standard-Passwörter, keine zu kurzen Passwörter, nichts was man mit simplen Wörterbuch-Abfragen rausbekommt), sind Datendiebstähle aus schlecht gesicherten Datenbanken vermutlich sogar das größere Risiko - wenngleich völlig außerhalb unserer Einflusssphäre als Durchschnittsnutzer.
Und social-engineering basierte Angriffe (Phishing, etc.), vermutlich.

https://explainxkcd.com/wiki/index.php/936:_Password_Strength

Hervorragende Seite im Uebrigen und super zu merken (einfach "explain" vor xkcd und ab geht die Post)

@nalye +1

Aber wie muss ich mir den Teil mit den 1000 Versuchen / Sekunde vorstellen? Ich habe eine Eingabemaske und soll mein Passwort eingeben?

Stell dir das so vor: Bei der Passwortvergabe wird dein Passwort durch eine Hashfunktion geschickt und das Ergebnis (der Hash) in der Datenbank gespeichert.
Bei Passworteingabe wird die Eingabe gehashed und das mit dem gespeicherten Hash verglichen.

Wenn jemand die Datenbank kopiert (oder deine HDD klaut), hat er also nicht dein Passwort, sondern "nur" den Hash.
Programme wie Hashcat oder Jack the Ripper fangen nun an, entweder Wörterbuchlisten oder stupide Buchstabenzahlensonderzeichenkombinationen zu hashen und das mit dem Zielhashwert zu vergleichen. Hashfunktionen wie SHA256/512 lassen sich schnell berechnen und auch paralelisieren. Eine aktuelle Grafikkarte schafft da über eine Millionen Hashoperationen pro Sekunde, stell mehr Rechner mit mehr als einer Graka auf und du hast entsprechend mehr.
Salt und Iterations hab ich jetzt aus Gründen der Vereinfachung weggelassen, aber: 1000 Versuche pro Sekunde ist IMO zu langsam geschätzt.

Gibt natürlich auch Hashfunktionen wie Argon2 die dafür entworfen worden, schlecht parallelisierbar zu sein. Hab bisher auch noch keine Implementation für GPUs hierfür gesehen, sollte sich bis auf weiteres auch nix daran ändern, weil Argon2 beim Hashen viel RAM benötigt (sonst noch langsamer).
Je nach Einstellung arbeiten dann 4 CPU-Threads mit 1 GiB RAM etwa 4 Sekunden an einem Hash, also 0,25 Passwörter pro Sekunde.