Avatar von /mecki78
  • /mecki78

mehr als 1000 Beiträge seit 03.07.2004

Re: Wie lange dauert "Brute-Force"?

sschnee schrieb am 20.04.2020 16:11:

Du uebersiehst nur, dass 99% aller Menschen keine sicheren (lang genug und Zeichenraum) Passwoerter verwenden.

Ich empfehle grundsätzlich jeden ein Passwortmanager zu verwenden, denn dann muss man sich nur ein einzig wirklich gutes Passwort zum Zugriff auf den Manager merken, alle anderen merkt sich der Manager und die können daher komplett zufällig und beliebig lang sein. Und selbst wenn das Passwort nur aus Buchstaben (groß und klein) und Ziffern besteht und gerade mal 16 Zeichen lang ist, wenn es komplett zufällig ist, dann gibt es keine Chance das aktuell zu knacken. Und hier habe ich beste Erfahrungen mit Bitwarden gemacht, der deutliche Vorzüge gegenüber LastPass, KeePass, Dashlane oder 1Password hat und trotzdem komplett kostenlos und auf jeder relevanten Plattform bzw. in jeden relevanten Browser genutzt werden kann.

Aber natürlich hilft das wenig bei Zugangspasswörtern zu SmartPhones oder Computern, denn die muss man oft eingeben, die will man nicht von einem Zweitgerät abtippen müssen und hat man gar kein Zweitgerät, dann ist das ein Henne-Ei-Problem, denn erst wenn man Zugriff aus das Gerät hat, kann man ja den Passwortmanager öffnen. Auch ist die Frage, wie merkt man sich ein sicheres Passwort für einen Passwortmanager?

Ganz einfach: Man merkt sich eine ganzen Satz und tippt immer nur den ersten Buchstaben.So ein Satz ist leicht zu merken und schnell zu tippen (im Kopf aussagen und immer nur den ersten Buchstaben tippen). Ist der Satz nur lang genug, ist das Passwort extrem sicher.

"Montags bin ich immer müde und hole mir als erstes Kaffee"

MbiimuhmaeK

Ist zwar nur 11 Zeichen lang, folgt aber keinen Schema, das man mit Wörterbüchern, Markow-Ketten oder KI angreifen kann. Aus der Sicht eines Computers ist das zufällig. 11 Zeichen ist noch im Bereich des potentiell knackbaren, aber dauert bereits ewig. Alleine aus Kosten-Nutzen-Gründen würde man hier irgendwann abbrechen. Was habe ich davon, wenn es mich 10 Mio kostet etwas zu knacken, das nicht im Ansatz so viel wert ist? Der Staat ist auch nicht bereit 10 Mio zu investieren, nur um jemanden eine Straftat nachzuweisen, erst recht nicht, wenn das nicht mal ein Schwerverbrechen ist.

Braucht man ein längeres, dann nimmt man die ersten zwei Buchstaben:

MobiicimmüunhomialerKa

Allerdings ist es jetzt nicht mehr komplett zufällig. Mit einer auf die deutsche Sprache trainierten Markow-Kette lässt sich hier viel Rechenzeit einsparen. Auch wenn das Passwort jetzt 22 Zeichen lang ist, hat es ggf. nur die Sicherheit von 16 zufälligen Zeichen, da eine Markow-Kette unwahrscheinliche Kombinationen als letztes Probieren würde, was natürlich viel schneller zum Erfolg führt. Aber auch mit nur einer effektiven Sicherheit von 16 Zeichen ist es praktisch als unknackbar anzusehen, außer du warst der reichste Mensch der Welt, hast vor deinem Tod dein ganzes Geld als Gold irgendwo vergraben und mit diesen 16 Zeichen sind die Geo-Koordinaten verschlüsselt, dann würde ich nicht darauf wetten.

Zwar braucht ein normaler Computer für 16 zufällige Buchstaben im Schnitt 500 Mio Jahre, aber schon ein großes Array aus Hochleistungs-GPUs reduziert die Zeit auf unter 500'000 Jahre. D.h., wenn du jetzt 50'000 davon baust, dann schaffst du das in 10 Jahren. Damit sich das ganze rechnet, musst du allerdings auch gleich dein eigenes Stromkraftwerk dazu bauen, denn den Strom einkaufen wäre viel zu teuer. Und du brauchst eine gigantische Kühlanlage, um diese ganzen Arrays zu kühlen, damit sie 24/7 durchrechnen können ohne auszufallen, die natürlich aber auch wieder Strom braucht, ggf. brauchst du also sogar mehr als ein Kraftwerk, denn ein Atomkraftwerk wird man dich eher nicht betreiben lassen. Mit anderen Worten, du müsstest mal locker Beträge von über 1 Mrd Euro in Hardware investieren, die dann 10 Jahre rechnen muss. Aber angesichts des zu erwartenden Gewinns wäre das eine lohnenden Investition. Der Punkt ist hier: Wer würde das investieren, um an deinen Festplatte zu kommen? Richtig, niemand!

Und ist das Passwort 24 Zeichen lang, dann bräuchtest du eben noch viel mehr von diesen GPU-Arrays, nur dann bekommst du ein anderes Problem: Es gibt auf der Erde nicht genug Silizium um das zu bauen. Mal ganz davon ab, dass du dann eine eigene Sonne für den Strom bräuchtest. Allerdings selbst wenn das Passwort 16 Zeichen lang ist und auch mindestens eine Ziffer und ein Sonderzeichen beinhaltet, wird niemand mehr versuchen das zu knacken, weil die Hardware dafür könnte man dann zwar noch real bauen, sie würde aber mehr Geld kosten als der reichste Mensch der Welt jemals hätte besitzen können, womit das ganze dann wieder unrentabel wird.

/Mecki

Das Posting wurde vom Benutzer editiert (21.04.2020 01:50).

Bewerten
- +