Menü
Avatar von Meros
  • Meros

51 Beiträge seit 12.11.2018

Weitergedacht: Ein Nullsummenspiel

Wenn wir hier von Passwort-Sicherheit sprechen geht es ja zumeist nicht um Bruteforce-Angriffe auf Online-Logins (wo es ja viele spezielle Gegenmaßnahmen gibt).

Im Allgemeinen reden wir ja von einem Szenario, in dem der Angreifer eine Tabelle mit Mali-Adressen und Hash-Werten erbeutet hat und die erbeuteten Hash-Werte mit eigenen (von ihm generierten) Hashes abgleichen muss.

Typischerweise kann er dabei mit einer relativ kleinen Anzahl an Hashes - nämlich denen der häufigsten Passwörter - bereits eine beträchtliche Menge an Passwörter identifizieren. Also sozusagen die Früchte abgreifen, die tief am Baum hängen. Und es wird immer eine gewisse Anzahl an Passwörten geben, die dem Angreifer "zu sicher" sind, und die ihn auch gar nicht interessieren, da er bereits 60% der Kennwörter entschlüsselt hat.

Was würde sich also ändern, wenn mehr Leute "individuelle" Passwörter haben?
Zunächst mal vergrößert das für eine gewünscht Menge an Klartext-Passwörtern den Suchraum und damit den Suchaufwand. Dadurch, dass nicht mehr mit relativ einfachen Mitteln relativ viele Passwörter ermittelt werden könnten, würde somit notwendigerweise der Anreiz steigen, komplexere Datenbanken aufzubauen. Somit würden also im Endeffekt Passwörter, die bis dato als "sicher" gelten plötzlich "unsicher", weil sie im neuen vergrößerten Suchraum enthalten wären. Die Folge wäre ein Wettrennen, um noch längere, noch komplexere Passwörter. Der Sicherheitsgewinn für die zuvor schwachen Passwörter würde somit einen Sicherheitsverlust der zuvor als stark geltenden Passwörter erkauft. Quasi ein Nullsummenspiel.

Sicherheitsbewusste Leute sollten also dankbar sein, dass es viele Leute gibt, die so bereitswillig schwache Passwörter wählen, da sie indirekt davon profitieren, das andere so leicht angreifbar sind.

tl; dr:
Du musst nicht schneller laufen als der Bär, nur schneller als der andere Wanderer..

Bewerten
- +
Anzeige