it-swarm.com.de

Gibt es einen Schwellenwert für ein Passwort, solange es nicht sicherer wird oder sogar unsicher wird?

Ich höre immer "Ein langes Passwort ist gut, ein längeres Passwort ist besser". Aber gibt es so etwas wie ein " Passwort ist so lang, dass es unsicher wird " oder " Passwort ist lang genug, es länger zu machen spielt keine Rolle "?

Ich bin an der Sicherheit des Passworts interessiert, nur um es zu knacken.
Nicht, wenn es kann ein DoS verursachen die Server beim Hashing überlasten oder wenn der Anbieter denkt anders .

Nehmen Sie außerdem an, dass das Passwort kein Wörterbuch) enthält es wäre sowieso in Kommentaren. Wörter, ist nter Verwendung von Best Practices gespeichert , hat eine starke und eindeutiges Salz und relevante Entropie pro Zeichen. Es spielt auch keine Rolle, wie sich der Benutzer das Passwort merkt/zurückruft/speichert.

Ich bin damit einverstanden, dass länger / Passwörter / sicherer sind . Ich frage nach der oberen Grenze.

Gibt es eine Länge (oder Entropiegröße), in der es nicht mehr wichtig ist, das Passwort länger zu machen oder sogar seine Sicherheit zu schwächen? Ich weiß, dass es vom Hashing-Algorithmus abhängt. Wenn die Obergrenze für einen bestimmten Algorithmus existiert und bekannt ist, was ist das?

90
Mindwin

128 Bit (Entropie)

Der Hauptzweck eines längeren Passworts besteht darin, Brute-Force-Angriffe zu verhindern. Es ist allgemein anerkannt, dass 128 Bit nicht in der Lage sind, Gewalt anzuwenden, und dies auf absehbare Zeit auch bleiben wird. Sie sehen diese Figur an einigen Stellen, z. SSL-Chiffren mit einer Schlüssellänge von 128 Bit oder mehr gelten als "hohe Sicherheit", und OWASP empfiehlt, dass Sitzungstoken mindestens 128 Bit enthalten. Die Argumentation ist für alle diese gleich - 128 Bit verhindern Brute-Force-Angriffe.

In der Praxis enthält ein Zeichen ungefähr 6 Entropiebits, wenn ein Kennwort aus Groß- und Kleinbuchstaben, Zahlen und einer kleinen Interpunktion besteht. Ein 128-Bit-Kennwort besteht also aus 22 Zeichen.

Ein Passwort kann auf andere Weise als durch Brute Force kompromittiert werden. Möglicherweise befindet sich auf dem Client-System ein Keylogger, oder der Benutzer wird phishing. Die Kennwortlänge macht für diese Angriffe fast keinen Unterschied - selbst ein 1000-Bit-Kennwort würde trotzdem erfasst. Und diese Angriffe sind in der Praxis weit verbreitet, daher lohnt es sich nicht, zu lange Passwörter zu verwenden.

In der Tat können Sie mit etwas weniger als 128 Bit davonkommen. Wenn das Kennwort mit einer langsamen Hash-Funktion wie bcrypt gehasht wird, wird ein Brute-Force-Angriff schwieriger, sodass 100-Bit-Angriffe (oder so ungefähr) Brute-Force-Angriffe vollständig verhindern. Wenn Sie sich nur mit Online-Angriffen befassen und die Website über eine Sperrrichtlinie verfügt, können Sie mit weniger noch davonkommen - 64-Bit würde einen ratenbeschränkten Online-Brute-Force-Angriff vollständig verhindern.

80
paj28

Kann ein Passwort so lang sein, dass es unsicher ist? Ja.

Wenn Sie sich das allgemeine Bild der Sicherheit in Ihrem Unternehmen ansehen, bedeutet Sicherheit nicht nur "Konten mit nicht erratenen Kennwörtern schützen". Sicherheit muss die gesamte Organisation mit der "CIA-Triade" von Vertraulichkeit, Integrität und Verfügbarkeit schützen. Ab einem bestimmten Schwellenwert für die Kennwortlänge verbessern sich Vertraulichkeit und Integrität statistisch nicht, während die Verfügbarkeit aufgrund schlechter Benutzerfreundlichkeit abnimmt. Ein System, bei dem Sie sich nicht anmelden können, ist genauso nicht verfügbar wie ein System, das nicht verfügbar ist.

Wenn Sie Ihren Benutzer zwingen, ein 22-stelliges Kennwort einzugeben, das aus allen zufälligen Buchstaben, Zahlen und Symbolen in Groß- und Kleinschreibung besteht, sind Ihre Benutzer anfälliger für Fehler. Bedenken Sie, dass ein Benutzer möglicherweise unter Stress steht, um sofort auf eine kritische Situation zu reagieren. Das Fummeln mit einem langen Passwort kann zu einer Sperrung von 3 Versuchen führen und dem Benutzer so viel Zeit zum Zurücksetzen nehmen, dass er die Situation nicht rechtzeitig beheben kann, und es kommt zu einer Katastrophe. Dieses lange Passwort verhinderte die Verfügbarkeit. Anstatt die Organisation zu schützen, verursachte sie Schaden.

Wie viel Zeit verschwenden Ihre Benutzer mit der Eingabe von Passwörtern? Je länger das Passwort ist, desto langsamer ist die Eingabe. Subtrahieren Sie diese Kosten direkt vom Endergebnis. Das ist ein Teil der Sicherheitskosten, Geld, das woanders hätte ausgegeben werden können. Ein Passwort mit 100 Zeichen kostet Sie mehr als ein Passwort mit 20 Zeichen, ohne dass das Risiko messbar verringert wird. Zeit und Geld sind Vermögenswerte, und ein zu langes Passwort verbraucht sie, ohne zusätzliche Vorteile zu erzielen.

Befürworte ich bei alledem eine schlechte Sicherheit von 4-stelligen PINs, damit die Benutzer schneller und zufriedener sind und weniger Fehler machen? Natürlich nicht. Was Sie tun müssen, ist die Entropie, die durch das Passwort bereitgestellt wird, mit der Psychologie der Verwendung abzugleichen.

Während sich die meisten Benutzer nicht an ein 12-stelliges Passwort aus 70 Buchstaben, Zahlen und Symbolen erinnern können, können sie sich wahrscheinlich an eine Passphrase mit fünf Wörtern erinnern. Betrachten Sie daher einen Diceware-Ansatz, um eine ähnliche Entropie zu erzielen. Fünf zufällige, aber vertraute Wörter sind wahrscheinlich leichter zu merken und einzugeben als 12 zufällige Symbole, während sie Billionen möglicher Kombinationen liefern. Sechs Diceware-Wörter bieten noch mehr Sicherheit als die 12-stelligen Passwörter.

Wenn es sich aus irgendeinem Grund um Zeichen handeln muss, stellen Sie sicher, dass Sie sie aus dem Satz eindeutiger Zeichen auswählen. Zwingen Sie den Benutzer nicht, auf der Umschalttaste zu tanzen oder zufällige Symbole einzugeben. Wenn Sie die Entropie aus einem Passwort mit 12 zufälligen Zeichen benötigen, das aus [az] [AZ] [0-9] [! - *] stammt, können Sie mit nur [az] eine ähnliche Entropie erreichen und auf 15 Zeichen erweitern .

Oder ziehen Sie andere Tools in Betracht, z. B. die Authentifizierung von Token, Biometrie oder Smartcards, und lassen Sie diese eine kürzere PIN ergänzen.

Sicherheitssysteme müssen verwendbar sein, oder sie stören die Organisation zu ihrem Nachteil.

37
John Deters

Immer längere Passwörter werden nicht unsicher, aber irgendwann werden sie nicht mehr sicherer.

Basierend auf den von Ihnen erwähnten Annahmen ist es wahrscheinlich, dass das Passwort wirklich zufällig ist und mit bcrypt (Passwortspeicher auf dem neuesten Stand der Technik) gespeichert wird. Bcrypt hat ein Längenlimit von 50 bis 72 Zeichen, abhängig von der Implementierung. Ein längeres Passwort ist also entweder nicht zulässig, wird nur mit den ersten N Zeichen gehasht oder ähnliches. Grundsätzlich wird länger nicht besser sein (obwohl es nicht schlechter sein wird).

Man könnte auch argumentieren, dass, sobald das Passwort von jetzt an bis zum Ende des Universums gegen einen Brute-Force-Angriff auf den Passwort-Hash gesichert ist, eine längere Verlängerung des Passworts nicht sicherer wird. Selbst wenn Sie wilde Annahmen über die Hardware eines Angreifers machen, ist ein wirklich zufälliges Passwort mit 20 bis 30 Zeichen bis zum Ende des Universums sicher. Daher ist ein längeres Passwort nicht sicherer.

30
Neil Smithline

Ein Fall, in dem ein längeres Kennwort tatsächlich schwächer als erwartet sein kann, sind Systeme, die die von Ihnen als Kennwort eingegebene Zeichenfolge abschneiden. Erwägen

passwordsogoodtahtittakestrillionyearstobreakitgoaheadtryme

Dieses Passwort ist sehr gut1 außer wenn Sie ein System haben, das es tatsächlich als sieht

password

weil es nur 8 Zeichen akzeptiert. Der Rest wird stillschweigend verworfen, sodass Sie immer passwordsogoodtahtittakestrillionyearstobreakitgoaheadtryme eingeben, das System password davon akzeptiert und alle glücklich sind.
Einschließlich des Hackers, der zuerst diese Kombination versucht.

1ja, auch, weil es Wörterbuchwörter enthält, die es leichter machen, sich zu erinnern, als einige nutzlose Großbuchstaben-Spezialchars-Triaden, die von mathematisch beeinträchtigten Sicherheitsberatern beworben werden

10
WoJ

Ich sehe ein paar Kommentare, die darauf hinweisen, aber keine Antworten, die dies klar angeben, also werde ich sie hier hinzufügen.

Ja, die Länge, die Sie einem Kennwort hinzufügen können, ist begrenzt, bevor Sie keine Sicherheit mehr erhalten, wenn das Kennwort gehasht wird (und wir hoffen, dass dies der Fall ist). Dies liegt daran, dass ein Angreifer Ihr Kennwort nicht kennen muss, sondern nur eine Zeichenfolge, die mit derselben Ausgabe hasht. Wenn Sie also ein Kennwort mit mehr Entropie als die Ausgabe des Hash-Algorithmus haben, gibt es mit ziemlicher Sicherheit eine kürzere Zeichenfolge, die aufgrund von Hash-Kollisionen dieselbe Ausgabe erzeugt. Zu diesem Zeitpunkt spielt es keine Rolle, wie lange Sie das Kennwort noch erstellen, Sie erhalten immer noch nur die gleiche Ausgabeentropie.

Dies bedeutet natürlich, dass der Angreifer den Hash brutal erzwingen müsste, bis eine Kollision gefunden wird, was für sichere kryptografische Hashes praktisch unmöglich ist, aber Sie haben nach einer theoretischen Grenze gefragt, nicht nach einer praktischen.

6
Kevin Wells

Das Landauer-Limit gibt die theoretisch maximal mögliche Anzahl von Einzelbitänderungen an, die Sie mit einer bestimmten Energiemenge durchführen können. Angenommen, Sie haben Zugang zu den 20 leistungsstärksten Kraftwerken der Welt, die alle 100 Jahre lang mit voller Kapazität betrieben werden. Das würde Ihnen 5 * 10 ^ 20 Joule Energie geben, mit denen Sie Ihre Berechnungen durchführen können. Nehmen wir an, Sie haben einen modernen Computer, der nur eine Million Mal so viel Energie verbraucht, wie theoretisch benötigt wird. Mit so viel Energie, so gut ein Computer, der auf -270 Grad Celsius gekühlt wurde, sagen die Gesetze der Physik, dass man nur 2 ^ 124 Eingabekombinationen durcharbeiten kann.

Wenn Sie bereit sind, den gesamten Planeten vollständig zu zerstören, mit perfekter Effizienz in Energie umzuwandeln und einen Computer, der an der Landauer-Grenze arbeitet, wieder auf -270 Grad Celsius abkühlen zu lassen, können Sie 2 ^ 213 mögliche Eingangskombinationen aufzählen.

Wenn Sie irgendwie alle Materie im gesamten Universum zerstören und die gesamte dunkle Energie ernten können, kann Ihr theoretisch perfekter Computer immer noch nur 2 ^ 233 Kombinationen verarbeiten.

Daher sind 2 ^ 233 Kombinationen der Punkt, an dem ein Brute-Force-Angriff bei ausreichender Investition von Zeit und Energie nicht mehr garantiert erfolgreich ist. Es gibt keine mögliche Investition, die groß genug ist.

Es gibt immer Glück. Egal wie viele Bits Sie haben, es ist möglich, dass eine Vermutung richtig ist. Man wählt daher ein akzeptables Risiko. Es gibt keine Möglichkeit, ein Null-Risiko zu erhalten, und keine Möglichkeit, "akzeptabel" universell zu definieren.

Theoretisch würde ein Computer von der Größe der Erde, der an der Bremermann-Grenze für Rechengeschwindigkeit arbeitet, ein 256-Bit-Passwort in weniger als zwei Minuten knacken. Wie gerade berechnet, gibt es im Universum jedoch nicht genügend Kraft, um diese Anstrengungen zu unternehmen. Die Zeit, die benötigt wird, um mit theoretisch idealen Geräten zu knacken, gibt uns keine "akzeptable" Grenze.

Präsident Obama hat die Schaffung eines Exaflop-Computers bis 2025 angeordnet, in der Hoffnung, dass er der schnellste Computer der Welt sein wird, wenn er gebaut wird. Welche Chance hat ein Exaflop-Computer, in den verbleibenden 5 Milliarden Jahren, bevor die Sonne explodiert, ein 2 ^ 233-Bit-Passwort zu knacken? Nun, das sind 1,6 * 10 ^ 34 Vermutungen oder weniger als 2 ^ 114 Vermutungen. Das ist eine Chance in 2 ^ 119 (6 * 10 ^ 35), das Passwort zu knacken, bevor die Sonne explodiert.

Akzeptabel? Wer soll sagen? Es ist sehr schwierig, solche Chancen ins rechte Licht zu rücken, da sie so unwahrscheinlich sind. Gewinnen Sie den Lotterie-Jackpot diese Woche, nächste Woche und auch die Woche danach? Viel wahrscheinlicher als das Passwort zu knacken, bevor die Sonne in fünf Milliarden Jahren explodiert.

233 Entropiebits können mit 36 ​​Zeichen dargestellt werden, die aus den 95 druckbaren Zeichen von US-ASCII gezogen werden. Ein Angreifer kann nicht garantieren, dass ein solches Passwort mit brutaler Gewalt geknackt wird, selbst wenn er alle Ressourcen des gesamten Universums nutzt, und die Wahrscheinlichkeit, dass er es nur mit der heute existierenden Technologie knackt, ist sehr gering.

Dies ist die einzige Grenze, von der ich weiß, dass sie nicht durch die Wahl des Algorithmus oder der Person, die sich an das Passwort erinnern muss, sondern durch die tatsächlichen physikalischen Gesetze des Universums auferlegt wird.

5
Simon G.

Standardmäßig lautet die Antwort auf eine Frage der Form kann [schlechtes XYZ] mit Passwörtern passieren ja. Es gibt immer einen Raum für spezifische Kommentare, aber die Tatsache bleibt, dass Passwörter eine der am wenigsten natürlichen Sicherheitsaufgaben sind, die einer Person übertragen werden, und diese Person wird mit ziemlicher Sicherheit Effizienz gegenüber Sicherheit bevorzugen.

Wenn Sie ein langes Passwort wählen, das nicht in einem Wörterbuch enthalten ist, besteht die Möglichkeit, dass es sich bei dem Passwort um eine zufällige Zeichenfolge handelt, an die Sie sich nur schwer erinnern können. Infolgedessen muss der Benutzer Verknüpfungen finden, um sein System tatsächlich ohne zu viel Blendung zu verwenden (für Benutzer ist Sicherheit normalerweise ein Hindernis, um die Aufgaben zu erfüllen, die tatsächlich einen Wert haben): Schreiben Sie es auf, lassen Sie es in der Zwischenablage, stecken Sie es ein Ein USB-Dong, der das Passwort automatisch eingibt ... Sie nennen es.

Der Battery Horse Staple XKCD-Comic wurde berühmt durch die Erstellung längerer Passwörter, die einprägsamer sind, aber als Ergebnis korrektes Pferdebaterrystaple in jedes Wörterbuch einfügen. Daher ist es im Allgemeinen schwierig, brauchbare lange Passwörter zu erstellen.

Das war's für die praktische Haftung. Nun sehen wir uns ein paar Zahlen an. Nehmen wir an, Sie speichern Ihr Passwort nicht im Klartext, sondern hashen und salzen es. Angenommen, es gibt keinen einfacheren Weg, den Kennwortspeicher zu knacken, als eine Kollision für das gespeicherte Kennwort zu erhalten. In diesem Fall hat jeder Passwort-Hash eine feste Länge: Sagen wir 256 Bit für SHA-256. Dann haben Sie höchstens 2256 zu speichernde Werte. Zugegeben, das ist viel, aber das ist auch Ihre "Grenze". Wenn Sie Kennwörter mit mehr als 256 Entropiebits speichern, wird diese zusätzliche Entropie nirgendwo gespeichert. Es ist nicht weniger sicher, aber, wie die Antwort von Neil in Bezug auf bcrypt zeigte, wird es keinen Gewinn durch längere Passwörter geben.

4

Ja, es gibt einen Fall, in dem ein längeres Passwort weniger sicher ist, aber heutzutage sollte niemand DES Passwörter verwenden, da sie ohnehin trivial zu knacken sind. Einige Implementierungen von DES waren tatsächlich weniger sicher und verwendeten weniger Entropie, wenn das Passwort länger als acht Zeichen war! Die Problemumgehung bestand darin, das Passwort vor dem Hashing auf acht Zeichen zu kürzen. Wenn Sie jemanden finden, der noch DES] verwendet Basierend auf Passwort-Hashes haben sie auch andere Probleme. Es ist theoretisch auch möglich, dass ein ähnlicher Fehler andere Passwort-Hashing-Algorithmen beeinflusst (ich denke, einige Versionen von Lanman hatten ein ähnliches Problem), aber die meisten Leute, die Passwort-Hashes entwerfen, lernen aus den Lehren von Geschichte und mir ist keine moderne veröffentlichte Passwort-Hash-Funktion mit diesem Problem bekannt.

0
hildred

Wenn Sie über Passwörter sprechen, ist es wichtig, alle Vektoren zu berücksichtigen.

Zum Beispiel benötigt das Passwort "Passwort" 2,17 Sekunden, um Brute Force auszuführen. "p455w0rd" dauert 29,02 Sekunden und "p455w0Rd!" dauert 2,4 Monate. Wichtig: Wenn es darum geht, ein Passwort brutal zu erzwingen, würden diese drei Beispiele bei einem wörterbuchbasierten Angriff weniger als eine Sekunde dauern.

Im Gegensatz dazu dauert "thisisalongpassword" 2,5 Millionen Jahrhunderte, während "th1sIs4l0ngPa55w0rd" 36,72 Jahrhunderte dauert. Wenn Sie jedoch das komplexere Passwort verwenden, erhöhen Sie die Wahrscheinlichkeit, dass jemand es auf eine Haftnotiz schreibt und auf seinen Monitor klebt.

Während eine größere Entropie vom Standpunkt der Brute Force aus besser ist, verringert sie die Gesamtsicherheit eines Systems, indem sie die Wahrscheinlichkeit erhöht, dass Menschen Menschen sind und unsichere Dinge tun, wodurch die Verwundbarkeit in anderen Angriffsmethoden erhöht wird.

Um ein anderes Beispiel zu betrachten, nehmen wir an, Sie zwingen Ihre Benutzer, ein Kennwort mit Passwortlänge zu verwenden. Der Benutzer wählt also "tobeornottobe". Wenn ein Hacker allein mit brutaler Gewalt gehen würde, würde dies 9,85 Monate dauern. Da ein Hacker jedoch Wörterbuchangriffe und andere Heuristiken verwendet, wird dies wahrscheinlich Menuette erfordern. Wenn derselbe Benutzer "2b0n2b" verwenden würde, würde Brute Force allein 0,02 Sekunden dauern, aber Wörterbuchangriffe wären nutzlos. Das Ziel ist es, einen Sweet Spot zwischen leicht zu merken, Brute Force schwer und Wörterbuch schwer zu finden. Wenn Sie Ihre Kennwortrichtlinie zu weit von einem dieser Ziele entfernt haben, haben Sie das allgemeine Kennwort geschwächt.

Die Antwort

Es gibt keine Obergrenze, bei der mehr Entropie dazu führt, dass ein Passwort schwächer wird. Es gibt eine Obergrenze, wenn es um using Ein Passwort in der realen Welt geht. Die Obergrenze ist der Punkt, an dem die Benutzer des Systems das Kennwort nicht mehr ohne unsichere Mittel verwenden können, um sich daran zu erinnern, und Sie somit für andere Angriffsmethoden öffnen können.

Die Zeit für Brute-Force-Passwörter basiert auf https://www.grc.com/haystack.htm at "Offline Fast Attack Scenario".

0
coteyr

eigentlich keine Grenzen. Die Grenze wäre für bekannt-schwache Hashes möglich, bei denen ein Substitutionsangriff gut dokumentiert und messbar ist.

0
Alexey Vesnin