it-swarm.com.de

Verteidigung gegen Angriffe mit Wörterbüchern

Einige Arten von Angriffen auf Passwörter verwenden Wörterbücher. Es ist sicherer, unsinnige Passwörter wie YunSUanLin, Artibichoke usw. zu verwenden, die sich anscheinend nicht auf ein Wörterbuch beziehen?

13
Albert

Angreifer verwenden oft nicht nur Wörterbücher, sondern auch Regeln, die die Wörter in Wörterbüchern permutieren.

Eine Regel könnte beispielsweise darin bestehen, Zahlen, die gleich aussehen, durch bestimmte Buchstaben zu ersetzen. Dies würde Password in P455w0rd Verwandeln.

Eine Regel, die in diesem Fall gelten könnte, wäre, einzelne Buchstaben aus einem Wort zu entfernen. Das bedeutet, dass Sie das Passwort nur permutieren, indem Sie einen Buchstaben entfernen oder es absichtlich falsch schreiben, um bessere Chancen zu erhalten, dies ist jedoch nicht garantiert.

Um Ihre Frage spezifisch zu beantworten: Ja, es ist sicherer, unsinnige Wörter zu verwenden, als Wörter in einem Wörterbuch zu verwenden.

Es ist jedoch nicht so sicher wie möglich. Ein Offline-Passwort-Manager kann wirklich zufällige Passwörter für Sie generieren und diese verschlüsselt speichern. Dies bedeutet, dass Sie niemals Ihr Kennwort eingeben müssen, außer das Hauptkennwort, um den Kennwortmanager zu entsperren.

Um dies zu demonstrieren, fragen Sie sich, welches Passwort Sie für sicherer halten: YunSuanLin0 Oder [[email protected],7##M]enMd*)j5fxG~KQ~?r\<DdV^?

47
MechMK1

Dies mag wie eine Frage erscheinen, die eine offensichtliche Antwort hat, aber nicht so trivial ist.

Wörter, die nicht in Wörterbüchern vorkommen, sind zufälliger ("Entropie") und daher für Computer schwerer zu erraten.

Aber sie sind auch für Menschen schwerer zu merken . Und das führt zur Wiederverwendung des Passworts. Das ist sehr schlecht.

Wenn Sie keinen Passwort-Manager verwenden (und sollten!), Ist die Verwendung eines Satzes zufälliger Wörterbuchwörter normalerweise sicherer als zufällige Nichtwörter. Erfahren Sie hier mehr darüber: Welches Passwort soll ich verwenden? (das eine sehr genaue und leicht verständliche visuelle Erklärung hat)

Erfahren Sie mehr über Passwort-Manager hier .

17
Jenessa

"Sicherer" ist ein relativer Begriff. Sicherer als was, unter welchen Bedingungen?

Unter rein theoretischen Bedingungen sind unsinnige Wörter unter der Annahme eines Brute-Force-Angriffs "sicherer" in dem Sinne, dass es sehr wahrscheinlich ist, dass der Angreifer vor einer umfassenden Suche einen Wörterbuchangriff versucht.

Unter realen Bedingungen treten Wörterbuchangriffe unter zwei Umständen auf: a) Erzwingen des brutalen Eindringens in ein System und b) Brechen von Passwörtern in einer durchgesickerten Datenbank mit Passwort-Hashes.

Die Lösung für a) besteht darin, keine defekte Software zu verwenden. Wenn Ihre Software den Angreifer nach 10 oder 100 oder einer anderen Anzahl fehlgeschlagener Versuche nicht ausschließt, ist Ihre Software defekt.

Für b) ist es wahrscheinlich, dass der Angreifer nach dem Brechen der üblichen einfachen Passwörter, die viele Benutzer verwenden, aufhört. Er wird es wahrscheinlich ein bisschen länger laufen lassen, aber es wäre ungewöhnlich, dass er den Cracker so lange am Laufen hält, bis er alle Passwörter erhalten hat - er hat wahrscheinlich mehrere weitere durchgesickerte Datenbanken mit einfachen Zielen, für die seine Zeit und Ressourcen besser aufgewendet werden.

Für b) verbessert ein Passwort, das nicht im Wörterbuch enthalten ist, und keine einfache Permutation (Cracker kennen die üblichen "O durch Null ersetzen" -Substitutionen und vieles mehr) Ihre Chancen, nicht auf haveibeenpwned.com zu sein, dramatisch

1
Tom

Was die Wörterbücher betrifft, enthalten sie eine Liste der am häufigsten verwendeten Passwörter, und das können auch unsinnige Phrasen und Wörter sein. Zum Beispiel sind x + Word + 123 oder x + Affe einige der am häufigsten verwendeten Passwörter zusammen mit QWERTY, die nicht wirklich sinnvoll sind. Sie können also unsinnige Passwörter verwenden, aber stellen Sie sicher, dass diese unvorhersehbar und nicht so häufig sind. Und wenn Sie Ihre Passwörter stärken möchten, können Sie die ersten 2 oder 3 Wörter mehrerer Phrasen kombinieren. Wenn Sie Ihrem Passwort Sonderzeichen hinzufügen können, sind Sie außerdem viel sicherer.

0

TL; DR: Der sicherste Weg, ein Passwort zu generieren, ist die Verwendung eines Passwort-Managers

Jemand, der Hashes knackt oder Anmeldeversuche brutal durchführt, verfügt über mehrere Tools, um mögliche Passwörter (bzw. Passwort-Hashes) zu finden. Wörterbücher oder Wortlisten sind nur eine davon. Es reicht also nicht aus, Ihre Abwehrtechniken nur gegen Wörterbücher einzuschränken.

Wie andere angegeben haben, werden Regeln definiert, wenn ein Angreifer Tools wie Hashcat oder John the Ripper verwendet, um manchmal die in Wortlisten enthaltenen Wörter zu "verbessern". Diese Regeln können relativ einfach definiert werden. Aber woher kennen die Angreifer diese Regeln? Und woher kommen diese Wörterbücher?

Die zweite Frage kann leicht beantwortet werden: Wie das berüchtigte rockyou.txt werden viele andere Wörterbücher nach Datenverletzungen von großen (oder kleinen) Unternehmen veröffentlicht.

Jetzt hast du deine Wortliste. Woher bekommen Sie Ihren Regelsatz?

Kehren wir zu diesen Wörterbüchern zurück. IIRC rockyou.txt enthält ~ 14 Millionen Passwörter. Millionen von Benutzerkennwörtern an einem Ort, die Ihnen einen riesigen Datensatz liefern, welche Kennwörter am häufigsten verwendet werden, welche Buchstaben groß geschrieben werden und wo sie normalerweise Zahlen und Sonderzeichen eingeben.

Die Wortlisten haben sich im Laufe der Jahre etwas geändert, weil wir den Leuten beigebracht haben, andere Passwörter als "iloveyou", "Passwort" oder "Baseball" zu erstellen. Die Änderung ist jedoch langsam, da a) viele ältere Menschen und b) Menschen aus Schwellenländern, in denen die Kennwortkompetenz nicht weit verbreitet ist, Zugang zu digitalen Diensten erhalten.

Das Wesentliche ist: Menschen möchten ihre Passwörter einfach eingeben und sich leicht daran erinnern.

Eine einfache Eingabe ist wichtig, wenn es um Zahlen und Sonderzeichen geht. Theoretisch gibt es rund 200 Sonderzeichen, die Sie einfach mit ALT + Numpad-Kombinationen eingeben können. In Wirklichkeit verwenden die meisten Leute jedoch ein oder zwei dieser Zeichen (abhängig vom Tastaturlayout) :! @ #} |) (US) ,! "§ * # = (DE).
Sie sehen hier wahrscheinlich ein Muster, weil das gleiche für Zahlen gilt: 1209 werden am häufigsten in der Luft verwendet.

Um auf Ihre Frage zurückzukommen.
Was genau versuchst du zu erreichen?
Sie möchten nicht wie jeder andere Benutzer Passwörter generieren. Sie möchten kein Wort aus einem Wörterbuch verwenden. Verwenden Sie also den Passwort-Manager, oder? Das kann man aber nicht immer tun. Wenn Sie sich bei Ihrem System anmelden, haben Sie noch keinen Zugriff auf Ihren Passwort-Manager.

Manchmal müssen Sie haben, um sich ein Passwort zu merken, und dann möchten Sie ein Passwort haben, das leicht zu merken und auch sehr stark ist. Mein Vorschlag: Versuchen Sie etwas wie Diceware oder lassen Sie einen Passwort-Manager ein Passwort für Sie generieren und speichern Sie es anschließend. Verwenden Sie seltsame Wörter und konjugieren Sie sie. Verwenden Sie Sonderzeichen, die etwas schwieriger einzugeben sind als "!". Verwenden Sie nicht nur ein Sonderzeichen oder eine Zahl.

Wenn Sie sich denken, dass Sie an eine clevere Regel gedacht haben, stellen Sie sicher, dass es eine Million andere Menschen gibt, die das Gleiche tun, und dass Angreifer auch über diese Regel Bescheid wissen.

Am wichtigsten: 1. Verwenden Sie sehr lange Passwörter. 2. Verwenden Sie keine Passwörter, die wie die aller anderen erstellt wurden. Denn dies sind die Passwörter mit Erstellungsregeln, die jeder Angreifer kennt. So verteidigen Sie sich gegen einen Wörterbuchangriff.

Was Sie aus einem starken Passwort herausholen, ist Zeit. Zeit, die nützlich ist, um Ihr Passwort zu ändern, nachdem ein Konto kompromittiert wurde. Die Länge Ihres Passworts und die Art und Weise, wie Sie Passwörter erstellen, verschaffen Ihnen diese Stärke und diese Zeit.

0
Tom K.