20.07.2019 | 22:42 Uhr
 
Kommentieren     
Berechnungsgrundlagen und Prüfungsablauf Passwort-Check 2.0

Inhalt:     Passwort-Cracker  | Passwort-Qualität  | Passwort-Check  | Berechnung  | Prüfungsablauf


zur Statistik der Prüfungen  | Zum Eingabeformular für die Passwort-Überprüfung


1. Wie gehen Passwort-Cracker-Programme vor


Diese automatisieren einen Angriff, indem sie die Eingangsgrössen in rasanter Geschwindigkeit verändern können. Beispiele für solche Programme sind Brutus, Cain and Abel, John the Ripper, UnSecure...Auf Web-Interfaces (Logins) kann scriptgesteuert "losgegangen" werden.


Die Strategien sehen so aus:
  • Wörterbuch-Attacke (Dictionary-Attack): Es werden (riesige) Wortlisten durchgegangen, die Wörter, Sätze, auch in Kombination mit Zahlen u.s.w. enthalten können. Z.B. der komplette Duden, ein Wörterbuch für eine Sprache, ein Telefonbuch oder Namenslisten...(siehe Beispiel einer Liste mit 189.591 deutschen Begriffen). Der Ausgangswert wird so SEHR SCHNELL gefunden. Deshalb sollten für Passwörter KEINESFALLS real vorkommende Begriffe (egal aus welcher Sprache und auch nicht rückwärts geschrieben) verwendet werden! Unser Passwort-Checker arbeitet mit rd. 2,5 Millionen Begriffen aus verschiedenen Bereichen. Die vorstehend verlinkte Liste ist nur ein kleiner Teil davon.

  • Brute-Force-Attack (Rohe Gewalt): Es werden alle möglichen Kombinationen von Zeichen aus einem gewählten Zeichensatz ausprobiert. Diese Methode führt IMMER zum Ziel, es ist nur eine Frage der Zeit.

  • Hybrid-Cracker: Solche Programme kombinieren beide Möglichkeiten (Dictionary- und Brute-Force-Attack), indem den Wortlisten-Begriffen Kombinationen aus dem gewählten Zeichensatz angefügt, eingefügt oder vorangestellt werden. Auch das Rückwärts-Einlesen oder die Ersetzung von Zeichen (z.B. Buchstabe "O" duch Zahl "0") gehört zum Funktionsumfang. Diese Strategie führt zu einem noch schnelleren Erfolg, da mit diesem Ansatz ein Passwort wie z.B. "Karl20" trotz angefügter Zahl keinen ausreichenden Schutz mehr bietet und innerhalb kürzester Zeit geknackt ist.
Der Passwort-Check berücksichtigt alle drei Methoden in der Berechnung (inkl. der Kombinations-Berechnung aus Wortlisten bis zur zweiten Rekursion), siehe folgend (Punkt 3 und 4)!



2. Passwort-Qualität


Optimale Passwörter sind zufällig generierte Zeichenfolgen, denn sie sind i.d.R. NICHT über Wortlisten eruierbar. D.h. die Qualität und Anzahl der Möglichkeiten (AM) steigt exponentiell mit der Länge der Zeichenfolge (LZ) sowie polynomial mit der Menge des verwendeten Zeichensatzes (ZS).


Es ergibt sich folgende Formel zur Anzahl der Möglichkeiten: AM = ZSLZ (für eine reine Brute-Force-Attacke)

Beispiel am Passwort "Karl20": Es ergibt sich eine Zeichensatz-Länge von 62 (26+26+10), da das Passwort zum einen aus Kleinbuchstaben (a-z=26), aus Gross-Buchstaben (A-Z=26) und Zahlen (0-9=10) besteht. Das Passwort selbst hat eine Länge von 6 Zeichen. Ergo sieht das Ergebnis wie folgt aus:

AM = 626 = 56.800.235.584 MAXIMAL benötigte Versuche für eine erfolgreiche Brute-Force-Attacke. Ist das Wort "Karl" aber in einer Wortliste vorhanden (und das ist es!), müssen nur noch die zwei Restzeichen durchprobiert werden, nämlich die Zahl "20" gefunden werden. Also: 102=100 Versuche pro Wortlisteneintrag mit kleinerer oder gleicher Anzahl von Zeichenfolgen wie das Passwort (dies gilt aber nur, wenn "20" nicht selbst wiederum ein Wortlisteneintrag ist, denn dann sind Wortlisten-Kombinationen möglich).

Die Dauer für den Crack von "Karl20" liegt bei rd. 6 Sekunden (mit kombinierter Dictionary-/BruteForce-Attack) bzw. bei 8 Minuten (bei purer BruteForce-Attack) bei 2 Mio. Abfragen* pro Sekunde.


Trotz des schlechten Passworts ersehen Sie an diesem Beispiel dennoch, was nur das grosse "K" hier ausmacht, um genau zu sein, sind 5.462.345.348 Versuche (bei reiner Brute-Force-Attack) mehr notwendig als bei "karl20" (denn mit kleingeschriebenem "k" beträgt der ZS nur noch 36).

Ein Passwort sollte sich deshalb wie folgt zusammensetzen:
  • aus mindestens 10 Zeichen, besser mehr
  • aus Klein-Buchstaben (erhöhen den ZS um 26**)
  • aus Grossbuchstaben (erhöhen den ZS um 26**)
  • aus Interpunktions- und Sonderzeichen (erhöhen den ZS um 35**)
  • aus Zahlen (erhöhen den ZS um 10**)
  • *evtl. aus Umlauten inkl. Accents u.s.w. (erhöhen den ZS um 14**)
  • *last but not least aus weiteren Zeichen aus dem dem vollen Zeichensatz (erhöhen den ZS um 117**)

*Mit VORSICHT anzuwenden, da evtl. vom jeweiligen System nicht zugelassen und nicht über jedes Tastaturlayout möglich. Im
  Internet könnte die eingestellte Zeichencodierung des Browsers und/oder der Webseite zu einem Fehlverhalten führen.


Die höchstmögliche Zeichensatz-Länge liegt somit bei 228** , potenziert mit mind. einer 10-stelligen Zeichenfolge (besser mehr) ergibt sich eine MAXIMALE Anzahl von
AM = 22810 = 379.619.462.565.741.198.311.424 Versuchen für eine reine Brute-Force-Attacke (dies entspricht rd. 6.018.827.095 Jahren bei 2 Mio. Abfragen* pro Sekunde). Aber bedenken Sie, dass theoretisch der erste Versuch genügen könnte und hierbei keine Dictionary-Attack berücksichtigt ist (siehe folgend Passwort-Cracker-Programme).

Sehen Sie bitte auch unsere Seite mit allgemeinen Tipps zu Passwörtern.


**Zusammensetzung der Zeichensatzlängen, siehe Berechnung (Punkt 4)



3. Was macht der Passwort-Check

Im ersten Schritt wird das Passwort aus o.g. Gründen nach Qualitätsmerkmalen (Passwortlänge, eingegebene Zeichen...u.s.w.) untersucht.


Im zweiten Schritt werden die Erfolgschancen eines Hybrid-Passwort-Cracker-Programms berechnet. D.h. es wird untersucht, ob im Passwort gefundene Zeichenfolgen aus Wortlisten enthalten sind (Dictionary-Attack) und wie gross die Anzahl der zu findenden Restzeichen ist (per BruteForce-Attack zu ermitteln). Darüber hinaus wird eine Berechnung von Kombinationen gefundener Zeichenfolgen aus den Wortlisten durchgeführt, die den Zeitaufwand für einen Crack weiter mindern würden.

Da der Passwort-Checker Kenntnis vom verwendeten Zeichensatz, der Passwortlänge und der Zeichenfolge hat, sind folgende Vereinfachungen bei der Berechnung möglich:
  • es kann direkt gecheckt werden, ob Fragmente des Passworts in Wortlisten zu finden sind

  • ist die Suche in Wortlisten erfolgreich, kann die minimal notwendige Anzahl der Zeichen zum verwendeten Zeichensatz für ein Hybrid-Passwort-Attacke begrenzt (Dictionary-Attack für den Fund und Brute-Force-Attack für die Restzeichen) und eine Untergrenze für den Aufwand eines Passwort-Cracks ermittelt werden.

    Beachten Sie jedoch: die von uns verwendeten Wortlisten sind begrenzt und nicht abschliessend, d.h. ein Angreifer kann sich hier mehr Mühe geben oder vorberechnete Zeichenfolgen verwenden, was die Zeit eines Angriffs signifikant verringert. Wir verwenden Wortlisten zur deutschen, englischen, französischen, italienischen, japanischen und spanischen Sprache sowie Auszüge aus Latein, Namensgebungen und Musikinterpreten...auch ein paar Listen mit wirren vorausberechneten Passwortkombinationen sind dabei (insgesamt rd. 2,5 Millionen Begriffe). Wenngleich sich dies sehen lassen kann und in den meisten Fällen bereits zum Erfolg führt, sind Angreifer wie die NSA & Co. da sicherlich wesentlich besser ausgestattet :-(

  • wurden keine Fragmente aus Wortlisten im Passwort gefunden, kann anhand des verwendeten Zeichensatzes die Obergrenze für die max. benötigte Anzahl von Versuchen und die max. benötigte Zeit für einen Brute-Force-Angriff berechnet werden



4. Wie und was berechnet der Passwort-Check im Detail

Der PW-Check berechnet zum einen die erreichte Punkteanzahl zur Qualität des Passworts und es erfolgen ggf. Abzüge nach den vorgegebenen Spezifikationen. Als Maximal-Wert kann 100 erreicht werden. Bei weniger als 80 (Schwellwert) erreichten Punkten, ist das Passwort durchgefallen und als schwach einzustufen.


Bewertungskriterium Spezifikation Abzug
Passwortlänge mind. 10 Stellen pro fehlendes Zeichen 5
Fehlende Kleinbuchstaben: a bis z 20
Fehlende Grossbuchstaben: A bis Z 20
Fehlende Sonderzeichen: ∴,.-;_=()*+|"$@#§%&/{}[]!^?``´~′ u.s.w 20
Fehlende Zahlen: 0 bis 9 20
Nicht druckbare Zeichen enthalten: Zeilenumbruch, Leerzeichen u.s.w. 20
Identische Zeichenfolge: ab dem 3. Zeichen (z.B. "aaa" oder "444") 20
ABC und Zahlenreichen:
(vor- und rückwärts)
ab dem 3. Zeichen (z.B. "abc" o. "cba" o. "456" o. "654") 20
Zeichenfolge auf der Tastatur:
(vor- und rückwärts)
ab dem 3. Zeichen (deutsche Tastatur z.B. "qwe" oder "ewq") 20
Passwort durch Wortliste
leicht eruierbar:
wenn weniger als 6 Restzeichen zum besten Treffer
(Fragment 1 aus Wortliste)
20
Zeitaufwand für Passwort-Crack: wenn 60 Tage oder weniger aber mehr als 30 Tage* 20
Zeitaufwand für Passwort-Crack: wenn 30 Tage oder weniger 100

*Ausgehend davon, dass ein Anwender sicherheitsbewusst seine Passwörter alle 30 Tage ändert (lol),
  gibt es für eine Dauer von über 30 bis 60 Tagen nur einen Abzug von 20 Punkten.
  Die Zeilen "Zeitaufwand für Passwort-Crack" werden nur angezeigt, wenn zu den darüberliegenden Prüfungen
  mind. eine Punkteanzahl von 80 erreicht wurde.


Zum anderen wird der Aufwand (Anzahl notwendiger Versuche und Zeit) berechnet, den ein Hybrid-Passwort-Cracker-Programm mit der eingegebenen Zeichenfolge haben dürfte. Dazu bedient er sich folgender Methodik:
  1. Es wird der längste Eintrag in den Wortlisten gesucht, der komplett im eingegebenen Passwort enthalten ist (bester Treffer). Dieser Treffer wird Ihnen bei der Analyse angezeigt und ist von grosser Bedeutung!

  2. Ermittlung der Restzeichen und Restzeichenanzahl, wenn der beste Treffer kürzer als das Passwort ist. Diese werden Ihnen bei der Analyse angezeigt.

  3. Es wird der längste Eintrag in den Wortlisten gesucht, der komplett in den Restzeichen enthalten ist (bester Restzeichen-Treffer aus dem Block VOR und NACH dem zuerst gefundenen besten Treffer). Dieser wird Ihnen bei der Analyse angezeigt (sofern vorhanden). Der Passwort-Checker errechnet bei einem Zweitfund auch die möglichen Kombinationen aus dem besten Treffer und dem besten Restzeichen-Treffer.

  4. Ermittlung der übrigen Restzeichen und übrigen Restzeichenanzahl, wenn der beste Restzeichen-Treffer kürzer als die übrigen Restzeichen ist. Diese werden Ihnen bei der Analyse angezeigt (sofern vorhanden),

  5. Es wird die Anzahl der möglichen Positionen des Fragments oder der Fragmente (bei Kombinationen) im Passwort berechnet, wenn der Wortlisteneintrag kürzer als das Passwort ist oder die Kombinationen aus dem besten Treffer und dem besten Restzeichentreffer aus der Wortliste kürzer als das Passwort sind. Diese ergeben sich aus der Restzeichenanzahl. Bei Restzeichenanzahl=0 (Passwort=Wortlisteneintrag) ergibt sich hier der Multiplikator 1, weil nur noch die Wortliste durchgegangen werden muss (reine Dictionary-Attacke) und nur EINE Position möglich ist.

  6. Es wird der Zeichensatz der restlichen Zeichen (sofern vorhanden, ansonsten NULL) aus dem Passwort ermittelt und die Anzahl der zu durchsuchenden möglichen Zeichen berechnet. Der Passwort-Checker unterscheidet folgende Klassen:
    Zeichensatzklasse enthaltene Zeichen Zeichen-Anzahl
    Ziffern: 0 bis 9 10
    Kleinbuchstaben: a bis z 26
    Grossbuchstaben: A bis Z 26
    Umlaute, Accents: äöüéèàçÄÖÜÉÈÀÇ 14
    Interpunktions- und Sonderzeichen: ∴,.-;_=()*+|"$@#§%&/{}[]!^?``´~′£ 35
    voller Zeichensatz: alle anderen, druckbaren Zeichen 117
      SUMME 228


  7. Es wird die Anzahl aller Wortlistenbegriffe ermittelt, die kleiner oder gleich lang wie der beste Treffer und, wenn vorhanden, des besten Restzeichen-Treffers sind.

  8. Jetzt erfolgt die eigentliche Berechnung der notwendigen Versuche mit folgendem Algorithmus:

    • Ergebnis: Anzahl notwendiger Versuche (Variable AV).

    • Parameter 1: Grösse des Restzeichensatzes (Variable RZS), d.h. die Summe der Zeichenklassenanzahl, die in den Restzeichen vorkommt. RZS kann auch NULL sein.

    • Parameter 2: Anzahl der Restzeichen (Variable RZ), die nicht im besten Treffer und nicht im besten Restzeichen-Treffer zu den Wortlisten enthalten sind. Diese müssen über eine BruteForce-Attacke geknackt werden. RZ kann auch NULL sein.

    • Parameter 3: Anzahl der Wortlisten-Begriffe (Variable WL1), die kürzer oder gleich lang wie der beste Treffer sind. Der Aufwand steigt linear mit der Grösse der Wortliste(n). Bei reinen Brute-Force-Attacken (d.h. kein Begriff in Wortliste gefunden) beträgt der WL1=1.

    • Parameter 4: Anzahl der Wortlisten-Begriffe (Variable WL2), die kürzer oder gleich lang wie der beste Restzeichen-Treffer sind. Der Aufwand steigt linear mit der Grösse der Wortliste(n). Gibt es keinen Restzeichen-Treffer beträgt WL2=0.

    • Parameter 5: Anzahl der möglichen Positionen (Variable WP), an welchen der beste Treffer im Passwort vorkommen könnte oder die besten Treffer-Kombinationen aus der Wortliste im Passwort vorkommen könnten. Der Angreifer kann die Position nicht kennen, weshalb er ALLE ausprobieren muss. Gibt es keine Restzeichen, beträgt WP=1. Gibt es einen besten Treffer zu den Restzeichen, beträgt WP = (RZ x 2) + 1, ansonsten (gibt es nur einen besten Treffer) WP = RZ +1.

    • Parameter 6: Anzahl der möglichen Kombinationen (Variable K) der Wortlisten-Begriffe, die sich aus dem besten Treffer und dem besten Restzeichen-Treffer ergeben. Gibt es keinen Restzeichen-Treffer, beträgt K=0, ansonsten berechnet sich K wie folgt:
      Formel: K = (WL1 + WL2)2 x ((RZ x 2) + 1)

    Die notwendigen Versuche errechnen sich abschliessend nun wie folgt:
    Formel: AV = (RZSRZ x (WL1 + WL2) x WP) + K

    Man beachte bei RZS = NULL und RZ = NULL (ergo 00) das Ergebnis 1 (EINS) per Definition!
    Siehe dazu auch "Null hoch Null" bei Wikipedia.

    Dabei wird von folgenden Voraussetzungen ausgegangen:

    • Das Passwort-Cracker-Programm startet mit kurzen Zeichenfolgen und erhöht die Länge nach und nach im Nicht-Erfolgsfall

    • Das Passwort-Cracker-Programm wählt die Zeichensatz-Klasse, in welchen auch wirklich Restzeichen vorhanden sind

    • Das Passwort-Cracker-Programm variiert lediglich die minimale Anzahl von Zeichen für den Brute-Force-Angriff

    • Das Passwort-Cracker-Programm kombiniert zwei Wortlisten-Begriffe mit den möglichen Reihenfolgen ("Begriff1Begriff2" und "Begriff2Begriff1" sowie mit sich selbst "Begriff1Begriff1" und "Begriff2Begriff2"), beginnend mit kurzen Zeichenfolgen und erhöht die Länge sukszessive. Führt dies nicht zum Erfolg, variiert es lediglich die minimale Anzahl von Zeichen (aus der Zeichensatzklasse, in welcher die Restzeichen vorkommen) an verschiedenen Stellen zusätzlich zu den möglichen Kombinationen für den erweiterten Brute-Force-Angriff (z.B. "Begriff1Restzeichen1Restzeichen2Begriff2" oder "Restzeichen1Restzeichen2Begriff2Begriff1"...u.s.w.)

* Die Zeit errechnet sich auf der Grundlage von 2 Millionen Abfragen pro Sekunde, was mit handelsüblicher Hardware zu erreichen ist. Sie meinen das ist zu viel? Mit der Rechengewalt aus der Cloud über viele Grafikkarten-Prozessoren (GPU) oder über Botnetze (gekaperte Rechner) sind weit mehr Abfragen pro Sekunde möglich! Deshalb ist der ausgegebene erforderliche Zeitaufwand sehr mit Vorsicht zu betrachten und eher nach unten zu korrigirieren.



5. Grafik Prüfungsablauf


© 2014 Passwort-Check von Bauser-Enterprises | Thomas Murr

Zum Eingabeformular für die Passwort-Überprüfung
Kommentare (24) zu dieser Seite
Kommentarfunktion von Damn Small Homepage CMS. Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik unten links zu einem Kommentar anklicken).


anonymouse (16.09.2014 | 23:40 Uhr)

top erklärt. so viel offenheit ist nicht alltäglich.

aber ich will anmerken: es werden sich nicht viele die mühe machen und das passwort ändern. die menschen sind faul und werden deshalb auch irgendwann opfer. da ändert euer guter passwort-tester-werkzeug nichts daran.    

xaver (17.09.2014 | 02:07 Uhr)

Ich komme mit der Formel nicht klar. Wenn es eine pure Wörterbuchattacke ist müßte die Anzahl der Versuche kleiner werden. Aber es wird weiter mit dem "WP" multipliziert und dazu noch mit den Restzeichen und Potenz RZ???

Die Anzahl der Versuche muß dann so groß sein wie die angewendete Wortliste.    

Thomas Murr | Bauser-Enterprises IT (17.09.2014 | 09:40 Uhr)
kundenservice@bauser-enterprises.com
@xaver
Der Parameter "WP" (mögliche Positionen des Wortlisten-Fragments im Passwort) beträgt bei einer reinen Dictionary-Attack EINS, weil es kann nur eine Position geben, da in diesem Fall keine Restzeichen vorhanden sind (RZ ist wie RZS gleich NULL), da das Passwort komplett in einer Wortliste vorhanden ist. In diesem Fall ergibt Null hoch Null per Definition Eins. Ergo ergibt RZS hoch RZ multipliziert mit WP EINS.

Jetzt bleiben noch die Wortlisten-Begriffe (aber nicht alle):
Ausgehend davon, dass das Passwort-Cracker-Programm mit den kleinsten Zeichenfolgen aus den Wortlisten beginnt, muss eben NICHT die ganze Liste durchgegangen werden, sondern nur die Begriffe, welche kleiner oder gleich lang sind wie das Passwort. Dies drückt sich im Parameter WL (1 und 2) aus, der abhängig von der Anzahl der vorhandenen Begriffe mit dieser Zeichenlänge (oder kürzer) ist. Der Aufwand steigt hier linear zur Anzahl der in Frage kommenden Begriffe.

Sind dagegen Restzeichen vorhanden (d.h. es wurde nur ein Fragment im Passwort aus der Wortliste gefunden) muss die Grösse des Restzeichensatzes (RZS) ermittelt werden, welche mit den Restzeichen zu potenzieren wäre (Brute-Force für die Restzeichen, sofern keine Wortlisten-Kombinationen gefunden werden). Auch steigt in diesem Fall WL1 bzw. WL2, weil der Angreifer die Position nicht kennen kann und alle durchprobieren muss.    

Xaver (17.09.2014 | 20:06 Uhr)

@Thomas Murr | Bauser-Enterprises IT
Danke für die ausführliche Antwort. Ich denke ich habe es verstanden.

Den Password-Check würdeich gerne auf meiner Homepage anbieten. Kann man den Sorcecode bei euch herunterladen? Der Link kann mir auch per E-Mail zugeschickt werden wenn das nicht hier publik werden soll.    

Thomas Murr | Bauser-Enterprises IT (17.09.2014 | 20:42 Uhr)
kundenservice@bauser-enterprises.com
@Xaver
Hallo Xaver!

Nein, unseren Source-Code kann man nirgendwo herunterladen. Der Algorithmus ist jedoch mit dieser Seite offengelegt, so dass Du in der Lage sein solltest, diesen nachzuprogrammieren, wenngleich das nicht die feine Art sein sollte. ALTERNATIV BÖTE SICH AN, sich nicht mit fremden Federn zu schmücken und die Seite https://www.bauser-enterprises.com/html/passwort_check.php einfach zu verlinken.    

Karo (19.09.2014 | 15:12 Uhr)

hat alles hand und fuß. respekt!    

passwortforfun (20.09.2014 | 22:35 Uhr)

wie soll man sich ein paßwort merken, daß bei euch nicht durchfällt???    

Thomas Murr | Bauser-Enterprises IT (21.09.2014 | 00:16 Uhr)
kundenservice@bauser-enterprises.com
@passwortforfun

Sicherheit war, ist und bleibt unbequem! Dennoch bin ich der Meinung, dass sich der Aufwand in Grenzen hält.

Es reicht, wenn Du Dir EIN einziges starkes Passwort merken kannst (sprich nur in Deinem Hirn 2.0 gespeichert), welches Du NUR dazu verwendest, um einen Passwort-Safe zu öffnen, der wiederum alle UNTERSCHIEDLICHEN Passwörter für die jeweiligen Zugänge auf Webseiten u.s.w. enthält. Aus diesem kannst Du die langen und schlecht merkenden Passwörter dann per Copy&Paste in das Login-Feld einfügen, ohne der Gefahr von fehlerträchtigen Tipp-Versuchen ausgesetzt zu sein, die auch sehr viel Zeit in Anspruch nehmen würden.

Es gibt eine Vielzahl von Programmen, die einen Passwort-Tresor anbieten. Ich empfehle einen "schlichten" TrueCrypt-Container anzulegen, in welchem wiederum eine schlichte Textdatei (mit jedem Text-Editor zu öffnen) gespeichert ist, die die langwierigen, sicheren Passwörter enthält.

Ein solcher verschlüsselter Container kann auch auf einem USB-Stick mitgeführt werden (siehe TrueCrypt-Traveller-Disk), um die Passwörter auch unterwegs dabei zu haben und von jedem Rechner geöffnet werden kann (dort muss kein TrueCrypt installiert sein, weil dieses liegt ja direkt auf dem Stick). Verlierst Du den USB-Stick, ist das - bis auf den Materialwert - nicht weiter schlimm, weil der Finder nur Datenmüll sieht. Tutto bene.

Um es auf die Spitze zu treiben, kann ein solcher TrueCrypt-Container - anstatt ihn "meine_verschluesselten_passwoerter" zu nennen - auch als Grafik (neben anderen belanglosen Bild-Dateien in ähnlich grosser Datei-Grösse) gespeichert werden (z.B. urlaub_12.jpg). Beim direkten Öffnen stellt sich für den Angreifer lediglich eine korrupte Bilddatei dar :-)

Und man könnte noch einen drauf setzen und eine VERSTECKTEN TrueCrypt-Container in der Bild-Datei platzieren...die "Alibi"-Dateien im "normalen" Container (das wären dann gefakte Passwörter) könnten mit einem schwachen Passwort gesichert werden. Schafft es der Angreifer, diesen zu öffnen, freut er sich und denkt er wäre am Ziel, ohne die wirklich wichtige Passwortdatei je zu Gesicht zu bekommen, geschweige denn auf die Idee zu kommen, es wäre noch ein verstecktes Volume enthalten...    

nobody (21.09.2014 | 02:03 Uhr)

euer passwortcheck eignet sich bestens um passwörter abzufischen. wer ist so blöd und gibt hier sein passwort ein?    

Thomas Murr | Bauser-Enterprises IT (21.09.2014 | 15:05 Uhr)
kundenservice@bauser-enterprises.com
@nobody

Gegenfrage: Wer ist so blöd und denkt, wir hätten etwas davon, würden wir denn die eingegebenen Zeichenfolgen wirklich speichern? Denn es werden ja keine personenbezogenen Daten im Eingabeformular abgefragt, sondern es ist nur eine zu überprüfende Zeichenfolge einzugeben. Wie und wo sollten wir nun die Passwörter zum Einsatz bringen?

Ferner zitiere ich den Hinweis im Eingabeformular:

"Natürlich können Sie versichert sein, dass die von Ihnen eingegebene Zeichenfolge NICHT GESPEICHERT wird, d.h. diese wird lediglich überprüft und nach der Analyse wieder gelöscht. Dennoch empfehlen wir Ihnen, keine verwendeten Passwörter einzugeben, sondern nur Eingaben zu machen, die dem Aufbau und der Struktur Ihres Produktiv-Passworts entsprechen bzw. ähnlich sind."

Damit keine Dritten die Eingabe kapern können, erfolgt die Übertragung zudem SSL-verschlüsselt (https). So what?    

nobody (23.09.2014 | 10:09 Uhr)

@Thomas Murr | Bauser-Enterprises IT
ob ihr das passwort speichert oder nicht ist eine glaubensfrage. die ip-adresse habt ihr zum passwort. deshalb ist die eingabe fragwürdig.    

Thomas Murr | Bauser-Enterprises IT (23.09.2014 | 15:40 Uhr)
kundenservice@bauser-enterprises.com
@nobody

Ich wiederhole mich: Wir speichern die eingegebene Zeichenfolge NICHT (im übrigen keine Glaubensfrage, sondern eine Frage des Vertrauens), wie wir auch keine IP-Adresse zu den Passwort-Überprüfungen festhalten, wenngleich wir diese über die Server-Logs herausfiltern könnten. Aber warum sollten wir so etwas tun und was für einen Sinn würde es machen? Denn bei einer IP-Adresse steht nicht dabei: ich bin der "nobody", mein Name ist in Wirklichkeit "Max Mustermann", ich habe Accounts bei twitter und facebook und meine eMail-Adresse lautet...bitte crackt mich :-)

Ferner verweise ich erneut auf den oben fett gedruckten, roten Text! Im Übrigen zwingt Dich niemand, den Passwort-Check durchzuführen.

Das einzige, was mir etwas fragwürdig erscheint, sind die nobody-Kommentare. Vielleicht a bisserl nachdenken, bevor man solche Behauptungen oder Spekulationen von sich gibt!    

G. Kaufmann (05.04.2016 | 19:03 Uhr)

@nobody
Lieber "Nobody",

man kann es nicht allen recht machen.

Bauser-Enterprises IT bietet hier eine Passwortüberprüfung an, die über https verschlüsselt übertragen wird. Es wird versichert, das Passwort nicht zu speichern. Und selbst wenn, was sollen sie damit anfangen? Ferner wird lückenlos der Ablauf zur Überprüfung offengelegt. Außerdem weist Herr Murr ja in seinem roten Kommentar nochmal ausdrücklich darauf hin, daß nicht empfohlen wird, echte Passwörter zu verwenden, sondern nur solche, die dem richtigen in seiner Struktur ähneln.

"Nobody", was willst Du mehr?

Ich finde dieses Tool gut, vor allem auch die Informationsseite dazu. Ist allemal besser als nur von sicheren Passwörtern zu labern. Die Hintergründe zu erklären und eine Überprüfung anzubieten hat da doch weit mehr Nutzen.    

Pit (21.11.2014 | 17:22 Uhr)

Meine Paßwörter sind alle durchgefallen und ich habe sie nun geändert. Danke für diese Testmöglichkeit! Werde den Test weiterempfehlen.    

Ralfi (21.02.2015 | 18:13 Uhr)

Tadellose Erklärung. Respekt!    

Manne (04.08.2015 | 09:27 Uhr)

Schließe mich meinem Vorredner an. Absolute Offenlegung des Algorithmus und ein sehr gutes Tool. Verwende es immer wieder einmal.

Einen kleinen Verbesserungsvorschlag hätte ich noch:
Die generierten Sonderzeichen im Passwortgenerator werden nicht von allen Portalen akzeptiert. Deshalb wäre es sinnvoll, eine Auswahl der zu generierenden Sonderzeichen anzubieten, anstatt immer alle mit einzubeziehen. Klar kann man die nicht akzeptierten Zeichen manuell austauschen aber so wäre es bequemer.

Viele Grüße von
Manne    

crazy (14.08.2015 | 16:33 Uhr)

top - cooles tool!    

A. Schilling (28.10.2015 | 09:02 Uhr)

BESTENS ERKLÄRT UND ALLES OFFENGELEGT - SO GEHÖRT SICH DAS!    

Steinhammer F. (27.02.2016 | 16:36 Uhr)

Erschreckend wie schnell ein normales Passwort zuknacken ist. Ich habe meine Passwörter jetzt umgestellt.    

max (07.10.2016 | 01:21 Uhr)

selten eine so gute erklärung geliefert bekommen, wie das mit passwort-hacks läuft. erste sahne! bin informatik-dozent an der uni und werde das material verwenden.    

wow (27.08.2017 | 19:32 Uhr)

WOW. Das ist echt höheres Mathe. Schön von Euch, daß ihr das offenlegt.    

Kreisel (23.02.2018 | 11:45 Uhr)

GENIALES TOOL! Verwende es immer wieder, um sichere Passwörter zu generieren.    

H.E. (03.04.2019 | 12:34 Uhr)

@Kreisel
dem schließe ich mich an. generiere meine zugangscodes regelmäßig damit und ändere das ergebnis aus sicherheitsgründen etwas ab. super arbeit die ihr da gemacht habt.    

Mareike (17.05.2018 | 13:11 Uhr)

Sehr geehrter Herr Murr,

vielen herzlichen Dank, daß ich diese Seite bzw. die Erläuterungen für meine Vorlesung verwenden darf. Im Skript für die Studenten habe ich als Quellverweis Sie namentlich und Ihre Homepage angegeben.

Liebe Grüße von
Mareike S.