[B] Sichere Passwörter Info / erstellen / merken

Tw0F1sh 6. Oktober 2015 um 23:06 #273

Sichere passwörter sind im heutigen Zeitalter pflicht. Nur entweder ist ein Passwort sicher und man muss es sich aufschreiben -> „g=CgkfDp9=WYjLa!ywQ=k6@-R%cM#dS7e=jhJjhQ@4xt8“ < - oder man kann es sich merken aber dann ist es das z.B. Geburtsdatum oder eine andere Personenbezogene sache. Hier möchte ich erkären wie man sich ganz einfach ein sicheres Passwort erstellen kann und es sich mit leichtigkeit merken kann.

---

1. Angriffs Methoden

1.1 BruteForce
1. Es wird die Länge definiert (L = z.B. 4 stellen)
2. Es wird ein „Zeichenpool/Range“ definiert, dabei ist Groß- und kleinschreibung entscheident (Z = z.B. a-z, A-Z , 0-9, Sonderzeichen)
3. Es werden „anhänge“ definiert (A = z.B. @mail.de, Geburtsdatum, Wohnort, Name)

Nun werden alle definitionen miteinander verbunden und schlicht jede kombination ausprobiert.

Beispiel:
L=3
Z=a-c
A= [nichts]

Das ganze sieht dann evtl. so aus:

Mit nur 27 versuchen wären alle Kombinationen bei 3 stellen und Zeichen=abc errechnet und das Passwort wär eines davon. Nun denkt ihr euch sicher, „Hey ich habe doch ein 24 setelliges Passwort, da passiert nichts“. Oh doch, der ganze errechnugns Prozess wird ja von einer Software übernommen, die meistens über die GPU (Grafik Prozessor der Grafikkarte) läuft. Dieser Prozessor ist Schneller als die normale CPU und man hätte die o.g. Kombination innerhalb von millisekunden errechnet.

Die Rechnung:
Der Angreifer weis nicht welches passwort ihr habt daher rechnert er stumpf alle kombinationen aus teilt diese durch die rechenleistung und halbiert es (was drauf zurückzuführen ist da der angreifer nicht immer alle kombinationen testen muss bis er zum erflog gelanngt)
Bsp. Passwort(26-stellig, 7-zeichen) = ABCDEFGABCDEFGABCDEFGABCDE
Angenommen der Angreifer weis ihr habt ein 7 stelliges Passwort und ihr benutzt nur A-G, dann lautet die rechnung:

Kombinationen = Zeichenanzahl^Passwortlänge
8.031.810.176 = 26^7

Es gibt nun also „8.031.810.176“ mögliche kombinationen.
Die rechengeschwindigkeit (stand 2011, aktuelle liste) liegt bei 2.096.204.400 Keys/sec (ca. 2,1 Milliarden lösungen / sekunde)
3,83 Sekunden = 8.031.810.176 kombinationen / 2.096.204.400 Keys/sec
Es dauert also bei einem 26 stelligem Passwort mit maximal 7 zeichen (A-G) nur ca. 4 sekunden bis es errechnet wurde.

Schauen wir mal wie es mit 26-stellen und 8-zeichen aussieht:

Kombinationen = Zeichenanzahl^Passwortlänge
208.827.064.576 = 26^8
100 Sekunden = 208.827.064.576 kombinationen / 2.096.204.400 Keys/sec

Es dauert also bei einem 26 stelligem Passwort mit maximal 8 zeichen (A-H) schon mehr als 1,5 Minuten bis es errechnet wurde.

Nun einen Tabellen ausschnitt von der Kombination aus Groß- Kleinbuchstaben & Zahlen

Hier sehen wir das es bei einer länge von 15 zeichen schon 831399807 Jahre sind um alle Kombinationen auszurechen (Real-Bedingungen 831399806/2 = 415699903 Jahre)

1.2 RainbowTables/WordLists
WordLists sind Speziell generierte PasswortListen die auf bestimmte bereiche ausgelegt sind. z.B Länder, Sprachen, User (normalo, banker, Zocker), Alters klassen. Mit diesen Passwortlisten wird ganz einfach gestestet ob dein Passwort in der WordLists steht. Da in ein Text dokument nicht viele einträge passen hat man die RainbowTables erfunden. Dies sind stark kompremierte WordLists.

1.3 Social Engineering
Social Engineering ist die Psycologische Manipulation des Menschen um ihm Infos zu entlocken. Meist das Passwort.

1.4 Programme
Es gibt zahlreiche Programm die auf den Diebstahl eurer daten aus sind wie z.b. das Passwort. Ist das Passwort einaml geklaut nützt diese Tutorail auch nicht mehr. Mehr Infos über Schutz vor solchen Programm>>

---

2. Die Abwehr

2.1 Die Zeit zum Ändern
Es ist Fakt das auch ein Passwort mit z.B. 128 Zeichen irgentwann geknackt wird (s.o. Bruteforce). Da das herrausfinden des Passwortes nur eine Frage der Zeit ist ändern wir einfach in einem gewissen Zeitraum das Passwort um dem o.g. Brute Force zuentgehen. Da wir ein sicheres Passwort erstellen (was ich im späteren verlauf noch erkläre) wird ein RainbowTable/PasswordList Angriff unbrauchbar für den Angreifer.

2.2 Das Passwort
Nun kommen wir zum eingemachten…

Wie bekommen wir nun ein Passwort in den Kopf wenn es doch lang und cryptisch geschrieben, einfach aber doch mit vielen Zahlen, Groß- und kleinBuchstaben und Sonderzeichen geschrieben sein muss? (Sonderzeichen daher da es heute weit aus höhere rechenleisungen gibt als auf dem stand von 2011)

Als erstes nehmen wir einen Kinderreim, am besten einen den es noch nicht gibt da er sonst in einem RainbowTable bzw. einer WordList steht.
Ich neheme hier als Beispiel:
Frank ist Krank wegen Sand
Wichtig hier: Er muss einfach zu merken sein aber trotzdem lang und möglicht unterschiedliche muchstaben beinhalten.

Nun denken wir uns einen Algorythmus aus nachdem wir den Reim verschlüsseln.
z.B.

k = $
e = 6
a = /
[Leerzeichen] = _

Un-Crypted:
Frank ist Krank wegen Sand
Crypted:
Fr/n$_ist_$r/n$_w6g6n_S/nd
Wichtig hier: Ihr müsst euch euren eigenen Algorythmus zurecht legen und könnt auch ein „N“ z.B. als „$z“ schreiben d.h. 1xBuchstabe = 2x Zeichen/Buchstabe

Danach verlängern wir diesen Reim noch mit bestimmten sachen die ihr euch merken könnt und Verschlüsseln das ganze wieder.
z.B.

Geburtsdatum
Geburtsort
Name der Mutter

Un-Verlängert:
Fr/n$_ist_$r/n$_w6g6n_S/nd
Verlängert:
Leipzig Julia 19 Fr/n$_ist_$r/n$_w6g6n_S/nd 90 Kölner Sachsen
Un-Crypted:
LeipzigJulia19Fr/n$_ist_$r/n$_w6g6n_S/nd90KölnerSachsen
Crypted:
L6ipzigJuli/19Fr/n$_ist_$r/n$_w6g6n_S/nd90$öln6rS/chs6n
Wichtig hier: Ihr müsst die Informationen so trennen das sie keinen sinn mehr ergeben nicht wie in dem o.g. beispiel!

Das ist nun euer Passwort: „L6ipzigJuli/19Fr/n$_ist_$r/n$_w6g6n_S/nd90$öln6rS/chs6n“
Es ist 65 zeichen lang, beinhaltet Zahlen, Groß- und kleinbuchstaben und Sonderzeichen.

Es dürfte mehrere Jahrtausende brauchen um dieses Passwort zu BruteForcen, da es dieses Passwort auch niergenswo im Internet gibt wird es auch nich in Passwortlisten stehen. Wenn man euch Manipuliert um Real Daten zu bekommen fehlt immer noch der Kinderreim und mit dem Tutorial „[B] Antivirusprogramm was rund um schutz bietet“ Sichert ihr euren PC weitesgehend ab. Wenn ihr nun jeden Monat ein neues Passwort mit dieser Methode generiert, dann habt ihr immer ein Sicheres Passwort!

Bedenkt, ihr könnt sich das schönste und längste Passwort aussuchen. Wenn Ihr es auch nur einer Person verraten, ist es nicht mehr sicher!!!

• Dieses Thema wurde geändert vor 6 Jahre, 7 Monate von  Tw0F1sh.