http://www.spiegel.de/netzwelt/web/0,1518,469579,00.html
Der Titel an sich ist schon toll, aehnlich wie:
AUTO: Lieber sparsam und schnell, oder
FRAUEN: Lieber sexy und klug
Aber lassen wir diese Kleinlichkeiten. Sachlich falsch ist im Zusammenhang dieses Artikel die Aussage Denn mit so genannten Brute-Force-Attacken sind solche Passwörter sehr schnell zu knacken.
Bis hier alles klar, doch nun verrät der Redakteur seine Unkenntnis von der Materie, über die er schreibt:
Dabei probiert ein Programm in kurzer Zeit sämtliche gängigen Kennwörter, ganze Wörterbücher und auch Zahlenfolgen durch - die gestiegene Rechnerleistung macht's möglich.
Toll. Leider Unsinn. Natürlich lassen sich kurzer Paßwörter leichter erraten und so durch ausdauerndes (automatisiertes) Probieren ermitteln. Doch steht dies in keinerlei Relation mit der zur Verfügung stehenden Rechnerleistung. Auch mit einem C64 kann man Paßwörter durchprobieren und das nicht langsamer als mit einer CRAY. Limitierender Faktor ist hier die Internetverbindung, das aber auch nur marginal, da die zu übertragende Datenmenge stark gegen nicht Signifikant tendiert. Zudem eine solche Versuchsreihe in den Logs hängen bleibt und jeden Admin aus dem Tiefschlaf holt. Das ganze hat übrigens nichts mit Brute-Force zu tun:
Nur der Hashwert des Paßwortes (eine kryptische Zeichenfolge, welche aus dem Paßwort generiert wird) und nicht das Paßwort im Klartext wird bei sicheren Betriebssytemen gespeichert. Aus dem Hashwert kann man nicht das Paßwort ermitteln. Was man machen kann, ist, den Hashwert von Paßwörtern auszurechnen und mit dem vorliegenden Hashwert zu vergleichen. Find man so (zufällig) ein Paßwort zum vorliegenden Hash, hat man gewonnen. Hier hilft Rechenpower, weil man bei mehr Leistung schneller Hashwerte zum Vergleich berechnen kann. Natürlich muß dem Hacker der Hash vorliegen. Wenn ein Hacker soweit ist, ist es meistens eh zu spät...
Aber weiter im Text:
Daher gilt: Je länger ein Passwort, desto besser.
Wieder Unsinn. Der Hashwert eines Wortes hat ein feste Länge, egal wie lang das Paßwort ist. Daraus folgt, daß es sich bei der Hashfunktion nicht um eine injektive Abbildung handelt, mehrere Paßwörter also auf denselben Hash abgebildet werden. Von daher hat die Länge des Paßwortes keinerlei Einfluß auf die Sicherheit gegen Brute-Force Methoden wie oben beschrieben.
Fazit:
Hier hat der Redakteur zwei Dinge gründlich vermischt: "Einloggen durch ausprobieren" (hier helfen lange und komplizierte Paßwörter) und "das Ermitteln eines passendes Paßwortes zu einem gegebenden Hashwert". Da es zum Hashwert eines 20 Zeichen langen Paßwortes auch ein nur 3 Zeichen langes geben kann, hat die Form und Länge des Paßwortes keine Bedeutung.
Schön, daß er trotzdem eine Stelle bekommen hat.
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen