Am Montag, 23. November 2009 19:29:52 schrieb Reimar Bauer:

Al Bogner schrieb:

...

Ich kenne ein PW, das bei weitem nicht in einem Wörterbuch steht,

was für ein Wörterbuch meinst Du? Es gibt auch Wörterbücher, die nur Passworte enthalten.

Das müsste man Suse fragen. Es ist die Meldung bei einer 11.1 oder 11.2 Installation.

trotzdem

...

kommt die Meldung "Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag"

wird wohl stimmen

Hmmh, ich würde gerne sehen, wo das PW steht. Also Wort im Sinne von einer Sprache ist es garantiert nicht und wenn das PW in einer PW-Liste stehen würde, würde ich das auch interessant. IMHO ist das dann kein Zufall mehr und man müsste recherchieren. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Am Montag, 23. November 2009 20:32:31 schrieb Dieter Kluenter:

Al Bogner <suse-linux@ml082.pinguin.uni.cc> writes:

...

Ich kenne ein PW, das bei weitem nicht in einem Wörterbuch steht, trotzdem kommt die Meldung "Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag"

Ist das PW nun wirklich schlecht, weil es vielleicht einen identen hash- Eintrag zu einem Wörterbucheintrag gibt?

Der Begriff 'Wörterbucheintrag' ist nur eine zu wörtliche Übersetzung des englischen 'dictionary'. Dies bezieht sich darauf, dass man ein solches Passwort bei einem Brute Force Angriff dem Inhalt eines Wörtersammlung gegenüberstellen kann und mit großer Wahrscheinlichkeit einen Treffer landet. Ich vermute, dass dein Passwort nur aus Buchstaben besteht, möglicherweise nicht in gemischter Schreibweise.

Falsch vermutet. Das PW enthält außerhalb von Az und 1-9 weitere Zeichen.

Die Passwortprüfung erkennt nur die Ansammlung von Buchstuben, sprich Bytewert von 97 bis 122 (0x61 bis 0x7A hex) und schließt daraus, dass mit diesen Buchstaben ein Wort gebildet werden kann. Ein Passwort sollte aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen.

IMHO könnte man auch nur "Sonderzeichen" aus UTF-8 wie И € ή م verwenden und ist auf der sicheren Seite. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Am Mo November 23 2009 glaubte Al Bogner zu wissen:

Am Montag, 23. November 2009 20:40:30 schrieb David Haller:

...

Am Mon, 23 Nov 2009, Al Bogner schrieb:

...

Ist das PW nun wirklich schlecht, weil es vielleicht einen identen hash- Eintrag zu einem Wörterbucheintrag gibt?

Jap. Denn beim Angriff reicht das Wörterbuchwort.

Also wechseln?

Ich merk mir so schwer arabische Zeichen :-)

Würd mich wundern, wenn es keine arabischen Wörterbücher gäbe. ;-) flo --

...

Ich moechte Dich mal sehen, wie Du mit einem Vibrator den Rasen maehst... Ich auch. Ey, Leute, Rasenmaehen ist was sehr intimes! Da werde ich doch keine Bilder von in's Netz stellen oder irgendwelchen Leuten schicken. [Rene Riech, Konstantin Welke und Regina Kappes in dasr] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Am Mo November 23 2009 glaubte Al Bogner zu wissen:

Am Montag, 23. November 2009 22:17:36 schrieb Florian Gross:

...

Am Mo November 23 2009 glaubte Al Bogner zu wissen:

...

Am Montag, 23. November 2009 20:40:30 schrieb David Haller:

...

Am Mon, 23 Nov 2009, Al Bogner schrieb:

...

Ist das PW nun wirklich schlecht, weil es vielleicht einen identen hash- Eintrag zu einem Wörterbucheintrag gibt?

Jap. Denn beim Angriff reicht das Wörterbuchwort.

Also wechseln?

Ich merk mir so schwer arabische Zeichen :-)

Würd mich wundern, wenn es keine arabischen Wörterbücher gäbe. ;-)

Stell dir vor du hast ein PW ähnlich wie dieses und die Cracklib sagt dir, dass das ein schlechtes PW ist:

¼ØæŇиﻖﺗЦρف

Angriffe können auch aus dem arabischen Raum erfolgen ;-) flo -- Ich friere weil ich schwitze.. In dieser kalten Hitze. Vor lauter Hunger bin Ich satt. Und alle Berge werden platt. [WoKo in dafb] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Hallo, eine kleine Anekdote zu diesem Thema von mir. Hatte seit einiger Zeit ein Passwort welches mit den pwgen erzeugt wurde (Standardeinstellungen) im Einsatz. Bekam dann einen Brief mit Benutzername und Passwort für eine Webseite mit genau dem gleichen Passwort. Ich hab nicht schlecht gestaunt! :-) Und nein, ich hatte mir das Passwort nicht selbst ausgesucht. Wie groß mag wohl die Wahrscheinlichkeit sein das so etwas passiert? MfG Marco

On 25.11.2009, Marco Roeben wrote:

Wie groß mag wohl die Wahrscheinlichkeit sein das so etwas passiert?

Wie lautet denn das Passwort? Wenn es noch in Betrieb ist und du es deshalb nicht nennen willst, dann gib doch bitte mal den Adressraum und die Laenge an. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

On 26.11.2009, Marco Roeben wrote:

8 Zeichen, Buchstaben groß und klein sowie Zahlen. Eben die Zeichen die pwgen verwendet wenn man es ohne weitere Parameter aufruft.

Ok, also ist der Adressraum (oder auch Zeichenvorrat genannt) 62 Zeichen gross (Alphabet * 2 + 10). Damit ist die Anzahl der unterschiedlichen Kombinationen k auf Basis des Zeichenvorrates z und der Passwortlaenge l definiert als k = z^l In diesem Falle waeren das 62^8, also ist die Wahrscheinlichkeit im Bereich 1:218340105584895 dass du dasselbe Passwort nochmal bekommst. Die Staerke s des Passwortes kannst du so berechnen: s = (l * log z) / log 2 Also 48 bit, das ist fuer heutige Verhaeltnisse etwas schwachbruestig. Es sollte auf jeden Fall 64 bit stark sein. Wie lang das Passwort l mindestens sein muss, damit es 64 bit stark ist bei einem Zeichenvorrat z, kannst du ebenfalls recht einfach ausrechnen: l = (64 * log 2) / log z In diesem Falle sollte also dein Passwort mindestens 10.75 (also 11) Zeichen haben. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

On 26.11.2009, Marco Roeben wrote:

Sehe ich das also richtig, dass es wahrscheinlicher wäre im Lotto 6 richtige zu haben als das gleiche Passwort zu bekommen?

In diesem Falle: eindeutig JA :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Am Donnerstag, 26. November 2009 16:00:02 schrieb Heinz Diehl:

On 26.11.2009, Marco Roeben wrote:

...

8 Zeichen, Buchstaben groß und klein sowie Zahlen. Eben die Zeichen die pwgen verwendet wenn man es ohne weitere Parameter aufruft.

Ok, also ist der Adressraum (oder auch Zeichenvorrat genannt) 62 Zeichen gross (Alphabet * 2 + 10).

Damit ist die Anzahl der unterschiedlichen Kombinationen k auf Basis des Zeichenvorrates z und der Passwortlaenge l definiert als

k = z^l

In diesem Falle waeren das 62^8, also ist die Wahrscheinlichkeit im Bereich 1:218340105584895 dass du dasselbe Passwort nochmal bekommst.

Die Staerke s des Passwortes kannst du so berechnen:

s = (l * log z) / log 2

Also 48 bit, das ist fuer heutige Verhaeltnisse etwas schwachbruestig. Es sollte auf jeden Fall 64 bit stark sein. Wie lang das Passwort l mindestens sein muss, damit es 64 bit stark ist bei einem Zeichenvorrat z, kannst du ebenfalls recht einfach ausrechnen:

l = (64 * log 2) / log z

Wieviele Zeichen müsste ein PW haben, wenn jedes Zeichen aus einem anderen "Zeichensatz" kommt und es 64bit stark sein soll? Um es zu verdeutlichen. 1 Zeichen aus dem dt. Zeichensatz 1 Zeichen aus dem russischen 1 Zeichen aus dem griechischen 1 Zeichen aus dem hebräischen 1 Zeichen aus dem arabischen .... ¼ØæŇиﻖﺗЦρف Das wäre ja so ein Beispiel. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

On 26.11.2009, Heinz Diehl wrote:

Du musst dazu den Zeichenvorrat definieren, und dann kannst du es leicht ausrechnen.

Kleiner Nachtrag: wenn du ein Alphabet hast, dessen Zeichen auch in einem anderen Alphabet beinhaltet sind, dann ist natuerlich der korrekte Zeichenvorrat zu ermitteln, und nicht einfach "Alphabet1 + Alphabet2 ..." zu nehmen. Aktuelles Beispiel: deutsches und norwegisches Alphabet: a-z ist gleich, ä-ü-ö-ß sind nur im deutschen, und æ-ø-å nur im norwegischen Alphabet enthalten. Då er det ikke nok at en berre oppsummerer antall tegn/karakerer, de som er like må ekskluderes, da. Es ist nicht ausreichend, einfach den Umfang beider Alphabete zu addieren, die gleichen Zeichen duerfen natuerlich nur einmal gezaehlt werden. Wenn du das beruecksichtigst und dann die genannte Formel anwendest, dann bekomsmt du auch ein korrektes Ergebnis. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org