Ich will meine Partion verschlüsseln und benötige dafür ein Passwort.Ich beabsichtige ein cryptisches Passwort zu verwenden. Wie lang sollte das Passwort sein, um auch ein Brutal-Force-Attacke standhanlten zu können, wenn der Computer entwendet wird?
Welche Passwortlänge bei einer Verschlüsselung ist richtig
Anmeldungsdatum: Beiträge: 174 |
|
Anmeldungsdatum: Beiträge: 7658 |
Je länger desto besser, alles andere ist dir überlassen. http://xkcd.com/936/ und wenn dir das zu kurz ist hängst du halt noch zwei Wörter dran... Wenn dir der Laptop geklaut wird, wird sich so oder so kein Dieb mit Bruteforce beschäftigen... der wird da Windows draufinstallieren und dann das Ding versilbern und fertig. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 174 |
Wie viele Zeichen kann man denn bei einer LUKS-Verschlüsselung eigentlich eingeben? |
Anmeldungsdatum: Beiträge: 7658 |
Das wird bei cryptsetup --help angezeigt Default compiled-in key and passphrase parameters: Maximum keyfile size: 8192kB, Maximum interactive passphrase length 512 (characters) Lange genug um sich keine Gedanken drüber machen zu müssen und wenns nicht reicht musst du halt auf eine Datei ausweichen. Wobei so lange Keys sowieso sinnlos sind - sie werden auf den Hash reduziert. Bei sha1 bist du dann bei 20 "Zufalls-"Bytes. |
Anmeldungsdatum: Beiträge: 873 |
Encfs: Welche Passwortlänge ist eigentlich sinnvoll? Berechnungsformel für Passwortlängen: True 128bit secured password length? Kürzer geht auch aufgrund von Key stretching (siehe auch 1.Link). Wichtig: Benutze einen Passwortgenerator (z.B KeepassX) |
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
Zu beachten ist noch das Bruteforce bei LUKS eh kein sinnvoller Angriffsvektor ist, PBKDF2 sei dank. Ich glaube nicht das es da zeitnah eine Lösung für geben wird, daher bleiben wir mal realistisch: Der Angreifer wird die Kiste (wie hier schon jemand erwähnt hat) Platt machen und auf eBay verscherbeln oder selbst nutzen. mfg Stefan Betz |
(Themenstarter)
Anmeldungsdatum: Beiträge: 174 |
Ich wusste gar nicht, dass LUKS auch die Verschlüsselung mit einer Passwortdatei anbietet. Wie geht denn das?
20 Zufalls-Bytes? Ist das nicht wenig wenn jemand versucht das System zu knacken? |
Anmeldungsdatum: Beiträge: 1605 |
Da streiten sich ggw. die Geister. 😉 Am besten eine Kombination aus Groß- und Kleinbuchstaben kombiniert mit Zahlen und Sonderzeichen. Zahlen und Sonderzeichen nach Möglichkeit nicht am Anfang oder Ende des Passwortes. 9 - 12 Zeichen mindestens. Prüfen kann man eine abgewandelte Version hier Es muss natürlich immer wieder im Gedächtnis reproduzierbar sein. 😉 Bsp. Ubuntu ist das Größte, was ich je seit 2011 hatte in meinem Linuxleben! > Usst_wcjs21h@mLl! 🦆 System kann ja jeder selbst erahnen ... |
Anmeldungsdatum: Beiträge: 5264 Wohnort: /dev/null |
Ich lasse mal dieses Video 🇬🇧 hier. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 174 |
Danach wären ganze Sätze mit Sonderzeichen und Zahlen zu wählen, um ein einigermaßen sicheres Passwort zu generieren. Bleibt die Frage offen, wieviele Zeichen sollte das Passwort haben, um eine brutal-force-Attacke standhalten zu können. |
Anmeldungsdatum: Beiträge: 5264 Wohnort: /dev/null |
Nun wenn man normale Sätze benutzt kann man durch eine Wörterbuch-Attacke natürlich die Zeit zum cracken verringern. Da aber die Länge der Faktor ist der am stärksten über die Zeit zum Cracken entscheidet, ist es für die meisten Leute besser verständliche und gut zu merkende Sätze zu benutzen anstelle eines kurzen Passwort das sehr zufällig ist und schwer zu merken. Beispiel: Passwort mit a-z (26), A-Z (26) und 0-9 (10) und 8 Zeichen Länge hat 62^8 Kombinationen. Mit Sonderzeichen 95^8. Ein Passwort mit 20 Zeichen und ohne Sonderzeichen sind 62^20 und mit Sonderzeichen 95^20.
Manche Firmen verlangen von ihren Mitarbeitern dass diese mind. 8 Zeichen benutzen mit a-z, A-Z, 0-9 und Sonderzeichen ohne Wörter die man im Wörterbuch findet. Das führt oft dazu dass die Mitarbeiter kurze Passwörter nutzen. Viel sinnvoller und sicherer ist jedoch ein langes Passwort das weniger zufällig ist und sich dadurch besser zu merken ist. Denn je besser die Nutzer die Passwörter merken können, desto weniger Zettel mit Passwörtern hängen offen sichtbar im Büro (und ähnliche Sicherheitsrisiken).
Das ist eine schwierige Frage, da das von vielen Faktoren abhängig ist.
Es gibt diese Webseite zum testen von Passwörtern. Da bloß nicht Passwörter eingeben die du wirklich benutzt! Aber du kannst damit einfach schauen wie Länge und Zeichen sich auf die Sicherheit auswirken. Die Metrik die dort verwendet wird ist zwar sehr ungenau aber trotzdem ist es recht nett zu sehen wie wichtig die Länge ist. Leider schätzt die Seite nur die Zeit die man zum cracken mit einem Desktop-PC braucht. Das reicht für einen daher gelaufenen Angreifer. Wenn aber wirklich jemand dein Passwort haben will und dafür bereit ist entsprechend Ressourcen einzusetzen, dann kann die Person sich auch einfach bei einem Cloud Anbieter für wenig Geld viel Rechenzeit (GPU!) kaufen und dadurch die benötigte Zeit drastisch reduzieren. Außerdem kommt dazu dass du dein Cracking in der Cloud einfach skalieren kannst: Angenommen du willst ein Passwort Cracken das 24 Stunden Rechenzeit benötigt. Dann kannst du dir bei einem Cloud Anbieter eine Instanz mieten die das Passwort in 24 Stunden Echtzeit crackt. Oder du mietest dir 24 Instanzen für 1 Stunde und hast das Passwort nach Stunde im Klartext. Es gibt eine einfach verständliche und kurze (12 Seiten) akademische Abhandlung über die Machbarkeit und Kosteneffizienz vom Cracken in der Cloud. Password Cracking in the Cloud 🇬🇧 (PDF) von 2012 Die dort genannten Beispiele sind:
Da es bei den Berechnungen viele Variablen gibt die ich nicht aufgelistet habe lest bitte die Arbeit um ein genaues Bild zu bekommen. |
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
Zu beachten sind dann auch noch so kleine Dinge wie PBKDF2, welche einen Angriff mittels BF deutlich erschweren. mfg Stefan Betz |
Anmeldungsdatum: Beiträge: 1605 |
|
Anmeldungsdatum: Beiträge: 5264 Wohnort: /dev/null |
Hast du einen Link für die Quelle? |
Anmeldungsdatum: Beiträge: 1605 |
Ich suche bei Heise und Golem. 😉 Ich hatte mir nämlich gemerkt: "bundesKanzlerinmerkelisteine100%SexyanzusehendeFrau" Das war ein Beispiel in dem Artikel, suche immer noch, könnte auch bei zdnet gewesen sein. 😊 Gefunden, aber ganzwoanders. KLICK Stichwort:
Hier gibt es auch noch etwas. |