Wie sicher ist die Diceware-Methode?

Wie sicher sind Passwörter die mit der Diceware Methode erstellt wurden? Diese wurden ja mit einer Wörterliste erstellt, sind die auch sicher gegen Bruteforce und Dictionary Attacken? Der BSI empfehlt ja keine Passwörter zu verwenden die in Wörterbüchern vorkommen.

2 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

KarlRanseierIII

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, programmieren, Informatik

19.12.2021, 21:12

Das Ergebnis ist nicht herleitbar. Wenn wir annehmen, der Angreifer weiß, daß es sich um Diceware handelt, dann hängt die Komplexität von Größe der Wortliste und Anzahl der (gezogenen) Wörter ab.

Beispiel, nutze ich ein Wörterbuch mit c.a. 10 000 Wörtern und ziehe zufällig 5 daraus, dann ergeben sich bei einem gezielten Angriff 1*10^20 Versuche, was schon recht ordentlich ist. Gehe ich von 10^9 Versuchen je Sekunde aus,, lande ich bei 1 Mio Jahre (Überschlagsrechnung).

Gehe ich davon aus, daß der Angreifer mein Wörterbuch und/oder die Sprache nicht kennt, wird es deutlich schwerer. Denn im Endeffekt müßte er dann sehr viel mehr Wörter probieren.

Also ja, Diceware ist schon recht sicher, wenn ausreichend viele Wörter gewürfelt wurden und der Wortvorrat entsprechend groß ist.

Ich möchte das mal exemplarisch demonstrieren:

TianzhaoFallsAeroBlitzKabumm.

Siehe auch das Beispiel von julihan41 - der Comic müßte nen XKCD sein. Ein anderer toller Klassiker aus dem Sicherheitsbereich ist:

https://imgs.xkcd.com/comics/security.png

Von Experte KarlRanseierIII bestätigt

julihan41

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

19.12.2021, 18:01

Der BSI empfehlt ja keine Passwörter zu verwenden die in Wörterbüchern vorkommen.

Dabei geht es um Worte, die direkt im Wörterbuch stehen oder direkt miteinander zu tun haben: "Meine Katze heißt Leo."

Aber sowas wie

correcthorsebatterystaple

sind schon sicher, da sie keinen (offensichtlichen) Zusammenhang haben. Wenn man dann noch iwie Zahlen wo einbaut, dann ist das schon ziemlich sicher.

Bild zum Beitrag

- (Computer, Technologie, programmieren)

Ähnliche Beiträge

Chinesische/Japanische Passwörter sicherer und wie gängig ist Bruteforce eigentlich noch?

Das chinesische/japanische besitzt ja so einige Schriftzeichen die sich aus Hiragana und Katakana zusammensetzen, hat da jmd. eine Ahnung ob Passwörter in den beiden sprachen sicherer sind? Bin kein Hacker-Experte aber außerhalb dieser Länder werden ja bestimmt "Wörterbücher" bzw. Passwortlisten der jeweiligen Länder für Bruteforce benutzt. Oder sind die meisten Systeme vor solchen Bruteforce Attacken bereits sicher?(Captcha nach 3 Eingaben usw.?)

...zum Beitrag

Kann jedes Passwort gehackt werden oder gibt es Passwörter die einfach nicht geknackt werden können weil sie so lang und mit extrem vielen Sondernzeichen sind?

Es gibt ja solche Bruteforce Attacken oder so die was dein Passwort früher oder später aufdecken soweit ich weis, da wird mit Hashcat oder so gearbeitet whats ever, bin kein Hacker.. Aber ist es möglich auch ein so gutes passwort zu besitzen was einfach unmöglich ist für Hacker dieses zu hacken und aufzudecken?

...zum Beitrag

Wie schützt Ihr das Masterpasswort beim Passwortmanager?

Hallo Ihr Lieben :) !

Beim Verwenden eines Passwortmanagers benötigt man ja ein Masterpasswort, das möglichst sicher sein sollte - idealerweise noch sicherer als sämtliche weiteren Passwörter sonst. Logisch.

Frage nun: Wie schützt Ihr dieses spezielle Passwort, welches ja die größte Schwachstelle überhaupt darstellt? Meins hat jetzt 64 Zeichen und ist rein zufällig; da ist mit Bruteforce nicht mehr so viel zu machen. Und ja, ich habe auch 2FA aktiviert. Dennoch bleibt die Sache in gewisser Weise natürlich paradox, weil man mit dem Masterpasswort ja nun eigentlich nur das machen kann, was man ursprünglich genau vermeiden wollte: Es in eine Textdatei speichern und rauskopieren. Mache ich zumindest gerade so. Nur habe ich, um damit aufzuhören, überhaupt erst den Passwortmanager eingerichtet...

Ja, ich bin ein totaler Sicherheitsjunkie - weiß ich selbst am Besten ;). Daher bitte wirklich nur auf die Frage selbst eingehen, die mich irgendwie auch theoretisch interessiert. Mir selbst passiert vermutlich nicht mehr soviel, aber das Konzept ist eigentlich nicht schlüssig, oder?

Danke Euch :)!

...zum Beitrag

Kali Linux legal?

Hallo, von vorne herein ich möchte NICHTS illegales machen deshalb frag ich ja. Mit ist vor kurzem schon wieder ein kleiner server überlastet worden (mit Absicht) und daher wollte ich bevor ich sowas nochmal ausm internet erreichbar mache auf Schwachstellen überprüfen. Da bin ich schnell zu Kali Linux gekommen... Aber einige der Tools sind ja für wep knacken und bruteforce auf passwörter. Ist das dann legal wenn ich es runterladen und auf meinem PC verwende? ( server wird natürlich nur im lokalen Netzwerk getestet)

...zum Beitrag

Python Dictionary erstellen bzw. erweitern?

Hey Leute,

ich will ein Dictionary erstellen. Als Key soll der Nutzername eingegeben werden und der dazugehörige Wert ist eine zufällige Nummer.

Der Name soll als Parameter einer Funktion übergeben werden.

Mein Problem: Das Key-Value-Paar wird in meinem Code zwar erstellt, jedoch wenn ich die Funktion mehrmals aufrufe, wird der vorherige Eintrag gelöscht / überschrieben.

Hier mein Code:

import random

d = {}

def randomizedUserID(name:str()):
  userIDN = random.randint(0, 1000000)
  d[name] = userIDN

  return ("The User '{0}' has the randomized ID-Number: {1}".format(name, userIDN))

randomizedUserID("Mike")
print(d)

PS: Ich habe es bereits mit der update-Methode funktioniert. Es kommt aber dieselbe Ausgabe quasi heraus.

Schon einmal vielen Dank im Voraus. 😀

...zum Beitrag

Können Hacker meine adresse herausfinden?

Liebe Community,

Ich wollte mal wissen, ob Hacker (wenn ich auf eine Werbung oder link geklickt habe) meine ip Adresse herausfinden können oder sogar über die IP Adresse meine reale Adresse. Ich glaube zu wissen, dass die IP adresse alleine einem Hacker nichts nützt, sondern dass blos der Provider IP Adresse und persönliche Daten in Verbindung bringen kann....

LG dasithal

...zum Beitrag

Frizzige wellige Haare bändigen?

Hallo, ich habe welliges frizziges Haar und bin langsam am verzweifeln. Ich habe mehrere Jahre (6) versucht nur silikonfreie Produkte zu verwenden. Das hatte 1 zu 1 denselben Effekt auf meine Haare wie silikonhaltige Produkte.

Auch die curly girl Methode (wenn man das überhaupt eine Methode nennen kann. Ist ja nur Grundwissen über welliges/lockiges Haar) habe ich über einen längeren Zeitraum ausprobiert.

Die einzige Möglichkeit die mir noch zur Auswahl steht wäre das glätten/glattföhnen meiner Haare. Ich möchte aber wenigst möglich Hitzeschaden. Mein derzeitiger Hitzeschutz (Schutzengel von Gliss Kur) ist eigentlich ganz ok, hoffe es gibt Alternativen die noch besser sind. Bitte empfehlt mir Produkte die die Haare glatter machen (falls es sowas gibt?), gute Hitzeschütze, Produkte die die Haare länger glatt halten, egal wie teuer sie sind.

Danke im Vorraus

...zum Beitrag

Java Methoden verknüpfen?

Ich habe 2 Klassen erstellt. Jetzt möchte ich in der einen Klasse die Variable "name" aus der Methode "monster1" aus der anderen Klasse ausgeben (System.out.println). Wie bekomme ich das hin?

Und kann ich das auch mit mehreren Methoden machen? Also wenn ich z.B. 20 Methoden habe und in allen die Variable "name" vorhanden ist aber jeweils einen anderen Wert hat?

...zum Beitrag

Fos: Einsprachiges Wörterbuch in Englisch?

Ich gehe seit kurzem auf die Fos (Fachoberschule). In Englisch brauchen wir jetzt ein einsprachiges Wörterbuch. (Die sind ja leider ziemlich teuer). In der Schule haben wir angeblich das von Oxford (OALD), deswegen hätte ich gerne das selbe auch. Oder sind die Wörterbücher von Langenscheidt etc. genauso aufgebaut? Wichtig ist, das das Wörterbuch nicht nach Themengruppen sortiert ist, sonst darf man es nicht in Schulaufgaben etc. verwenden. Ich habe eins von Oxford auf Amazon gefunden: https://www.amazon.de/Oxford-Advanced-Learners-Dictionary-Klausurausgabe/dp/306801803X/ref=mp_s_a_1_7?__mk_de_DE=ÅMÅZÕÑ&qid=1537102353&sr=8-7&pi=AC_SX236_SY340_FMwebp_QL65&keywords=einsprachiges+wörterbuch+englisch+oxford&dpPl=1&dpID=41J20X2iIDL&ref=plSrch Ist das das richtige? Bekomme ich das Buch auch bei Hugendubel oder einem anderen Laden? Wir bestellen nämlich nichts übers Internet.

...zum Beitrag

PYTHON - Zählen wie oft Buchstabe in einer Zeichenkette vorkommt?

Ich soll folgende Aufgabe lösen: "Definieren Sie eine Zeichenkette text mit beliebiger Länge und einen string buchstaben mit dem Wert abc.

Erstellen Sie ein Dictionary, dass als Schlüssel die einzelnen Buchstaben von buchstaben, also a, b und c, enthält. Der Wert soll angeben, wie oft der entsprechende Buchstabe in Ihrem text vorkommt.

Überprüfen Sie Ihre Lösung mit verschiedenen strings für text und buchstaben!

Hinweis Verwenden Sie z.B. for..in.. und if..in..."

Ich habe als text Folgendes: "Es war einmal vor langer Zeit" buchstaben = "abc"

Nur wie mache ich jetzt weiter? Wie zähle ich wie oft meine Buchstaben "abc" in meiner Zeichenkette text vorkommen? Ich soll wie gesagt zB eine for-Schleife verwenden, da wir das vor kurzem erst durchgemacht haben.

...zum Beitrag

Ist Snapchat leicht zu hacken?

Mir hat jemand gedroht meinen Snapchat Account zu hacken. Ist das überhaupt möglich? Bzw. wie kann man das verhindern?

...zum Beitrag

Java?

Implementieren Sie die Methode String replace(String source, String search, String replace), die alle (exakten) Vorkommen von search in source mit replace ersetzt. Verwenden Sie hierbei nur die Methoden int indexOf(String), String substring(int, int), int length() und int indexOf(String str, int pos) aus der String-Klasse. Die Verwendung von anderen in Java gebotenen Methoden ist nicht gestattet.

Kann mir bitte jemand helfen?

...zum Beitrag

Python - Frage zu Klassen Methoden Objekten?

Hallo,

Ich habe eine kleines Problem mit Klassen bzw. dessen Objekten. Ich zeige mein Problem anhand eines kleinen Beispiels:

Initialisierung der Klasse:

class Test:
  def __init__(self, test_objekt):
    self.test-objekt = test_objekt
  
  def test_methode(self)
    print(self.test_objekt)

Die Klasse hat 3 Methoden die alle das test-objekt verwenden möchten.

Aber mir klappt die Übergabe von dem in __init__ initialisiertem test_objekt nicht auf die Methode. Wie muss ich es schreiben dass das self.test_objekt in der test_methode benutzt werden kann?

Aufruf der Klasse ist im Beispiel übertragen auf mein Problem:

Test.test_methode(test_objekt)

...zum Beitrag

IntelliJ automatisch Methoden erstellen?

Guten Tag,

wie kann ich in der IntelliJ IDEA wie in Eclipse, beim erstellen einer Class auswählen, welche Methoden ich automatisch erstellt haben möchte?

http://prntscr.com/or86u1

MfG

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen