Wie sicher ist eine 30stellige Zufallszahl statt eines Passworts?

Oder im Vergleich zu einem wie viel stelligen Passwort mit großen und kleinen Buchstaben, Zahlen und Sonderzeichen?

Ist die 30stellige Zufallszahl, getippt mit virtueller Tastatur, knacksicher gegenüber heutiger Technik?

12 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

07.05.2022, 01:12

Bei 30 numerischen Ziffern [0-9], die beliebig oft wiederverwendet werden können (Ziehen mit Zurücklegen), gibt es 10^30 verschiedene Möglichkeiten.

Verwendest Du alphanumerische Zeichen, d.h. ein Passwort bestehend aus den Buchstaben A-Z, a-z, und den Ziffern 0-9, sowie weiteren rund 25 leicht eintippbaren auf den meisten Systemen verfügbaren Sonderzeichen, hast Du eine Grundgesamtheit von rund 87 verwendbaren Zeichen.

Die Frage war m.E. aus wievielen Zeichen ein solches alphanumerisches Passwort bestehen muss, dass es gleich sicher ist, wie eine Kombination aus 30 numerischen Ziffern.

87^x = 10^30 --> x=~ 15.46

D.h. das alphanumerische Passwort bestehend aus 87 verwendbaren Zeichen ist bei einer Passwortlänge von 15-16 Zeichen ungefähr gleich sicher, wie ein 30-ziffriges, ausschliesslich aus Zahlen bestehendes Passwort.

Kwalliteht

06.05.2022, 23:43

Die einzige absolut sichere Verschlüsselung ist XOR. Man erstellt eine Zufallsdatei mit gleicher Größe wie die zu verschlüsselnde Datei und addiert die einzelnen Bytes. Gibt es einen Überlauf, so ist dieser das Ergebnis der Addition. Das Ergebnis der gesamten Addition ist die verschlüsselte Datei.

Nachteil der Methode: Jeder Schlüssel ist nur einmal verwendbar, sonst ist die absolute Sicherheit weg. Außerdem ist die Weitergabe des Schlüssels problematisch.

franzhartwig

07.05.2022, 13:13

Die einzige absolut sichere Verschlüsselung ist XOR.

Wenn das so stimmen würde, wäre RC4 noch ein sicheres Verfahren. Ist es aber nicht.

Du beschreibst das Verfahren OTP. Hier gibt es verschiedene Randbedingungen, die zusammen mit der mathematischen Operation XOR ein sicheres Verschlüsselungsverfahren ergeben. Das wesentliche Merkmal ist der Schlüssel, der, und das sind die Randbedingungen, nur einmalig verwendet werden darf und zudem mindestens so lang sein muss wie der zu verschlüsselnde Text. Damit ist das Verfahren bewiesen unbrechbar, aber leider nicht praktikabel.

Zudem sprichst Du hier von Verschlüsselung. Was hat aber Verschlüsselung mit einem Passwort zur Authentisierung zu tun?

Kwalliteht

07.05.2022, 13:42

@franzhartwig

OTP ist die Anwendung von XOR. Dass diese Verfahren unknackbar aber nur selten praktikabel ist, weil die Übermittlung problematisch ist, habe ich selbst geschrieben.

Und Verschlüsselung hat sehr viel Spasswörtern zu tun, schließlich werden die ja nicht unverschlüsselt übermittelt.

Es gibt aber eine Möglichkeit, trotzdem OTP für Passwörter zu benutzen. Auf dem Server liegen 2 der drei Dateien. Der Server gibt dem Client eine Zahl (noch unverschlüsselt), der Client sucht in der dritten Datei (die hat nur er selbst) nach der durch die Zahl gekennzeichneten Stelle und liest die vereinbarte Passwortlänge aus. Diese hasht er dann und sendet den Hash zurück an den Server. Der Server liest aus seinen beiden Dateien die gleichen Stellen aus, addiert sie und hasht sie auch. Stimmen die beiden Hashes überein, ist der Client zugangsberechtigt.
Dieses Verfahren wird bei einigen Autoschlüsseln angewendet, da ist nichts mit Spaßwort eintippen.
Soll noch eine persönliche Anmeldung erfolgen, gibt es zusätzlich noch das gehashte Passwort auf dem Server, welches erst nach der jetzt erfolgten Clientauthentifizierung abgefragt wird. Wieder wird eine Zahl an den Client gesendet, der Client addiert den entsprechenden Bereich aus seiner Datei zum Passwort und schickt es zurück. Der Server addiert die Bereiche aus seinen beiden Dateien und erhält so das Passwort, welches er hasht und mit dem vorliegenden Hash vergleicht. Sind beide gleich, ist nicht nur der Client sondern auch der Anwender bestätigt.

franzhartwig

07.05.2022, 14:00

@Kwalliteht

OTP ist die Anwendung von XOR.

OTP ist eine Anwendung von XOR, nicht die Anwendung. XOR ist jedoch keine Verschlüsselung, sondern eine einfache mathematische Operation. Das Verschlüsselungsverfahren ist OTP, nicht XOR, weil zu einer Verschlüsselung viel mehr gehört als nur eine einfache mathematische Operation.

Und Verschlüsselung hat sehr viel Spasswörtern zu tun, schließlich werden die ja nicht unverschlüsselt übermittelt.

Hier ging es aber darum, wie gut oder schlecht ein Passwort "zu knacken" ist und nicht wie ein Passwort sicher übermittelt werden kann.

Dieses Verfahren wird bei einigen Autoschlüsseln angewendet, da ist nichts mit Spaßwort eintippen.

Was hat das mit der Frage zu tun?

Ansonsten disqualifiziert Dich

Spasswörtern

für jede weitere Diskussion.

franzhartwig

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Verschlüsselung

07.05.2022, 13:06

Knacksicher ist gar nichts. Du verwendest 30 Zeichen aus einer Auswahl aus 10 Zeichen. Die Entropie Deines Passwortes liegt damit etwa zwischen 80 und 95 Bit.

Wenn Du 30 Zeichen aus Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen verwendest, kommst Du auf 160 bis 185 Bit Entropie. Dein 30-zeichiges Passwort ist von der Entropie her etwa gleichwertig zu einem Passwort mit 12-14 Zeichen aus allen Gruppen.

Allerdings weiß ein Angreifer nicht, wie sich Dein Passwort zusammensetzt. Er weiß auch nicht, wie lang das Passwort ist. Er probiert also alle möglichen Zeichenkombinationen, angefangen vielleicht mit 8 Zeichen Länge, aus und benötigt entsprechend lange, bis er - wenn überhaupt - auf Dein Passwort kommt.

Palladin007

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

07.05.2022, 00:22

Rechne dir die Anzahl Kombinationen aus, die eine 30 stellige Zufallszahl haben kann.

10 mögliche Zeichen vs. rund 100 mögliche Zeichen

Da muss man nicht mal groß rechnen

AlterLeipziger

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

07.05.2022, 00:33

Hallo,

Sicherer als sowas, wo man mit probieren und der Möglichkeit unendlich viele Zahlenkombinationen zu probieren (Zeichen sind für den Computer ja auch nur eine Bitfolge) ist es so wie es Banken machen:

4 Ziffern, 3 Versuche - dann aus die Maus!

Grüße aus Leipzig

Kwalliteht

07.05.2022, 01:50

Unendlich viele Möglichkeiten sind auch nicht das Problem, wenn es eine Mindestzeit zwischen zwei Versuchen gibt.

In einer Windows-Domain ist nach drei Fehlversuchen erstmal 30 Minuten Sperre angesagt (so die Voreinstellung), dann kann man die nächsten 3 Versuche unternehmen. Nehmen wir als Passwort mal 4 Ziffern an, also von 0000 bis 9999, das sind 10000 Möglichkeiten. Im Schnitt erreicht man mit Brute Force bei der Hälfte der Möglichkeiten sein Ziel.
5000/3=1666,6...
Also 1666 halbe Stunden, die man warten muss. Sind 833 Stunden, das sind etwa 35 Tage. Hat man extremes Pech, ist es doppelt soviel. Und mit jeder Ziffer mehr verzehnfacht sich die Zeit, bei 6 Ziffern sind es also 3500 Tage, also schon mehr als 9 Jahre. Bei 8 Ziffern sind es schon 900 Jahre.
Brute Force ist nur eine gute Idee, wenn es keine Wartezeiten gibt und die Anzahl der möglichen Passwörter nicht zu groß ist.
Nehmen wir nur mal das Alphabet und Groß- und Kleinschreibung (also keine Ziffern). Das sind bei 4 Buchstaben 7311616 Möglichkeiten, also im Schnitt 3655808 Versuche. Ergibt 1218602 halbe Stunden, also 609301 Stunden, das sind schon 70 Jahre, bei 6 Zeichen sind es dann 3616 Jahre und bei 8 Zeichen 188076 Jahre.

Ähnliche Beiträge

Wie sicher ist eine 30-stellige Zahl als Passwort?

Im Vergleich zu einem sagen wir 12-stelligen Passwort mit Gross- und Kleinbuchstaben sowie Sonderzeichen. Wohlgemerkt: Sowohl die Zahl als auch das Passwort würden mittels einer virtuellen Tastatur eingetippt.

...zum Beitrag

Wie schnell können heuteige Supercomputer ein Passwort knacken?

Moin Moin,

ich frage mich, wie lange heutige Supercomputer bräuchten, um ein 64 Stelliges VeraCrypt Passwort mit einem Inhalt von großen und kleinen Buchstaben, Zahlen und Sonderzeichen zu knacken.

Ich weiß nicht, ob dies eine rolle spielen würde, aber nehmen wir an, die Verschlüsselungsart wäre AES und hätte einem Has-Algorithmus von SHA-512.

Was meint ihr, wie lange würden die heutigen Supercomputer brauchen?

Liebe Grüße, Nioy

...zum Beitrag

Ist ein Passwort mit 13 Zahlen + 1 Sonderzeichen und 2 Buchstaben stark?

Also ich habe diverse Tests zu meiner Passwortstärke gemacht und dabei kam raus, dass es 1,3 Milliarden Jahre dauern würde um mein Passwort zu entschlüsseln.

...zum Beitrag

Manche Buchstaben der Tastatur vertauscht. Was tun?

Hilfe. Meine Tochter hat vorhin mit der Tastatur gespielt. jetzt sind manche sonderzeichen und Buchstaben vertauscht.

Was kann ich machen?

Lg borni

...zum Beitrag

Sollte ich den vorgegebenen WLAN-Netzwerkschlüssel auf dem Router ändern oder ist der 20-stellige Zahlencode sicher?

Benötigt es nebst Zahlen nicht auch noch Buchstaben und Sonderzeichen? Wenn ja, wieso wählt der Internetanbieter kein solches Passwort?

...zum Beitrag

türkische "Sonderzeichen" für Mac-Tastatur

Hey, da ich manchmal mit meinem Computer türkische Texte bzw. Nachrichten schreiben muss und ich mit dem Wechsel der Tastaturen nicht klar komme, wollte ich mal fragen, ob es noch einen anderen Weg gibt; also außer den die Tastatur umzustellen. Sonst hatte ich immer die paar anderen Buchstaben bei Sonderzeichen als "Favoriten" gespeichert, aber das ich auch etwas nervig...Am liebsten bzw. am einfachsten wäre es, wenn ich einfach lange auf die Buchstaben z.B. "s" drücken würde und mir oben dann das z.B. "ş" angezeigt wird..Bisher werden auf diesem Weg nämlich nur folgende Buchstaben angezeigt: ß ś š... Danke im Voraus!

...zum Beitrag

Können Passwort-Hacker "einfügen", "löschen" und Einträge schreiben mit "virtueller Tastatur" erkennen?

Angenommen ich habe ein 30stelliges Passwort aus meinem Passwortmanager über die Zwischenablage in eine Passwortzeile kopiert ...

Danach füge ich 3 weitere Zeichen ein, lösche 3 andere Zeichen und schreibe zudem 3 Zeichen mit der virtuellen Tastatur dazu.

Was davon könnten gewiefte Passwort-Hacker nachvollziehen?

...zum Beitrag

Computerproblem : Die erste getippte Zahl/Buchstabe der tastatur wird ignoriert

Hallo, Wenn ich etwas im Internet per Tastatur eingeben möchte wird meist die erste Eingabe der Tastatur ignoriert /verschluckt. (Der erste Buchstabe / Zahl ; nicht das Wort) Nervig, weil dies meist bei Passwörtern passiert.

Hat jemand ne Lösung?

...zum Beitrag

Tastatur macht nur sonderzeichen?

Meine Tastatur macht seit eine halbe stunde nur Sonderzeichen statt Buchstaben?

...zum Beitrag

JS Passwort überprüfen?

Hallo zusammen

Ich versuche ein Passwort zu validieren mithilfe von Regex.. Es soll nur erlaubt sein Buchstaben + Zahlen oder Zahlen + Sonderzeichen oder Sonderzeichen + Buchstaben... Nun geht es immer in die If schlaufe rein wenn ich NUR zahlen eingebe..Wieso? (Code-Style nicht beachten) Danke;D

 if(document.getElementById('Passwort').value.match(/[a-zA-ZäöüÄÖÜ]/) && document.getElementById('Passwort').value.match(/[0-9]/) || document.getElementById('Passwort').value.match(/[a-zA-ZäöüÄÖÜ]/) && document.getElementById('Passwort').value.match(/(?=.*[+-_,.:?!])/) ||  document.getElementById('Passwort').value.match(/[0-9]/) && document.getElementById('Passwort').value.match(/(?=.*[+-_,.:?!])/)){
    document.getElementById('Passwort').style.backgroundColor = "green";
    document.getElementById('passwortfalsch').innerHTML= "";
    document.getElementById('passwortfalsch').style.border= "";
    uberprufung = true;

}

...zum Beitrag

Brauche bitte ein Passwort?

1 Großbuchstabe [A-Z]
1 Sonderzeichen

1 Ziffer und 1 Buchstabe

mindestens 8 Zeichen

...zum Beitrag

Wie viele Möglichkeiten gibt es bei einem 4-Stelligem Passwort Insbesondere Sonderzeichen?

Ich habe gehöht, dass es 1,4 Millionen verschiedene Möglichkeiten gibt ein 4-Stelliges Passwort zu knacken. Stimmt das?

...zum Beitrag

Sonderzeichen nicht auffindbar?

hallo, ich finde ein bestimmtes Sonderzeichen leider nirgendwo aber bräuchte das für ein wlan Passwort, von dem Foto kopieren geht iwie auch nicht?
kann mir jemand das Sonderzeichen schicken oder hat es eventuell auf der Tastatur (habe schon meine Tastaturen durchgeguckt)

also das letzte Zeichen dieses s

...zum Beitrag

iPhone Tastatur schlechter geworden?

Weiß nicht genau seit wann aber schätze seit 3-4 Jahren ist die Tastatur am IPhone schlechter geworden, geht’s euch auch so?

erinnere mich dass das alte SE von 2020 noch echt gut getippt hat und die Buchstaben gut erkannt wurden. Mit den heutigen Modellen vertippt man sich viel öfter, warum haben die das verschlimmbessert?

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen