1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Intels gut gemeinter Passwort-Test

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 10. Mai 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.179
    Zustimmungen:
    2.690
    Punkte für Erfolge:
    113
    Beruf:
    Systemintegrator
    Ort:
    Астана
    Intel will etwas gegen unsichere Passwörter tun und bietet

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    an, der die Stärke beziehungsweise Schwäche von Passwörtern illustrieren soll. Allerdings sind die Ergebnisse so irreführend, dass man sich besser nicht darauf verlässt.

    Zumindest eine Falle vermeidet Intel: Die Berechnung der Knackzeit erfolgt anscheinend mit etwas JavaScript lokal auf dem eigenen PC; die eingegebenen Passwörter werden dabei nicht übers Netz geschickt. Doch die angezeigten Ergebnisse zur Stärke der Passwörter sind teilweise haarsträubend. So schätzt Intel, dass ein Cracker 8243 Jahre bräuchte, um das einfache Passwort "BluesBrothers" zu knacken – was ganz offensichtlich Unsinn ist. Der Begriff findet sich längst in den gängigen Wörterbüchern der Cracker und ist somit in kürzester Zeit geknackt. Auf der anderen Seite will Intel die von einem Passwort-Generator erzeugte, zufällige Zeichenfolge "aic9eeVa" in etwa zwei Stunden herausfinden können. Das ist anders als bei Begriffen, die sich aus Wörterbüchern ableiten lassen, tatsächlich nur mit Brute-Force zu knacken, was zumindest beim Einsatz eines vernünftigen Passwort-Speicherverfahrens wie bcrypt viele Jahre dauern würde.
    Da fällt es schon schwer, sich dumme Sprüche zur Funktionsweise von Intel CPUs zu verkneifen. Klar ist jedoch: Zur Sicherheit von Passwörtern tragen diese absurden Schätzungen nicht bei. Warum und vor allem wie "BluesBrothers" und "g3h3im" wirklich ruckzuck geknackt werden, erklärt übrigens der Artikel

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    auf S.80 in c't 3/2013. Wie man auch ohne fotografisches Gedächtnis quasi unknackbare Passwörter benutzen kann, erläutert der Online-Artikel

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    .

    Update 10.5.2013, 15:30: Die Erklärungen zu den Abschätzungen der realistischen Knackdauer verbessert und dabei den Bezug zu bcrypt eingebaut.

    heise-security
     
    #1

Diese Seite empfehlen