Passwort-Sicherheit

In der Zwischenzeit sollte jedes Kind wissen, wie “gute” Passwörter aussehen sollten. Aber wie “sicher” sind sie wirklich? Aus meiner Sicht muss ein Passwort nicht sehr “sicher” sein, resp. es muss nur solange einer Attacke standhalten bis ich es ändere. Also im Idealfall müsste ein Passwort nur einen definierten Zeitraum überstehen. Die Problematik ist nun, dass nicht abgeschätzt werden kann, wie lange dieser Zeitraum ist. Mehr Rechenpower verkürzt die Zeitspanne unter Umständen massiv und öffentlich zugängliche Sammlung mit Prüfsummen helfen auch nicht.

Lassen sich Rückschlüsse ziehen, wie sich die Geschwindigkeit verändert bei längeren Passwörtern oder schnelleren Rechner. Mal ein kleiner Test mit john

sudo unshadow /etc/passwd /etc/shadow > password.dump

Um die Sache zu vereinfachen, habe ich den Benutzer ‘hugo’ entfernt. So hat es nur noch ein Passwort, welches verarbeitet wird. Dies sollte die Sache besser vergleichbar und schneller machen.

Nun kommt der zeitintensive Teil oder auch nicht…Das Passwort ist sehr einfach und sollte einer Attacke nicht allzu lange standhalten. Ich benutze keine Wordlist, sonst

john password.dump

Mit verschiedenen Kombinationen gibt es die folgenden Werte (Intel(R) Core(TM) i5 CPU M 520 @ 2.40GHz, John ohne MPI und exterer Wordlist):

Wie am Ende des Vorgangs immer erwähnt, kann das Resultat später ‘–show’ angezeigt werden.

john --show password.dump

Natürlich steckt hinter diesem Artikel keine wissenschaftliche fundierte Analyse. Es soll nur einen Überblick vermittelt werden. Achja, der Benutzer ‘hugo’ existiert nur auf dem Test-System. Ebenso hat root bei mir auch nicht eines der gebrauchten Passwörter.

This entry was posted in Security. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.