Diskussion:Diceware

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 5 Jahren von Marco.Bakera in Abschnitt Probleme
Zur Navigation springen Zur Suche springen

Sicher die 2.

[Quelltext bearbeiten]

Naja, wie sicher es ist kann man leicht ausrechnen. Es wird ein Würfel gewürfelt, also 6 Möglichkeiten, dies wird pro wort 5 mal gemacht. Also gibt es für die entstehende Zahl genau 6^5 möglichkeiten =7776 möglichkeiten. Das da hinter ein Wort steht, bringt so fern der Angreifer davon ausgeht (oder es weiss, das ist Diceware ist) KEINEN Vorteil. Bei einem Passwort aus 5 Wötern sind es also dann: 7776^5 möglichkeiten = 28.430.288.029.929.701.376. Eine recht hohe Zahl, dennoch kein vergleich zu der Sicherheit eines Zufälligen erzeugten Alphanumerischen + Sonderzeichen passwort. Wo sie sich die sicherheit anhand der länge durch: (26 *2 + 10+ 10)^n (ich gehe nun von 10 Sonderzeichen aus, um das Verschiedene Tastaturen probleme zu um geben, an sich ist die zahl aber höher!).

Einfaches Ausrechnen zeigt das man die selber Sicherheit wie beim Dicewar schon mit: n>= 21 erreicht. Da wären ca 5 Buchstaben pro Wort im schnitt. Ein Wert den die Deutsche Sprache niemals erreicht.

Der Vorteil des Verfahren liegt also hauptsächlich im Einfachen merken des Passwortes.

Wenn ich groben Fehler in meiner Überlegung habe, sagt es mir bitte,

Gruss Thorben (nicht signierter Beitrag von 87.157.203.112 (Diskussion) 17:49, 23. Sep. 2010 (CEST)) Beantworten

Das gilt nur wenn der Angreifer Informationen hat, die beschreiben wie das Passwort aufgebaut ist. Bei einem Bruteforce-Angriff gilt auch für Diceware (26 *2 + 10+ 10)^n als Anzahl der Möglichkeiten. Gegen ein Dictionary Angriff ist das was anderes, aber auch hier hat man englisch als Sprache vorausgesetzt und 5 Worte 5 ^ 600000 = 1,006.. *10^419382 Kombinationen an Wörtern die ausprobiert werden müssen, vor allen Dingen da man nicht weiß welche Wörter die Wortliste umfasst. Sind dagegen Informationen vorhanden, kann man immer den Suchbereich eingrenzen. Man muss dabei auch bedenken, dass bei Bruteforce kein zufälliges Raten geschieht, sondern ein "hochzählen" der einzelnen Stellen stattfindet, da man sich sonst die bereits getesteten Passwörter merken müsste. (nicht signierter Beitrag von 93.223.90.49 (Diskussion) 11:51, 9. Feb. 2014 (CET))Beantworten

Probleme

[Quelltext bearbeiten]

Probleme mit Diceware Diceware ist wirklich unknackbar. Jedoch sind die Kennwörter so lang das sie von vielen Anbietern nicht mehr akzeptiert werden. Oder noch schlimmer der Anbieter speichert nur einen Teil des Kennworts und man kann sich nicht mehr einloggen

Geht es nicht darum, Wörter zu verwenden, die man sich leicht merken kann? Und dann sowas wie "ekd"... Abkürzungen sollten ausgeschlossen sein, noch dazu solche, die nur in sehr speziellen Zusammenhängen (wie hier: Kirchenbürokratie) verwendet werden. Oder die Liste sollte mehrere Alternativen zu jeder Zahl anbieten.

Webseiten speichern das Passwort nicht selbst, sondern nur einen (gesalzenen) Hashwert. Der ist unabhängig von der Passwortlänge immer gleich lang. Sollte eine Webseite also das Passwort abweisen, weil es zu lang ist, speichert sie es vermutlich in der Datenbank im Klartext und beschränkt die Länge des Passwortes auf die Länge des Datenbankfeldes. Solchen Diensten würde ich persönlich keine persönlichen Daten anvertrauen. --Marco Bakera (Diskussion) 14:33, 5. Jan. 2019 (CET)Beantworten

Ich zweifle ob diese Methode wirklich sicher ist. Wenn ich versuchen würde ein Passwort zu erraten, würde ich auch die Diceware-Wörter miteinbeziehen. Ich würde ja erst ganze Wörter abarbeiten, bevor ich mit den einzelnen Buchstaben beginne. Ein Diceware Passwort bestehend aus fünf Wörtern entspricht doch eigentlich nur einem fünf Zeichen langem Passwort. Oder habe ich was übersehen?


Ja, du hast was uebersehen. Die fuenf Zeichen kommen aus einem ungleich groesserem alphabet ...

Python Programm

[Quelltext bearbeiten]

Wer nicht so viel würfeln mag:

import random;
for i in xrange(1,6):
	f="" 
	for u in xrange(1,6):
		f=f+str(random.randint(1,6))
	print f

Und wer nicht genau weiß, wie gut dieser Pseudozufallszahlengenerator ist, der sollte lieber würfeln. Es wird davon abgeraten, Programme zu benutzen. Ein Würfel ist ein viel besserer Zufallsgenerator. --84.149.227.189 06:53, 29. Sep. 2008 (CEST)Beantworten

Leerzeichen

[Quelltext bearbeiten]

Im Artikel sollte noch erwähnt werden, dass die ausgewürfelten Worte nicht durch Leerzeichen getrennt werden dürfen. Das Beispielpasswort ist nicht "merken boom ekd zonen ragt", sondern "merkenboomekdzonenragt". Grund: bei den meisten Tastaturen erzeugt die Leertaste ein charakteristisches Geräusch. Werden Leerzeichen genutzt, kann der Angreifer rein durch Mithören der Passworteingabe die Struktur erkennen. Dadurch sinkt die Entropie des Passworts von "5*Entropie der gesamten Liste" auf: Entropie der 6-buchstabigen Wörter + Entropie der 4-buchstabigen Wörter + Entropie der 3-buchstabigen Wörter + Entropie der 5-buchstabigen Wörter + Entropie der 4-buchstabigen Wörter, was viel weniger als 64 Bit ist. --LeonTrav (Diskussion) 22:22, 20. Mär. 2014 (CET)Beantworten

wenn der angreifer deine passworteingabe mithoeren kann, ist das vermutlich nicht dein groesstes problem. --Mario d 10:27, 21. Mär. 2014 (CET)Beantworten