Kuketz-Blog 🛡Dec 9

Deutsche Bahn zwingt mich, mein Login-Passwort zu ändern: Es hat 24 Zeichen, ist zufällig, beinhaltet Groß-/Kleinbuchstaben und Zahlen und hat eine Entropie über 110 Bit. Aber weil kein Sonderzeichen drin ist, gilt es als unsicher. Sicherheitsrichtlinien von 2005 lassen grüßen. 🙄

/kuk

#bahn #db #security #sicherheit #passwort #fail

Show threadKuketz-Blog 🛡Dec 9

Würde ich die 12 Zeichen mit allen Vorgaben umsetzen, läge ich nur noch bei etwa 55 bis knapp 70 Bit Entropie. Also eindeutig schlechter – aber hey, ein Passwort ohne Sonderzeichen ist ja bekanntlich unsicher…

/kuk

Show threadJörg 🇩🇪🇬🇧🇪🇺Dec 9
@kuketzblog Wie errechnet man die Entropie?
Show threadu880dDec 9
@geco_de @kuketzblog
Ich denke, er bezieht sich hierbei auf die Ausgabe des PW Generators. Also vermutlich der Test zur statistischen Gleichheitswahrscheinlichkeit und keine logische Messung.
Show threadJens FinkhäuserDec 9

@u880d @geco_de @kuketzblog Exakt.

Du musst gucken, aus welchem Zeichensatz Du die Passwort-Zeichen wählst. Wenn Du a-z hast, ist Dein Zeichensatz 26 (R) gross. Dann ist die Anzahl der möglichen Passwörter der Länge N also 26^N.

Davon dann log2 nehmen, weil wir die Entropie in bits ausdrücken: log2(R^N), oder auch N * log2(R).

Daher auch der XKCD mit seinem battery horse staple wasauchimmer als besseres Passwort.

Show threadJens Finkhäuser

@u880d @geco_de @kuketzblog
Um auf eine hohe Entropie zu kommen musst Du entweder die Range R erhöhen, oder die Länge.

Bei Buchstaben hast Du grosse, kleine, Zahlen, Sonderzeichen... lass es mal 80 oder so sein. Mehr wirst Du nicht tippen können. Also kannst Du nur über die Länge die Entropie erhöhen.

Die Alternative ist, ein Wörterbuch als Range zu nehmen. Damit ist R ein paar Tausend oder Zehntausend. Davon muss man entsprechend weniger aneinanderreihen, um auf eine ähnlich hohe zu kommen.

Dec 9 at 5:26pmWeb