[unix-ws] Sicheres Passwort erzwingen

Mon Jul 10 14:08:13 CEST 2006

>>>>> On Mon, 10 Jul 2006 13:54:45 +0200, Jens Rühmkorf <ruehmkorf at informatik.uni-koeln.de> said:

    > Bei einer Passwortlänge von 8 ist Brute-Force sowieso nicht soweit
    > entfernt: geht man optimistisch davon aus, daß ein "Cracker" Zugang zum
    > Passwort-Hash hat und pro Sek. 100 Mio. Passwörter gegen den Hash testen
    > kann, benötigt er für alle (26+26+10)^8=62^8 Tests insges. ca. 250 Tage.
Mein Crack programm schafft 1 Mio crack/s, somit sind 100 mio Passworter/s 
also schwer zu erreichen, da es ja noch 4096 verschiedene salts pro
passwort gibt. 

Ich faende es gut die Leute dazu zu zwingen (kann das cracklib?)
auch Sonderzeichen (also nicht uppercase oder digits) zu nuzten. Damit
erweitert man die Menge der moeglichen Zeichen erheblich.

    > Beispiel: Beim Versuch, mir auf einem solchen System das (nach
    > Uni-Regeln gültige) Password BLume491 zu geben, meldet cracklib (via
    > Standardinterface passwd):
Wie schnell geht so ein Test? Dies sollte IMO in wenigen Sekunden (<3
Sekunden z.B) erledigt sein, ansonsten wartet der User zu lange.

-- 
regards Thomas