[unix-ws] Sicheres Passwort erzwingen
Jens Rühmkorf
ruehmkorf at informatik.uni-koeln.de
Mon Jul 10 15:28:00 CEST 2006
Thomas Lange schrieb:
>>>>>> On Mon, 10 Jul 2006 13:54:45 +0200, Jens Rühmkorf
>>>>>> <ruehmkorf at informatik.uni-koeln.de> said:
>
>> Bei einer Passwortlänge von 8 ist Brute-Force sowieso nicht soweit
>> entfernt: geht man optimistisch davon aus, daß ein "Cracker" Zugang
>> zum Passwort-Hash hat und pro Sek. 100 Mio. Passwörter gegen den
>> Hash testen kann, benötigt er für alle (26+26+10)^8=62^8 Tests
>> insges. ca. 250 Tage.
> Mein Crack programm schafft 1 Mio crack/s, somit sind 100 mio
> Passworter/s also schwer zu erreichen,
Das "optimistisch" war durchaus wörtlich gemeint, genauso wie nichts
über die Ressourcen des Crackers gesagt war. Selbst ein Faktor von
meinetwegen 10^6 wäre für mich kein komfortables Polster:
Ein kommerzieller Dienst wie etwa http://www.rainbowcrack-online.com/
hat große, im Voraus berechnete Hash-Datenbanken, die 8-char-Passwörter
im Handumdrehen knacken (bisher noch ohne salts). Die DB wurde laut
rainbowcrack mit 200 Servern aufgebaut, die 4 Jahre gerechnet haben.
8-char-Passwörter sind inzwischen einfach in greifbare Nähe gerückt, und
dann noch in Kombination mit einem schwachen Hash wie crypt. (Der mit
seinen 4096 Salts ja bei Verwendung von YP/NIS unter Solaris Standard ist?)
> da es ja noch 4096 verschiedene salts pro passwort gibt.
>
> Ich faende es gut die Leute dazu zu zwingen (kann das cracklib?) auch
> Sonderzeichen (also nicht uppercase oder digits) zu nuzten. Damit
> erweitert man die Menge der moeglichen Zeichen erheblich.
Ja, das kann cracklib auch. Die PAM-Option heißt "ocredit=".
>> Beispiel: Beim Versuch, mir auf einem solchen System das (nach
>> Uni-Regeln gültige) Password BLume491 zu geben, meldet cracklib
>> (via Standardinterface passwd):
>
> Wie schnell geht so ein Test? Dies sollte IMO in wenigen Sekunden (<3
> Sekunden z.B) erledigt sein, ansonsten wartet der User zu lange.
Habe bei mir die Wörterbücher von 4 Sprachen eingebaut (entsprechend den
Muttersprachen der Benutzer des Systems, plus Englisch) und muß
praktisch nicht warten (Millisekundenbereich).
MfG Jens
--
Jens
-------------------------------------------------------------------------
Jens Rühmkorf
Institut für Informatik E-Mail : ruehmkorf at informatik.uni-koeln.de
Universität zu Köln
Pohligstr. 1 Telefon : +49 221 470 5381
D-50969 Köln Fax : +49 221 470 5387
-------------------------------------------------------------------------