[unix-ws] Sicheres Passwort erzwingen

Jens Rühmkorf ruehmkorf at informatik.uni-koeln.de
Mon Jul 10 15:28:00 CEST 2006 

Thomas Lange schrieb:
>>>>>> On Mon, 10 Jul 2006 13:54:45 +0200, Jens Rühmkorf 
>>>>>> <ruehmkorf at informatik.uni-koeln.de> said:
> 
>> Bei einer Passwortlänge von 8 ist Brute-Force sowieso nicht soweit 
>> entfernt: geht man optimistisch davon aus, daß ein "Cracker" Zugang
>> zum Passwort-Hash hat und pro Sek. 100 Mio. Passwörter gegen den
>> Hash testen kann, benötigt er für alle (26+26+10)^8=62^8 Tests 
>> insges. ca. 250 Tage.
> Mein Crack programm schafft 1 Mio crack/s, somit sind 100 mio 
> Passworter/s also schwer zu erreichen,

Das "optimistisch" war durchaus wörtlich gemeint, genauso wie nichts
über die Ressourcen des Crackers gesagt war. Selbst ein Faktor von
meinetwegen 10^6 wäre für mich kein komfortables Polster:

Ein kommerzieller Dienst wie etwa http://www.rainbowcrack-online.com/
hat große, im Voraus berechnete Hash-Datenbanken, die 8-char-Passwörter
im Handumdrehen knacken (bisher noch ohne salts). Die DB wurde laut
rainbowcrack mit 200 Servern aufgebaut, die 4 Jahre gerechnet haben.

8-char-Passwörter sind inzwischen einfach in greifbare Nähe gerückt, und
dann noch in Kombination mit einem schwachen Hash wie crypt. (Der mit
seinen 4096 Salts ja bei Verwendung von YP/NIS unter Solaris Standard ist?)

> da es ja noch 4096 verschiedene salts pro passwort gibt.
> 
> Ich faende es gut die Leute dazu zu zwingen (kann das cracklib?) auch
> Sonderzeichen (also nicht uppercase oder digits) zu nuzten. Damit 
> erweitert man die Menge der moeglichen Zeichen erheblich.

Ja, das kann cracklib auch. Die PAM-Option heißt "ocredit=".

>> Beispiel: Beim Versuch, mir auf einem solchen System das (nach 
>> Uni-Regeln gültige) Password BLume491 zu geben, meldet cracklib 
>> (via Standardinterface passwd):
> 
> Wie schnell geht so ein Test? Dies sollte IMO in wenigen Sekunden (<3
> Sekunden z.B) erledigt sein, ansonsten wartet der User zu lange.

Habe bei mir die Wörterbücher von 4 Sprachen eingebaut (entsprechend den
Muttersprachen der Benutzer des Systems, plus Englisch) und muß
praktisch nicht warten (Millisekundenbereich).

MfG Jens

-- 
Jens
-------------------------------------------------------------------------
            Jens Rühmkorf
  Institut für Informatik   E-Mail  : ruehmkorf at informatik.uni-koeln.de
      Universität zu Köln
             Pohligstr. 1   Telefon : +49 221 470 5381
             D-50969 Köln   Fax     : +49 221 470 5387
-------------------------------------------------------------------------