Krypto-Urteil: Passwort ohne Zutun der Verdächtigen entschlüsselt

[Annika_Kremer]

Der Fall Ramona Fricosu sorgte in den letzten Wochen in den USA für einige juristische Diskussionen. Der Fall der des Betrugs verdächtigten Frau, die gezwungen werden sollte, das GPG-Passwort ihres Laptops herauszugeben, schien sich zur Grundsatz-Diskussion zu entwickeln. Dies blieb jedoch, wie sich nun herausstellte, aus: den Behörden gelang es, den Laptop ohne Fricosus Hilfe zu entschlüsseln.

zur News

[widarr]

Tja, man empfiehlt nicht umsonst allen, nie ihr Passwort weiterzugeben

[HashWorks]

Super Passwort wenns jeder weiß

[HerrMaulwurf]

Wie strunzdoof muss man denn sein, ein Passwort Dritten zu nennen, egal wie "vertrauenswürdig" die Person ist...

[CommodoX]

Selbst schuld .

[TRON2]

Ganz schön linke Nummer.

[Gacksi]

Belastendes Material auf einem verschlüsselten Laptop ist ja das Todesurteil für jede Unschuldsvermutung.
Ist das Passwort dafür jedoch bekannt, wird das ganze nun interessant.
Denn ich würde nun einfach behaupten, dass er besagte Dateien geladen hat, wenn er denn schon das Passwort weiß.
So gesehen, für sie garnichtmal der worst-case.

[chunic]

Das pw kann ja auch nicht so der Knaller gewesen sein, also mein(e) PW kann sich, glaube ich, niemand so locker merken... oder aber es wurde aufgeschrieben das passwort......... dann sag ich da nichts weiter zu

[Annika_Kremer]

Wahrscheinlich hat besagte Person das PW nicht mitgeteilt bekommen, sondern selbst vergeben. Fricosu hat ja ausgesagt, sie habe die Verschlüsselung nicht selbst eingerichtet.

[Abijar]

Warum muss ich gerade daran denken: http://xkcd.com/936/

[LordGonzo]

Warum muss ich gerade daran denken: http://xkcd.com/936/

In dem Link steckt ein fundamentaler Fehler. Bei Wörterbuchattacken siehts dann mau aus.

[CommodoX]

In dem Link steckt ein fundamentaler Fehler.

Nö, nicht wenn man einfach 2-3 Wörter zusammenwürfelt.

Eselbankkonto
Flaschenferkel



Flaschenferkel merk ich mir mal, klingt gut.

[LordGonzo]

Nö, nicht wenn man einfach 2-3 Wörter zusammenwürfelt.

Nope, da "sinnvolle" Wörter bei Wörterbuchattaken durchprobiert werden.
SuperHausWurzelSenf ist zB relativ leicht* zu knacken, obwohl es eine lange Passphrase ist.

* leicht im Vergleich zu einer ähnlich langen Phrase, die nicht aus Wörtern besteht.
Eine Kombination aus beiden Methoden wäre gut.

[widarr]

Das mit den Wörtern ist quatsch, solange der Angreifer 0 information hat kann die genauso sicher sein.
Für das sichere Passwort sind einfach nur 3 Dinge notwendig:

Es muss lang sein
Es sollte einen großes Alphabet haben (auch ein paar zahlen/sonderzeichen)
Man verrät gottverdammt nochmal nicht die geringste Information über das Passwort, dazu zählt insbesondere dessen Länge >,<

Mehr dazu hier:
1.https://www.youtube.com/watch?v=gy2V...feature=relmfu
2. https://www.youtube.com/watch?v=hPfl...feature=fvwrel
3. https://www.youtube.com/watch?v=NbzQjCjVoGY
4. https://www.youtube.com/watch?v=xLTO...feature=relmfu

[Tempura]

Nope, da "sinnvolle" Wörter bei Wörterbuchattaken durchprobiert werden.
SuperHausWurzelSenf ist zB relativ leicht* zu knacken, obwohl es eine lange Passphrase ist.

* leicht im Vergleich zu einer ähnlich langen Phrase, die nicht aus Wörtern besteht.
Eine Kombination aus beiden Methoden wäre gut.

Dazu müsste man als Angreifer erst mal seine Zeit darauf verschwenden auch tatsächlich solche Wortkombinationen auszuprobieren. Macht man aber eher nicht, weil selbst dafür der Suchraum schon extrem groß ist. Und dann kann man das ganze trotzdem durch eine einzelne ziffer irgendwo mittendrin aushebeln.

[LordGonzo]

Dazu müsste man als Angreifer erst mal seine Zeit darauf verschwenden auch tatsächlich solche Wortkombinationen auszuprobieren.

Was ist Ressourcenschonender? BruteForce, oder Wörterbuchattacke. Natürlich die Wörterbuchattacke.
In der Tat ist widarrs Einlassung, dass der Trumpf das nicht Wissen des Angreifers ist.
Denn dann muss dieser ins Blaue hinein arbeiten.

[Abijar]

Streitbar.

Wörterbuchattacken sind zwar theoretisch resourcenschonender, benötigen aber, um effizient zu sein, wiederum enormen Speicherplatz für die Datenbanken.

Das_Vierzehnte-Wort.Dieses Satzes_Enthält-Einen.Eklatanten Rechtschreibfehler_Für-Den.Mich Mein_Toitschleerer-Geschlagen.Hätte

Diesen Satz mittels Wörterbuchattacke zu knacken wird wohl einiges an Ressourcen binden. Dagegen wäre ein "&/SDS/&fd7" schon Kinderpupu.

Vorteil des Satzes: Ich kann ihn jetzt schon auswendig und bin nicht darauf angewiesen ihn zu notieren.

[LordGonzo]

Vorteil des Satzes: Ich kann ihn jetzt schon auswendig und bin nicht darauf angewiesen ihn zu notieren.

Sag ich doch. Kombination ist am besten, da ., _ und - dabei sind. Hau noch ein Rufzeichen, ein Fragezeichen und die eine oder andere Zahl rein und es ist noch besser.

[Abijar]

Würde ich so pauschal nicht sagen.

Letztlich müssen die Wörter so oder so zusammengesetzt werden - ob mit oder ohne Sonderzeichen. Macht das die WBA automatisch, grenzt das ja schon wieder an BF - da drehen wir uns dann im Kreis.

Die Wahrscheinlichkeit, das ein völlig "normaler" Satz mit genügend Wörtern und nicht allzu offensichtlichen Inhalt aber in einem Wörterbuch vorhanden ist, ist äusserst gering.

IMHO ist es völlig unerheblich, ob das Passort nun "Mein Passwort" oder "M41n Pa$$w0rd" lautet. Diese Varianten werden beide in Wörterbüchern stehen. Ein unbekanntes Gedicht, vielleicht auch noch in Dialekt... Ob das im Wörterbuch steht?

Für die Software ist es völlig schnuppe, ob da ein Sonderzeichen ist oder nicht. Die arbeitet einfach nur ab.

[LordGonzo]

Für die Software ist es völlig schnuppe, ob da ein Sonderzeichen ist oder nicht. Die arbeitet einfach nur ab.

Wenn man BF verwendet ist das korrekt. Darum jedoch die Kombination aus beiden Methoden. Die Wörter machen die Passphrase lang und die anderen Zeichen verhindern den Erfolg der Wörterbuchattacke.