Was falls Gegner eine EFF-Wordlist bei mir findet?

Hallo,

angenommen ich verschluessle eine externen Datentraeger mit LUKS und verwende fuer die Passphrase 5/fuenf „Woerter“ aus einer EFF_Wordlist (eventuell von KeypassXC generiert).
Beim „Besuch“ findet der Gegner bei mir die EFF_Wordlist (ausgedruckte Liste oder als Datei).

Natuerlich geht der Gegner jetzt davon aus, dass ich Woerter aus dieser Liste fuer das Passwort verwendet habe. Hingegen weiss er nicht, aus wie vielen Woertern die
Passphrase besteht.

Frage:
Kann der Gegner mit dieser Woerterliste meinen Datenträger schneller entschlüsseln?
.

Vielen Dank im Voraus.

Natürlich ist das für den Angreifer eine nützliche Info, aber du solltest die Passphrase ohnehin so wählen, daß sie auch standhält wenn der Angreifer die Wortliste und die Anzahl der Worte kennt. Also auf jeden Fall noch ein Wort hinzufügen um in Richtung 80 bit Entropie zu kommen.

1 „Gefällt mir“

Ja, je mehr wissen ein Angreifer über die verwendete Passphrase und dessen Bestandteile hat desto weniger muss er ausprobieren. Der Suchraum wird also eingeschränkt.
Die Liste kann daher zum Entschlüsseln herangezogen werden und erleichtert die Suche nach dem Passwort. Wie procupine0815 schreibt sollte aber eine Passphrase so gewählt werden, dass du einem Angreifer diese Liste geben kannst. Vergleichbar: Ein Angreifer kennt auch die Buchstaben aus denen ein Passwort besteht, nur dass es eben weniger Buchstaben als Wörter gibt. Daher kann die Anzahl der verwendeten Wörter im Gegensatz zu der Anzahl der Buchstaben geringer sein, um das gleiche Sicherheitsniveau zu erreichen.

Die Anzahl der Möglichkeiten für deine Passphrase ohne zu wissen wie viele Wörter du verwendest wird so berechnet:
x¹ + x² + x³ + … + x^n
Wobei x die Anzahl der Wörter in der Wortliste (z.B. 10.000) beschreibt
und n die Anzahl der Wörter (z.B. 5) aus denen dein Passphrase besteht.

In deinem Fall mit 5 Wörtern aus einer Liste mit z.B. 10.000 Wörtern also:
10000¹ + 10000² + 10000³ + 10000⁴ + 10000⁵

1 „Gefällt mir“

Am einfachsten löscht Du die Liste (es gibt sie ja online, https://www.eff.org/de/deeplinks/2016/07/new-wordlists-random-passphrases). Und verwendest sie mit kleinen Modifikationen (die EFF hat wohl Vorschläge dazu; man kann z.B. einfach einen Punkt zwischen die Wörter setzen o.ä.)

Die Formel ist a^k=2^e mit a = die Länge des „Alphabets“, hier der Wortliste, die ist 7776, k = Anzahl der „Buchstaben“ aus diesem Alphabet, hier also 5, und e ist die Bit-Entropie

Die ist dann e = k * Ln(a)/Ln(2) mit Ln= natürlich Logarithmus ~ k * 12.92 mit Taschenrechner oder Excel ~ 64.6 (wenn bekannt ist, dass dieses Alphabet benutzt wird, also der schlechteste Fall). Für größeres k kannst Du das nun selbst ausrechnen.

2 „Gefällt mir“

Warum wird eigentlich so grundsätzlich einer Wortliste der Electronic Frontier Foundation (EFF) vertraut?
Eine Organisation mit deutlicher Nähe zu US Geheimdienst und Militär, wie auch das nahe TOR Projekt.
Quellen hierzu:
https://www.britannica.com/topic/Electronic-Frontier-Foundation
https://www.influencewatch.org/non-profit/electronic-frontier-foundation-eff/
https://toruniversity.eff.org/about/

EFF wurde mehr oder weniger Anfang der 90iger finanziert (gegründet) um widerständige Hacker ausfindig machen.

Ich will nicht zu viel hinein interpretieren, aber gerade bei den Grundlagen von Sicherheitsverfahren wird nicht selten auf die „Erfindungen“ zweifelhafter und nicht-User- freundlicher Foundations gesetzt.

Was sagt ihr dazu?

Ich schmeiss mich gleich weg vor Lachen. Warum nicht auch fragen, weshalb alle den druckbaren ASCII-Zeichen bei der Passworterstellung vertrauen, schließlich werden diese auch von Geheimdiensten und Militär benutzt?

3 „Gefällt mir“

Es freut mich, das hier auch gelacht wird!

Aber ich korrigiere: auch benutzen ist nicht entwickeln . Also ist der ASCII Vergleich unzutreffend, trotz „wegschmeissen“. Auch steht es jedem frei, beim Waffenhändler seine Messer (für die Küche) zu kaufen, um mal ein Bild aufzumachen.

Die Wortliste ist für die Passphrase, was die ASCII Zeichen für das „herkömmliche“ Passwort sind. Du sprichst von „Vertrauen“, denkst Du ernsthaft in die EFF-Liste ist eine Backdoor reingeschrieben so daß irgendein Dienst Passphrasen leichter knacken kann wenn sie auf Grundlage der EFF-Liste erstellt wurden? Dann hast Du die Grundlagen des Diceware-Verfahrens nicht begriffen. Es ist für die Sicherheit der Passphrase absolut unerheblich ob die Wortliste bekannt ist oder wer auch immer sie verfasst hat. Man muss der Wortliste und auch den ASCII-Zeichen nicht trauen, sondern nur der Art und Weise wie man daraus sichere Passwörter erstellt.

Weil es komplizierter ist selber eine zu erstellen.

Du könntest dir, wenn du extrem maliziöse Absichten unterstellen möchtest, Gedanken über Entropie der Wörter machen, und über eine eventuell manipulierte Auswahl der Wörter, durch die mit speziell auf diese Listen ausgelegten „bruteforce Algorithmen“ das Passwort schneller gefunden werden könnte.
Persönlich fände Ich das Paranoid. Lässt sich vermutlich auch nicht zu komplex überprüfen, ist aber nicht mein Themengebiet.

Um eine eigene Liste zu erstellen brauchst du nur einen Wörterbuchauszug. Auf dict.cc kriegst du Klartextdateien die sich leicht parsen lassen, hast dann aber auch englische Wörter drin gemischt.
Wenn du da jetzt alle zusammenhängenden Buchstaben mit 5, 6 oder mehr Zeichen extrahierst, deduplizierst, und insgesamt genügend Wörter in deiner Liste hast, hast du eine eigene Liste.
Die brauchst du dann auch nicht kürzen, und kannst gleich mit einen ordentlichen Zufallszahlengenerator dort Wörter rausholen.
Falls du die Liste kürzst, sollten die zu erhaltenen Wörter zufällig gewählt werden.
Danach kannst du auch noch die statistische Verteilung der Buchstaben analysieren, um zu schauen, wie viele Wörter du unter den schlechtesten Bedingungen überhaupt verwenden möchtest.
Kannst du dann auch für deine zufällig gewählten Wörter tun, da überrascht vielleicht die ein oder andere Sache: Es werden z.B. nicht alle Buchstaben von A-Z in diesen vorhanden sein.

Oder du nimmst die Liste von der EFF o.Ä. und verwendest statt 6 Wörter eben 10 Stück.

Ansonsten ist ein Passwortmanager die Lösung, für die Festplatte/den Manager nimmst du dann einen Sicherheitsstick oder so. Dann brauchst du nur eine 4-6 Zahlen PIN o.Ä., solange der Stick nicht ausgelesen werden kann, und die Versuche limitiert sind.
Oder ein wirklich zufälliges Passwort, das du dir dann eben merkst.
Ist eben aber alles unkomfortabler, vertrauen in andere Sachen, oder mit der Gefahr von Datenverlust verbunden.
Aber da muss man ja auch erst die Festplatte oder den Manager entwenden, um zu entschlüsseln… da ist ein weniger sicheres Dicewarepasswort mit manipulierter Liste vielleicht trotzdem eine Option…

Wikipedia sagt, dass das Verfahren von jemanden namens Arnold G. Reinhold „erfunden“ wurde. Siehe den Artikel zu Diceware - in den Einzelnachweisen findest du 'n paar Links.

1 „Gefällt mir“

NEIN das denke ich nicht. Ich komme auf mein Bild des Waffenhändlers zurück. Ich interessiere mich für, von Militär und Geheimdiensten unabhängige Anwendungen, wo immer es Sinn macht.

Also warum nicht eigene Wortlisten entwerfen, unabhängig sein, wenn man sich um den Gegner Gedanken macht , wie eigangs beschrieben:

Ist auch nur so ein Gedanke…

Das ist ein ganz anderes Thema. Ginge es nicht um eine simple Textdatei sondern eine Anwendung, z.B. einen Passphrasengenerator auf der EFF-Seite, dann wäre ich komplett auf Deiner Seite. Deine Aussage impliziert aber, daß durch die Nutzung der EFF-Liste die Sicherheit von Passphrasen beeinträchtigt werden könnte (fear, uncertainty, doubt).

Die Beschaffenheit (Länge, Schreibweise usw.) der einzelnen Wörter hat keinen Einfluß auf die Entropie der Passphrase, die Entropie eines einzelnen, zufällig erwürfelten Wortes der Passphrase liegt bei Diceware mit 7776 Wörtern immer bei log2(7776)=12,925 bit. Die EFF-Liste macht die Passphrase sogar resistenter gegen Brute-Force Angriffe, weil die durchschnittliche Wortlänge gegenüber der ursprünglichen Wortliste (https://theworld.com/~reinhold/diceware.wordlist.asc) erhöht wurde.

Wenn man die EFF-Liste nicht verwenden will, kann man auch nach deutlich umfangreicheren Wortlisten mit hunderttausenden Einträgen suchen. Würfeln geht dann nicht mehr, aber KeepassXC kann Passphrasen aus beliebigen Wortlisten generieren.

1 „Gefällt mir“

Ich würde immer nur mehrere Wortlisten zusammen abspeichern. Ich weiss ja welche von denen ich nutzt. Oder ist es komplett unerheblich ob der Angreifer weiss welche Liste ich nutzte?

Wenn der Angreifer die Liste nicht kennt oder nicht weiss, daß eine Passphrase verwendet wird, ist das für ihn schon extrem nachteilig. Aber selbst wenn er weiss, welche Liste und wieviele, zufällig erwürfelte, Wörter für die Passhrase verwendet wurden (für den Angreifer die optimalen Vorrausetzungen), muß er dennoch im Schnitt die Hälfte aller Kombinationen ausprobieren.
Bei 6 Wörtern sind das 77766÷2=1,105369x1023.
Möchte der Angreifer das Passwort in, durchschnittlich, einem Jahr knacken, müsste er jede Sekunde 3,5x1015 Passphrasen ausprobieren. Das wäre schon gegen die schwächsten, weil schnellsten, Hash-Algorithmen nur mit enormem Kostenaufwand für Hardware und Energie zu realisieren.

2 „Gefällt mir“

Also wäre der Angreifer im Vorteil wenn er die benutzte Wortliste hat. Mein Vorschlag mehrere Wortlisten zusamen zu speichern würde dann wohl als einfachste Massnahme funktionieren. Natürlich nicht wenn die genutzte das neueste Zugriffsdatum hat :slight_smile:

Vorteil ist relativ, die errechnete Entropie kann der Angreifer ja nicht verringern.
Gerade bei LUKS2 oder kdbx-Datenbanken mit Argon2 KDF ist Brute-Force gegen ein gutes Passwort aussichtslos.
Wenn jemand Zugriff auf Dein System erlangt dann erschliessen sich ihm ganz andere Möglichkeiten um an Passwörter/Passphrasen zu kommen als nach Wortlisten zu suchen. Malware und Phishing sind realistischere Bedrohungen, als daß jemand ein ~80bit oder mehr Passwort knackt.

2 „Gefällt mir“

Sagst du damit das Wissen um die benutzte Wortliste sei kein Vorteil?

Nur das Wissen um das Passwort wäre hier ein Vorteil … öhm …

Danke, das ist korrekt. Ich habe an der Stelle kompletten Unfug verbreitet, tatsächlich sogar wider besseren Wissens, entschuldigt bitte.

Man sollte nicht „Devils advocate“ spielen, wenn man sich nur auf die schnelle ein Argument aus dem Ärmel zieht, um es auf Plausibilität zu prüfen, und dabei gleichzeitig aus den richtigen Fakten die falschen Schlüsse ableiten. Könnte Ich später mehr zu schreiben, woher die Fehlschlüsse kamen. Denke nur nicht, dass es interessant wäre.

Wenn du alle Zeichen von a-z und Zahlen von 0-9, als auch Sonderzeichen durchgehst, für jedes einzelne Zeichen, dauert es länger bis du ein längeres Passwort herausfindest. Das ist einer der praktischen Vorteile von Diceware gegen „dummen“ Bruteforce.
Wenn du ein Wörterbuch verwendest, um wie bei Diceware pro „Zeichenstelle“ ein Wort zu probieren, würdest du logischerweise das Diceware-passwort „schneller“ erraten, gerade wenn es nicht alle Worte (und deine darin mit inbegriffen sein müssen) sind, sondern genau die Liste, die du verwendet hast. Wenn du die Trennzeichen richtig errätst (Leerzeichen? kein Freiraum zwischen Worten? !, @, ?, #, oder durch ein y getrennt? Zwischen jeden Wort den je nächsten Buchstaben eines anderen, weiteren Wortes?).

Ob du jetzt als „Zeichen“
1, &, und H verwendest
Oder Wasser, Jupiter, Richter
Das macht keinen Unterschied, wenn du weißt, dass du nur aus diesen 3 Optionen ein 5 Zeichen Passwort wählst.

Es sind immer, im schlechtesten Fall, 3^5 mögliche Optionen - das ist finde Ich die am leichtesten verständliche Gleichung. Dabei sollte man beachten, dass das erraten im Schnitt natürlich bei komplett zufällig gewählten Worten näher an der Mitte liegt, im Einzelfall aber auch früher zu erraten sein kann.
(3= Anzahl der Möglichkeiten, bei klassischem Diceware 7776, mit der EFF Liste weit mehr - 5= Anzahl der Worte/Zeichen)

Es geht nur um die möglichen Variationen, die dargestellt werden können. Darauf basiert die Empfehlung der Wörteranzahl bei Diceware. Nicht darauf wie leicht/schwer das Passwort auf andere Weise geknackt werden kann. Das ist der Punkt, wo dann das Hashen des Passwortes in Betracht kommt: Daher kommt der zeitliche Aufwand.

Die durch die Würfel eingebrachten Zufallswerte können hier nicht „entfernt“, oder vermehrt werden, egal wie lang, kurz, oder komplex die Liste ist. Aber nur auf diesen basiert die Sicherheit des Dicewarepassworts, in den Empfehlungen für die Wörteranzahl.

1 „Gefällt mir“

@Astolfo
Danke für deine Mühe. Ich habe dazugelernt :slight_smile:
Mir fehlt leider das „ja“ oder „nein“, ob der Angreifer im Vorteil ist wenn er die benutzte Liste kennt

Ja, das kann er.

Die Frage ist eine völlig andere als die oben gestellte.
(Ich vermute aber, das du mit der Frage etwas anderes wissen willst.)

Der Angreifer wäre erst im Vorteil, wenn es ihm gelänge dein Passwort herauszufinden ohne, das du davon etwas mitbekommst.

Bis dahin liegt der Vorteil eindeutig beim Anwender.