Wie viele Möglichkeiten gibt es für ein Passwort aus vier Buchstaben?

...komplette Frage anzeigen

6 Antworten

Hallo,

das kommt auf das Zielalphabet an. Wenn es sich bspw. um 26 Buchstaben handelt, dann gibt es (26*2)^4 = 7 311 616 Möglichkeiten.

Viele Grüße

(Anzahl Buchstaben)^4

Bei 26 Buchstaben + 3 Umlaute + ß + Groß/Kleinschreibung also

59^4= 12 117 361

Matthew76 09.08.2017, 16:58

Und was ist mit dem neuen großen ß?

0

26 hoch 4 = 456972 Möglichkeiten, für ein Tool, das mit Brut&Force arbeitet, ein Kinderspiel, die durchzuspielen.

Eine.

kannst eh gleich [1234] nehmen.

Passwörter mit nur vier Stellen knackt jeder Rechner in weniger als 1 Millisekunde.

TeeTier 09.08.2017, 15:42

Meine Bank erzwingt ein Passwort ausschließlich aus Zahlen bestehend, mit der fixen Länge Sechs!

Als Regex: [0-9]{6}

Und die Kundennummern - mit denen man sich neben dem Benutzernamen alternativ einloggen kann - sind aufsteigend! (weiß ich, weil ich mehrere Konten dort habe und Bekannte ebenfalls)

Kein Scherz! Krass, oder?

Mich wundert ein bisschen, dass das noch nicht in der Fachpresse gelandet oder bei irgendwelchen Vorträgen angesprochen wurde. Ist eine ziemlich große deutsche Bank! Der Name fängt mit "V" an, und hört mit "olksbank" auf. Will jetzt hier aber keine weiteren Details nennen! :)

1
Epicmetalfan 09.08.2017, 15:54
@TeeTier

ja und? solange man nur eine begrenzte anzahl an versuchen hat, ist das auch völlig ausreichend. ein PC kann kein passwort knacken, ohne es auszuprobieren


aber hauptsache keine ahnung haben und schwachsinn faseln, als ob eine bank das so handhaben würde, wenns so unsicher wäre, dann wären die konten längst geplündert

0
Roderic 09.08.2017, 16:09
@Epicmetalfan

Sehr geehrter Freund epischer Rockmusik,

der Kommentar des verehrten Teetieres war mich bestimmt. Nicht für den Fragesteller.

ICH...

...beschwere mich darüber, ob es "schwachsinniges Gefasel" ist oder nicht.

MfG

;-)

1
TeeTier 09.08.2017, 16:47
@Epicmetalfan

Wow, ist dir eine Leber über die Laus gelaufen? :)

Viele Login-Systeme sind so aufgebaut, dass man nach einem Fehlversuch ein paar Sekunden warten muss. Ich kann dir aus Erfahrung sagen, dass nicht mal DAS bei meiner Bank so ist, da ich es in geistiger Umnachtung bei totaler Übermüdung schon mal geschafft habe, fünf Versuche für mein Passwort + Loginnamen zu verbrauchen.

Aber - wie gesagt - sind die Kundennummern aufsteigend. Man könnte also ein Skript schreiben, welches parallel viele Tausend Anfragen stellt und pro Kundennummer erst mal ein einziges Passwort probiert.

Damit hättest du nach spätestens 10 Sekunden die ersten Accounts geknackt.

Falls du das für unrealistisch hältst: Das ist meine Standardvorgehensweise um Loginsysteme oder ähnliches zu prüfen. Ich ARBEITE nämlich zufällig auf dem Gebiet, und weiß mit Sicherheit mehr über Kryptografie als ein Metalfan.

Das letzte mal (vor etwas über einem Monat) habe ich mit exakt dieser Methode einem Hersteller von IP-Cams vorgeführt, wie unsicher sein System mit eingeschränkten Passwortparametern - trotz Zwangspause nach fehlgeschlagenem Login - doch ist.

Wenn du das nächste mal jemanden anmotzt, such dir lieber jemanden aus, der zufällig nicht gerade auf dem Gebiet arbeitet! ><

Und im übrigen bringt bei einem sechsstelligen numerischen Passwort auch Hashen mit Salz und Pfeffer überhaupt nichts. Wehe also, irgendwann hat jemand mal Zugriff auf Teile der Datenbank, und sei es indirekt. Dass das hin und wieder auch bei Banken passiert zeigt die jüngere Vergangenheit!

solange man nur eine begrenzte anzahl an versuchen hat, ...

Mit obiger Vorgehensweise reicht EIN EINZIGER Versuch, du Leuchte! Sei mal ein bisschen kreativ, wenn es um Angriffsvektoren geht!

Solange "(Kundenzahl * Versuche) >= (Passwortzeichen ^ Länge)" hat man entsprechend viele Treffer! (Und im Schnitt schafft man von einer popeligen DSL-Leitung ca. 10000 parallele Anfragen pro Sekunde.)

Die Bank könnte sich gegen Massenabfragen zur Wehr setzen, aber wenn ich mir die oben genannten Probleme ansehe, möchte ich wetten, dass diese Sicherheitsfunktion NICHT vorhanden ist.

Ausprobieren werde ich das ganze natürlich ohne schriftlichen Vertrag nicht, aber ein so kurzes Passwort mit so kleinem Zeichenpool ist in jedem Fall einfach nur - mit Verlaub - "idiotisch".

0
TeeTier 09.08.2017, 16:49
@Roderic

ICH...

...beschwere mich darüber, ob es "schwachsinniges Gefasel" ist oder nicht.

Und? Wie lautet dein Urteil? :)

0
Roderic 09.08.2017, 16:50
@TeeTier

Da hast du's.

PS: Ick hab ja keene andere Wahl. Det jibbt nur den eenen Button. ;-)

1
TeeTier 09.08.2017, 16:55
@Roderic

PS: Ick hab ja keene andere Wahl. Det jibbt nur den eenen Button.

Das mag für den gemeinen GF-Nutzer gelten, aber nicht für dich!

Stichwort: F12. Aber nicht weiter sagen! ;)

1
Roderic 09.08.2017, 16:57
@TeeTier

Moment mal: Ich bin ein gemeiner GF-Nutzer.

Sogar ein ziemlich gemeiner.

Meistens.

Manchmal.

1
TeeTier 09.08.2017, 17:14
@Roderic

Ich kannte mal einen, der wurde als "gemeiner Forscher" bezeichnet. Er darauf: "Ich bin weder gemein, noch bin ich forsch!". :)

1

Die Anzahl der Zeichen, die man verwenden kann hoch vier

Groß und kleinschreibung auch?

Was möchtest Du wissen?