Wie lang sollte mein Systempasswort sein?

In den frühen Versionen von Mac OS X wurden nur die ersten 8 Zeichen eines Passworts verwendet. Später erhöhte Apple diese Zahl.

Ein richtiges Passwortsystem speichert einen Hash, nicht das eigentliche Passwort. In diesem Fall ist in der Regel ein längeres Passwort/eine längere Passphrase besser, um die Chance zu erhöhen, einen nicht bereits vorberechneten Hashwert zu generieren. Ich gehe davon aus, dass Apple diese Hash-Technik zur Authentifizierung von Systemanmeldebenutzern verwendet.

It Mavericks, was ist die maximale Anzahl von Zeichen in einer Passphrase, die von Apples Benutzerkonto-Anmeldung verwendet wird?

Antworten (3)

Ich habe Passwörter mit bis zu 480 Zeichen getestet (in OS X Version 10.8.5) und es wurden alle verwendet; passwdUm 480 hatte der Befehl ein wenig Probleme beim Festlegen von Passwörtern, aber es war etwas inkonsistent, daher bin ich mir nicht sicher, ob dies eine echte Grenze ist. Ich habe nicht mit der System Prefs-Schnittstelle getestet, weil sie das Einfügen von Passwörtern nicht zulässt, und ich auf keinen Fall etwas so lange (zweimal!) eingeben kann. Grundsätzlich wird so viel verwendet, wie Sie zum Tippen ertragen können.

Ich werde das Obige für 10.9.1 bestätigen
Das Passwortfeld der Systemeinstellungen akzeptiert nur 64 Zeichen (ich habe es mit TextExpander getestet)

Der (gesalzene und gestreckte) Hash des Anmeldekennworts wird in /var/db/dslocal/nodes/Default/users/username.plist10.7 und höher gespeichert. Wenn Sie befürchten, dass jemand den Hash lesen kann (indem Sie beispielsweise im Einzelbenutzermodus starten) und dann ein Cracking-Tool wie DaveGrohl verwenden , um das Passwort herauszufinden, verwendet OS X seit 10.8 PBKDF2 , wodurch Cracking-Tools auf etwa beschränkt werden zehn Vermutungen pro Sekunde pro Kern.

Es dauerte ungefähr zehn Minuten, um auf meinem iMac ein zufälliges dreistelliges Passwort zu erraten:

$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack

-- Found password : 'y8d'
-- (incremental attack)

Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.

Wenn Sie keinen verteilten Angriff durchführen, ist es derzeit unpraktisch, auch nur ein zufälliges achtstelliges Passwort zu knacken, das aus ASCII-Kleinbuchstaben und ASCII-Zahlen besteht. Bei 40 Vermutungen pro Sekunde würde es etwa 36^8/40/(86400*365) ≈ 2000 Jahre dauern, um alle Optionen zu testen.

Tatsächlich ist das Speichern von Hashes eine SCHRECKLICHE Art, Passwörter "sicher" zu speichern. Von Natur aus können Hashes nicht "umgekehrt" werden, aber das hindert einen nicht daran, eine große Tabelle (genannt Regenbogentabelle ) zu erstellen, die Klartext-Hash-Paare speichert. Mit dieser Tabelle ist es möglich, einen Hash nachzuschlagen und die zugehörigen Klartext-Passwörter zu sehen.

Die akzeptierte Methode zum Speichern von Passwörtern ist die Hash- und Salt-Methode. Ein Salt ist eine zufällige, große Zeichenfolge, die mit dem Passwort kombiniert wird, bevor ein Hash berechnet wird. Dadurch wird die Eingabe des Hashs zu groß, um in einer Regenbogentabelle sinnvoll vorberechnet zu werden. Letztendlich sind die einzigen Dinge, die in einer richtigen Passwortdatenbank gespeichert werden, Hashes und Salts (die Salts können im Klartext gespeichert werden, da sie überhaupt nicht hilfreich sind, um die Hashes umzukehren).

Grundsätzlich brauchen Sie kein langes Passwort, um sich vor Rainbow-Table-Angriffen zu schützen, da Salts dies für Sie tun.

Computerphile hat ein tolles YouTube-Video über das Speichern von Passwörtern gemacht.

Was die Erstellung sicherer Passwörter angeht, ist einer der besten Ansätze die Verwendung von 4-6 mittellangen, nicht zusammenhängenden, ECHTEN Wörtern (ohne die Notwendigkeit von Symbolen/Zahlen). Dies gewährleistet ein ausreichend langes Passwort, das nicht leicht zu erraten ist und vor allem einprägsam ist (so dass Sie nie versucht sein werden, es auf eine Haftnotiz zu schreiben).

TL;DR: XKCD-Passwortstärke

Das sind gute Infos. Meine Frage bezieht sich aber auf die maximale Zeichenanzahl, auf die Mac OS X (Mavericks) bei Ihrem Passwort achtet. Wie ich in meiner Frage sagte, konnten Sie ursprünglich in Mac OS X ein wirklich langes Passwort eingeben, aber Sie verschwendeten Ihre Zeit. Sie verwendeten nur die ersten 8 Buchstaben. Ich frage mich, ob es noch eine Art Grenze gibt. Es hat keinen Sinn, ein Passwort mit 60 Buchstaben zu haben, wenn Apple nur 12 (oder eine ähnliche Zahl) verwendet.
OS X verwendet seit Version 10.4 gesalzene Passwort-Hashes; in 10.8 haben sie Key-Stretching hinzugefügt (Computerphile erwähnt dies nicht, aber es wird dringend empfohlen), indem sie PBKDF2 verwenden, um die SHA512-Hash-Funktion zu iterieren. Im Grunde tun sie es an dieser Stelle richtig.
Eigentlich sollte ich das relativieren. Neuere Versionen von OS X speichern das Passwort auch in Kerberos-kompatibler Form; Ich bin weniger vertraut damit, wie das funktioniert, aber ich verstehe, dass es auch Hash-basiert ist, aber nicht annähernd so sicher wie der SALTED-SHA512-PBKDF2-Hash. Wenn Sie dafür SMB-Dateifreigabe und Kennwortkompatibilität aktivieren, wird ein NTLM-kompatibler Hash hinzugefügt, der auch viel schwächer ist.
Wie lang sollte mein Systempasswort sein?
AntwortenHierDatenschutz-Bestimmungen1y, 0v