In den frühen Versionen von Mac OS X wurden nur die ersten 8 Zeichen eines Passworts verwendet. Später erhöhte Apple diese Zahl.
Ein richtiges Passwortsystem speichert einen Hash, nicht das eigentliche Passwort. In diesem Fall ist in der Regel ein längeres Passwort/eine längere Passphrase besser, um die Chance zu erhöhen, einen nicht bereits vorberechneten Hashwert zu generieren. Ich gehe davon aus, dass Apple diese Hash-Technik zur Authentifizierung von Systemanmeldebenutzern verwendet.
It Mavericks, was ist die maximale Anzahl von Zeichen in einer Passphrase, die von Apples Benutzerkonto-Anmeldung verwendet wird?
Ich habe Passwörter mit bis zu 480 Zeichen getestet (in OS X Version 10.8.5) und es wurden alle verwendet; passwd
Um 480 hatte der Befehl ein wenig Probleme beim Festlegen von Passwörtern, aber es war etwas inkonsistent, daher bin ich mir nicht sicher, ob dies eine echte Grenze ist. Ich habe nicht mit der System Prefs-Schnittstelle getestet, weil sie das Einfügen von Passwörtern nicht zulässt, und ich auf keinen Fall etwas so lange (zweimal!) eingeben kann. Grundsätzlich wird so viel verwendet, wie Sie zum Tippen ertragen können.
Der (gesalzene und gestreckte) Hash des Anmeldekennworts wird in /var/db/dslocal/nodes/Default/users/username.plist
10.7 und höher gespeichert. Wenn Sie befürchten, dass jemand den Hash lesen kann (indem Sie beispielsweise im Einzelbenutzermodus starten) und dann ein Cracking-Tool wie DaveGrohl verwenden , um das Passwort herauszufinden, verwendet OS X seit 10.8 PBKDF2 , wodurch Cracking-Tools auf etwa beschränkt werden zehn Vermutungen pro Sekunde pro Kern.
Es dauerte ungefähr zehn Minuten, um auf meinem iMac ein zufälliges dreistelliges Passwort zu erraten:
$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack
-- Found password : 'y8d'
-- (incremental attack)
Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.
Wenn Sie keinen verteilten Angriff durchführen, ist es derzeit unpraktisch, auch nur ein zufälliges achtstelliges Passwort zu knacken, das aus ASCII-Kleinbuchstaben und ASCII-Zahlen besteht. Bei 40 Vermutungen pro Sekunde würde es etwa 36^8/40/(86400*365) ≈ 2000 Jahre dauern, um alle Optionen zu testen.
Tatsächlich ist das Speichern von Hashes eine SCHRECKLICHE Art, Passwörter "sicher" zu speichern. Von Natur aus können Hashes nicht "umgekehrt" werden, aber das hindert einen nicht daran, eine große Tabelle (genannt Regenbogentabelle ) zu erstellen, die Klartext-Hash-Paare speichert. Mit dieser Tabelle ist es möglich, einen Hash nachzuschlagen und die zugehörigen Klartext-Passwörter zu sehen.
Die akzeptierte Methode zum Speichern von Passwörtern ist die Hash- und Salt-Methode. Ein Salt ist eine zufällige, große Zeichenfolge, die mit dem Passwort kombiniert wird, bevor ein Hash berechnet wird. Dadurch wird die Eingabe des Hashs zu groß, um in einer Regenbogentabelle sinnvoll vorberechnet zu werden. Letztendlich sind die einzigen Dinge, die in einer richtigen Passwortdatenbank gespeichert werden, Hashes und Salts (die Salts können im Klartext gespeichert werden, da sie überhaupt nicht hilfreich sind, um die Hashes umzukehren).
Grundsätzlich brauchen Sie kein langes Passwort, um sich vor Rainbow-Table-Angriffen zu schützen, da Salts dies für Sie tun.
Computerphile hat ein tolles YouTube-Video über das Speichern von Passwörtern gemacht.
Was die Erstellung sicherer Passwörter angeht, ist einer der besten Ansätze die Verwendung von 4-6 mittellangen, nicht zusammenhängenden, ECHTEN Wörtern (ohne die Notwendigkeit von Symbolen/Zahlen). Dies gewährleistet ein ausreichend langes Passwort, das nicht leicht zu erraten ist und vor allem einprägsam ist (so dass Sie nie versucht sein werden, es auf eine Haftnotiz zu schreiben).
TL;DR:
Toni Williams
Toni Williams