Threema-Passwort knackbar?

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support
  • Hallo zusammen,


    mich würde mal brennend interessieren, ob es schlicht Methoden (z.B. für die Strafverfolgungsbehörden) zur Verfügung stehen, das gesetzte Passwort für die Einsicht in die Chats und dem Backup zu knacken. Falls dies (theoretisch und lediglich) mit Hilfe des Brute-Force-Angriffs möglich ist, wie lang sollte das Passwort mindestens sein, damit sich die Behörden geschlagen geben?


    Ich wollte zudem erfahren, ob die gängigen Verschlüsselungsprogramme (z.B. CryptBox oder Steganos Safe) für den PC genauso lediglich mit Hilfe des Wörterbuch-Angriffs geknackt werden können, was von der Passwortlänge abhängig ist.


    Viele Grüße

  • Hallo,


    ganz laienhaft gesprochen würde ich mal behaupten, dass ein Passwort mit 12 oder mehr Zeichen, welches Groß- und Kleinschreibung, Ziffern und Sonderzeichen enthält, ziemlich endgültig sicher ist. Vorausgesetzt Du trägst keinen Zettel mit Dir rum, auf dem Du Dir den Salat notiert hast ;)


    Andererseits glaube ich nicht, dass sich staatliche Institutionen diese Mühe machen, wenn Du nicht gerade auf einer Terrorfahndungsliste stehst. Für den "Rest" gibt's wohl weniger aufgeregte Routinen.


  • mich würde mal brennend interessieren, ob es schlicht Methoden (z.B. für die Strafverfolgungsbehörden) zur Verfügung stehen, das gesetzte Passwort für die Einsicht in die Chats und dem Backup zu knacken.


    Es sind alle Methoden anwendbar, um Passwörter zu knacken. Natürlich auch Brute-Force. Theoretisch zumindest, denn das Tool, welches der Angreifer dazu programmiert/nutzt, muss natürlich auf Threema (oder zumindest die Komponenten von Threema, die benutzt werden) angepasst sein.
    Außerdem hängt es hier auch davon ab, von welchem Passwort du sprichts (die Passphrase bei Android?, das Passwort beim Daten/ID-Backup?, das Widerrufspasswort?) und natürlich vom Betriebssystem.
    Im Whitepaper ist z.B. die lokale Verschlüsselung auf Seite 9 ff. erklärt und auf Seite 12 die Methode, die beim Widerrufspasswort verwendet wird (inklusive Rechenbeispiel wie lange dies Dauern würde). Bei Android wird zur lokalen Verschlüsselung beispielsweise SQLCipher eingesetzt (die genaue Funktionsweise davon wird hier beschrieben).


    Wie lang ein Passwort sein sollte und wie schnell es in einer bestimmten Konstellation geknackt werden kann, dazu gibt es verschiedene Schätzungen und Online-Portale, die nach Eingabe des Passwortes, dieses schätzen. (Wobei man da niemals ein echtes Passwort eingeben sollte!)
    Was gute Passwörter sind wird in diesem Comic erklärt: https://xkcd.com/936/ (englischsprachige Erklärung)
    Darauf aufbauend gibt es dann auch schon Passwortgeneratoren*, die auch die Zeit zum Knacken des Passworts berechnen. Die Zeit kann natürlich mehr werden, je nachdem wie es bei Threema verwendet wird (wie vorhin erklärt), aber weniger wird sie in keinem Fall (solange die Berechnung, die das Tool da macht, korrekt ist).

    *nur ein Beispiellink, keine explizite Empfehlung

  • Kann ich also so verstehen, dass sich wohl doch nicht alles mittels Brute-Force knacken lässt, soweit kein entsprechendes Tool verfügbar ist, obwohl das Passwort leicht und kurz ist? Und angenommen besteht ein entsprechendes Tool, um einen verschlüssenden Ordner z.B. WinRAR knacken zu können, wie viel Aufwand würde dann eine Strafverfolgungsbehörde höchstens investieren, um eine passwortgeschützte Datei zu "öffnen"?

  • Das wird hier niemand wissen, wie viel Aufwand eine Strafverfolgungsbehörde betreiben würde. Wird wohl auch auf den Fall ankommen. 550 Jahre werden die wohl auch nicht warten wollen, insofern sollte der Comic deine Frage beantworten.


  • Kann ich also so verstehen, dass sich wohl doch nicht alles mittels Brute-Force knacken lässt, soweit kein entsprechendes Tool verfügbar ist, obwohl das Passwort leicht und kurz ist?


    Darauf würde ich es aber nicht ankommen lassen. Einfach ein ordentliches Passwort wählen und dann brauch man sich darüber gar keine Gedanken machen.
    Oder z.B. das Handy vollverschlüsseln…