Zehn Prozent der Passwörter in fünf Stunden geknackt

Das ist eigentlich schon erschreckend, wieviele Passwörter in so einer kurzen Zeit (einige Minuten) durchprobiert werden können. Da bleibt nur dazu zu sagen:

Macht Euch lange Passwörter mit möglichst vielen verschiedenen Zeichen und Zahlen, auch Sonderzeichen, wie "§", "²", "°", oder "~". Das macht es den Buteforcern umso schwieriger und die erforderliche "Knackzeit" steigt von ein paar Minuten bei einem einfachen Passwort bis auf einige viele Monate oder sogar über 1 Jahr bei vielen Zeichen mit Groß- und Kleinschreibung und mit Sonderzeichen.

Hatte auch schon so ein paar "Spezis" die auf meine Box wollten, bisher hat´s aber noch keiner geschafft:-)

Grüße:)
souler

Deswegen sollten BruteForce attacken sowieso immer blockiert werden und man sollte salted-hashes nutzen und nicht mehr normale..

Elendigen Rainbow-Tables

Ich denk mir mal ein Passwort aus, was meint ihr wie sicher zB.dies wäre ?: MieNosaR8o8&

seitdem es Tools gibt, die die GPU zum rechnen dazu nehmen können ist es auch nicht mehr so aufwendig lange Passwörter mit Sonderzeichen zu erlangen.
Wofür man sonst Monate brauchte geht nun in 1-2 Tagen und manchmal nur Stunden.
dazu kommt die immer höhere Rechenleistung von GPU(s) und CPU(s)

Es gibt auf der "dunklen Seite" des Internets auch Rainbowtables die Unterstützung für Sonderzeichen bieten .....

Grundlegend kann man das so nicht beantworten..

Klar ist ein Passwort desto länger es ist und mehr Sonderzeichen/Zahlen/Buchstaben es hat besser als ein kurzes ohne sonstigem.

Nur wenn der Server/Applikation BruteForce zulässt, ist es nur eine Frage der Zeit, bis wann das geknackt ist.

Desweiteren ist auch die Frage wie die Passwörter abgespeichert werden.. Werden sie 1:1 in eine Datenbank geschrieben (= so ziemlich das schlimmste) oder werden diese gehashed (schon besser) oder via salted-hash (zZ wohl die beste Möglichkeit) in die Db geschrieben..

Hat man nun einen Dump von der Passwort-DB, so haste mal die Arschkarte, wenn das Passwort 1:1 in der DB steht.
Ja selbst, wenn es mit einem Masterpasswort verschlüsselt ist, ist das nicht die beste Lösung (btw. -> speichert niemals Passwörter in Browsern, beim FF kann man diese einfach via dem Menü anzeigen lassen, bei den anderen Browsern isses bißchen schwerer, aber tjo...)

Danach kommen die normalen Hash-Passwörter. Dh, vom PW wird ein Hash (MD5, etc) erstellt und dieser wird in der DB gespeichert. Vorteil von Hash-verfahren ist, dass man vom Ergebnis nicht zurückrechnen kann (bis man das Verfahren knackt oder auf nen Logikfehler draufkommt - siehe MD4).
Problem bei den Hash-Passwörtern sind die sogenannten RainbowTables. Das sind unmengen von Hash-Datensätzen und da steht nicht nur der zB MD5 Wert, sondern auch der Klartext..
Wenn man nun einen Hash-PW-Dump hat, kann man das mit gewisser Rechenpower schnell rausfinden...

Bei salted hash, ist der Hash vom gleichen Passwort nicht der gleiche. Somit wären RainbowTable Angriffe um einiges schwerer, wobei auch nicht unmöglich.. Da ich mal einen SMD5, etc. in Java nachprogrammiert habe, weiß ich das ein Teil vom alten Passwort/salted Hash von der DB genommen wird und mit dem neuen PW verknüpft wird.
Danach kommt halt der gleiche Hash raus = Passwort OK!

Dh, mit Rainbow Tables kann man auch salted Hashes knacken, nur braucht man mehr Rechenpower + längere Zeit, weil man das Passwort erst ausrechnen muss.. Bei normalen Hash-Datensätzen vergleicht man ob diese ident sind..

Hat man nun ein PW mit vielen Sonderzeichen/Zahlen und am Besten keine Wörter, sondern Zufallszeichen, dann (hoffentlich) wird es dafür auch nicht so schnell Rainbowtables geben -> dh, man muss wieder zu BruteForce greifen....

Resume: Ein längeres mit Sonderzeichen/Zahlen versetztes Passwort ist immer besser, aber wenn die Applikation dumm programmiert (lässt BruteForce zu oder speichert es im Klartext) ist, dann hilft einem auch das nichts...

Nur gut das nicht jeder hacken kann.

Hallo Lack,

das war mal mit Jahren und ist so nicht mehr gültig. Es gibt mittlerweile nette cmd Tools, mit denen sich sogar ein MD5 Wert zurückrechnen lässt, z.B. aus einer SQL DB, und das geht sogar mit 15 Zeichen und enthaltenen Sonderzeichen recht fix mit 2 GPUs.
die Rechenpower von Grafikkarten ist gradezu perfekt dafür.
Natürlich steigt die Dauer an, je länger das Passwort ist, aber auch Bruteforce ist mittlerweile sehr effektiv. Für ein 13stelliges Passwort in Excel habe ich drei Tage gebraucht, ein MD5 Wert aus einer SQL DB hat 6 Tage gedauert, und das mit eher mittelmässiger Hardware und nur einer Grafikkarte

So habe ich anfangs auch gedacht und habe es ausprobiert und wurde eines Besseren belehrt, 1 Millarde PWs pro Sekunde sind schon länger kein Wert mehr, nur für Einzelrechner.
Es wird natürlich auch bezweifelt, dass man mehrere PCs im internen Netz zu einer Rechenleistung zusammen schalten kann, dann ist 1 Millarde Passwörter pro Sekunde eher langsam

Probiere es selbst aus, Du wirst erstaunt sein. Es sind nicht alle Tools gleich zu finden, aber mit etwas Geschick findet man auch die Tools, die GPU UND CPU nutzen und auch Netzrechenleistung nutzen.
Ich werde hier keine Links posten, aber die Suche nach MD5 Hash errechnen bringt einen schon ein Stück näher. Hashcat oder hashgpu sind nur einige von Tools, die das können. Es gibt unterschiedliche Versionen und auch Softwarevoraussetzungen, erfüllt man alles und sieht sich die Parameter genau an, kommt man auch zum Ziel.
Es wird immer das eine oder andere Passwort geben,was man nicht errechnet, aber ich habe es mit 2 Dingen getestet, und beide haben funktioniert. Das Excelpasswort war 13stellig, der DB MD5 hash nur 7stellig, aber dafür das jeder sagte, das kann man nicht errechnen hat es gut geklappt.
Hier ging es auch nicht um Illegales, das waren Passwörter meiner Vorgänger, die schlicht nirgends eingetragen waren.
Wie gesagt, ich habe dem erst auch keinen Glauben geschenkt, aber was kostet es mich, einen ungenutzten PC mal ein paar Tage laufen zu lassen,nichts, und es hat geklappt.

Der Hash war nicht gemeint, sondern das Ergebnis/Passwort.

Wie gesagt, probiers halt aus oder nicht, mir gings nur drum, es ist möglich

nein, weil ich keine Zeit habe dafür. Ich will es auch nicht weiter aufbauschen, dafür ist das Thema zu heikel. Aber mach Dir beizeiten einfach mal die Mühe und schau auf hashcat net vorbei oder anderen ähnlichen Tools, es gibt dazu einige, die auch funktionieren. Dort kannst Du auch gern Deinen Hash posten, es wird sicher jemanden geben, der hobbylos ist und ihn errechnet

Ich hätte einen Bruteforce vor ein paar Monaten tatsächlich gebraucht, bzw. bräuchte es immer noch.

Dabei ging es um ein Excel 2007 Dokument. Als Software wurde Elcomsoft Advanced Office Password Recovery eingesetzt, auf einem Fujitsu TX200 mit einer Single Intel XEON E5620 CPU.

Da nichts über das PW bekannt war, musste natürlich alles probiert werden: groß,klein,zahl,sonderzeichen in jeglicher Variante. Nach 8 Tagen dauerlauf, die Software konnte sich die ganze CPU zu 100% nehmen. Hab ich bei 14% mit 5 Stellen abgebrochen... Laut Programm konnten ~1300 Passwörter / Sekunde getestet werden.

Soweit ich weiß hat ein PC einen Zeichensatz von 256.

Also wenn man nun von einem 13-stelligen "binären" Passwort , also "0" und "1" ausgehen würde hätte man also 2 hoch 13 = 8192 Kombinationen--> leicht knackbar...

Aber bei einem 256 Zeichen umfassenden Zeichensatz also 256 hoch 13 = 20282409603651670423947251286016 Kombinationsmöglichkeiten-->das sind glaube ich 20,282 Dezillionen Passwörter! Das genze geteilt durch 1300pro sec.=15601853541270515710728654835,397 Kombis gesamt in Sekunden.

Das ganze durch 60 und nochmal durch 3600 und durch 24 und 365 = Zeit in Jahren...

8245525505914148756,3042527246094

Wenn ich mich also nicht irre, sollten das 8,245 Quadrillionen Jahre sein.:) Ich glaube bis dahin hat sich eh das ganze Universum in nichts aufgelöst...

Das ist jetzt nun alles Theorie, würde aber bestätigen was Lack geschrieben hat...
Wenn es nicht einen Zufallstreffer gibt, ist es nahezu unmöglich ein gutes Passwort zu knacken!

Grüße:)
souler