it-swarm.com.de

Ist es möglich, alle 8-Zeichen-Passwörter bei einem Offline-Angriff brutal zu erzwingen?

Dieser Artikel besagt:

Brute-Force-Techniken, die jede mögliche Kombination von Buchstaben, Zahlen und Sonderzeichen ausprobierten, hatten es auch geschafft, alle Passwörter mit acht oder weniger Zeichen zu knacken.

Es gibt 6,63 Billiarden mögliche 8-Zeichen-Passwörter, die mit den 94 Zahlen, Buchstaben und Symbolen generiert werden können, die auf meiner Tastatur eingegeben werden können. Ich bin skeptisch, dass viele Passwortkombinationen tatsächlich getestet werden könnten. Ist es heutzutage wirklich möglich, so viele Möglichkeiten in weniger als einem Jahr zu testen?

26

Gemäß diesem Link dauert das Knacken eines 8-stelligen Passworts mit 96 Zeichen bei einer Geschwindigkeit von 1.000.000.000 Passwörtern/Sek. 83,5 Tage. Forschung präsentiert bei Passwort ^ 12 in Norwegen zeigt, dass 8-stellige NTLM-Passwörter nicht mehr sicher sind. Sie können in 6 Stunden auf der Maschine geknackt werden, was 2012 ~ 8000 US-Dollar kostete.

Eine wichtige Sache, die Sie berücksichtigen sollten, ist, welcher Algorithmus zum Erstellen dieser Hashes verwendet wird (vorausgesetzt, Sie sprechen von Hash-Passwörtern). Wenn ein rechenintensiver Algorithmus verwendet wird, kann die Rate des Passwort-Crackings erheblich reduziert werden. Im obigen Link hebt der Autor hervor, dass "der neue Cluster trotz seiner vierfachen Geschwindigkeitssteigerung nur 71.000 Vermutungen gegen Bcrypt und 364.000 Vermutungen gegen SHA512crypt anstellen kann".

32
Jor-el

Ich habe gesehen, dass dies nicht auf 2018 aktualisiert wurde.

Hashcat bricht in 8 Tagen ein 8-Zeichen-Passwort (a-zA-Z0-9! - =) auf einer einzelnen 1080 Nvidia-GPU.

(enter image description here

Hier ist ein Bild eines Mining-Rigs mit GPUs, das auch für das Knacken von Hashs eingerichtet werden könnte:

(Bitcoin Rig

Möglich? Ja, aber welche Brute-Force-Wiederherstellungsdauer wird als möglich akzeptiert? Einige Zahlen für 8 Zeichen PW, wenn zufällig aus einem 94-Zeichen-Satz ausgewählt:

  • Windows PW (NTLM: 1) unter Verwendung des oben genannten 25-GPU-Wiederherstellungsmonsters: durchschnittlich 2,2 Stunden
  • WiFi (PBKDF2/SHA1: 4096) mit einem 8-GPU-Wiederherstellungssystem: durchschnittlich 98 Jahre
  • 7Zip (PBKDF2/SHA256: 262144) unter Verwendung eines 8-GPU-Wiederherstellungssystems: 26 Jahrhunderte

So ist es für uns in bestimmten Fällen "möglich", in einigen oben genannten Fällen für einige Agenturen ja.

Angenommen, Ihr Satz "erhaltener" Hashes enthält 5 Millionen Passwort-Hashes. Selbst für den 98-jährigen WiFi-Fall werden am ersten Tag 145 Schlüssel gefunden (im Durchschnitt). Wenn Ihr Passwort darunter ist, dann erleben Sie, dass es auch für den WiFi-Fall tatsächlich möglich ist! .... wenn meine Berechnungen stimmen

6
Dick99999

Ich kenne eine bescheidene Demonstration (Februar 2012, Link ), die behauptete, 400 Milliarden Vermutungen pro Sekunde auf einem 25-GPU-System anstellen zu können. In diesem Fall würde ein 8-stelliges Passwort in weniger als 6 Stunden gelöscht. früher abhängig von der Brute-Force-Methode. Dies setzt jedoch voraus, dass der Angreifer Zugriff auf die Datei hat, in der das verschlüsselte Kennwort gespeichert ist. Und ehrlich gesagt ist das einfach, wenn Sie Zugriff auf den Computer selbst haben. Selbst wenn Sie nicht auf die Festplatte gelangen können, ersetzt der Angreifer die Tastatur einfach durch einen Computer, der Tastenanschläge viel schneller sendet, als Sie eingeben können. Aufgrund der Geschwindigkeit der USB-Verbindung kann es länger dauern, aber die Tipprate des Menschen ist in dieser Angelegenheit keine gute Referenz.

Als Anmerkung.....

In Bezug auf die in einem Passwort verwendeten Zeichen ist dies nicht ganz so einfach, wie die meisten Leute sagen. Am wichtigsten ist, was der Angreifer erwartet, und nicht welche Charaktere Sie ausgewählt haben. Mit anderen Worten, am wichtigsten ist, welche Zeichen JEDER im System verwendet, nicht nur Sie. Zum Beispiel ist eine zufällige Folge von 'X', 'Y' und 'Z' genauso schwer zu erraten wie eine zufällige Folge aller Buchstaben des Alphabets ... solange die Angreifer nicht wissen, dass Sie X bevorzugen, Y und Z. Wenn dem Angreifer jedoch trotz der Verfügbarkeit von 100 Ziffern bekannt ist, dass jeder nur X, Y und Z verwendet, kann der Angreifer den Brute-Force-Angriff eingrenzen und den Vorteil von 100 Ziffern negieren Sicherheitssystem. Das Prinzip ist identisch mit dem des Wörterbuchangriffs. Aus diesem Grund können Sysadmins jeden dazu zwingen, unterschiedliche Zeichentypen zu verwenden. um sicherzustellen, dass ein potenzieller Eindringling alle Permutationen ausprobieren muss.

Dies bedeutet nicht, dass die in einem Kennwort verwendeten spezifischen Zeichen keinen Einfluss auf die Geschwindigkeit haben, mit der es beschädigt wird. Das heißt, wenn jemand sagt, dass "ein 8-stelliges Passwort 10 Jahre Pause macht", sind 10 Jahre die maximal erforderliche Zeit. Eine genauere Aussage wäre: "Es dauert 10 Jahre, um alle Kombinationen von 8-stelligen Passwörtern zu testen." Tatsache ist jedoch, dass einige Passwörter je nach Charakterauswahl und Angriffsmethode viel schneller erraten werden. Wenn Ihr 100-stelliges alphanumerisches Kennwortsystem (z. B. 0-9 ...... AZ) und der Brute-Force-Angriff sequentielle Vermutungen verwenden, wird ein Kennwort, das mit einer '0' beginnt, mindestens 100x gebrochen schneller als ein Passwort, das mit dem LAST-Zeichen in dieser Reihenfolge beginnt (nennen wir es 'Z'). Dies ist jedoch schwierig zu handhaben, da Sie nie wissen können, welche Reihenfolge der Angreifer verwenden darf. Betrachtet der Angreifer beispielsweise A oder 0 als erste Ziffer? Und ist Z oder 9 die letzte Ziffer? Oder wenn der Angreifer weiß, dass jeder Kennwörter verwendet, die mit Zeichen gegen Ende des Alphabets beginnen, kann er Brute-Force in umgekehrter Reihenfolge versuchen, und das Kennwort, das mit '0' beginnt, ist sicherer.

Leider hängt die Geschwindigkeit, mit der Passwörter gebrochen werden, ebenso von der Anzahl der Ziffern ab wie von der Vorhersagbarkeit des menschlichen Verhaltens.

2
codechimp

Aus dem bit9 Blog :

Damit ein Passwort als sicher angesehen werden kann, muss es wirklich zufällig und eindeutig sein.

Was bedeutet es, wirklich zufällig zu sein?

Viele Leute wählen oft ein Basiswort für ihr Passwort, wie "Passwort", und wandeln es in logisch "komplex" um. Sie ersetzen also Buchstaben durch Sonderzeichen oder Ziffern und fügen Großbuchstaben hinzu. Ein Passwort, das "Passwort" war, wird also zu P @ 55w0rD. Wenn es sich bei jedem Buchstaben um einen Groß-, Klein- oder Sonderzeichen handelt, gibt es tatsächlich 6.561 (38) Versionen von „Passwort“ - was alles andere als unzerbrechlich ist.

Ein Hacker, der eine Brute-Force-Technik einsetzt, beginnt also nicht nur mit "aaaaaaaa" und geht die Liste "aaaaaaab", "aaaaaaac" usw. durch. Er wird Intelligenz auf das Knacken anwenden. Diese Intelligenz beinhaltet meistens die Verwendung allgemeiner Basiswörter. Er wird also nicht nur versuchen, das sehr einfache „Passwort“ zu knacken, sondern auch alle 6.561 Versionen, um das komplexe „P @ 55w0rD“ aufzunehmen.

Es gibt ungefähr 220.000 Wörterwörter im Wörterbuch, was bedeutet, dass selbst wenn Sie Ihrem transformierten, auf Basiswörtern basierenden Passwort bis zu drei zusätzliche Ziffern hinzufügen und so etwas wie "P @ 55w0rD123" bilden würden, ein Computer ungefähr 26 Minuten brauchen würde, um es zu knacken - egal wie lang das Passwort ist. Bei vollständiger Zufälligkeit eines Passworts können Hacker keine allgemeinen Word-Grundannahmen für Ihr Passwort treffen und den Brute-Force-Raum verringern.

Aber das ist nicht alles. Ein sicheres Passwort muss ebenfalls eindeutig sein.

Was bedeutet es, einzigartig zu sein?

Leider speichern einige Unternehmen immer noch tatsächliche Textkennwörter in ihren Datenbanken anstelle der Hashes. Wenn ein Hacker in das System eindringt, hat er jetzt mehr Basiswörter, die er seinem Dienstplan hinzufügen kann. Wenn Sie also dasselbe Passwort oder sogar Basis-Word für zwei Konten verwenden und eines davon kompromittiert ist, egal wie lange oder zufällig es ist, sind Hash und Passwort jetzt bekannt. Der Hacker kann sich dann bei jedem Konto anmelden, für das Sie dasselbe Kennwort verwenden. Dies bedeutet auch, dass Sie gefährdet sind, wenn jemand anderes Ihr Passwort oder eine Version davon wie oben beschrieben verwendet.

1
Matt

Verwechseln Sie nur nicht die Techniken zum Knacken von Passwörtern mit brutaler Gewalt.

Brute Force bedeutet wörtlich, mit 1 Zeichen zu beginnen, das alle möglichen alphabetisch versucht, und dann zu 2 Zeichen, 3, 4 usw. zu wechseln.

Sobald ein Algorithmus oder eine heuristische Logik angewendet wird, wird sie nicht mehr als Brute Force bezeichnet.

Warum reden die Leute immer noch über rohe Gewalt? Der Grund dafür ist, dass Sie für die Anwendung einer Brute-Force-Technik keine besonderen Überlegungen benötigen und die Anzahl der Personen, die eine Brute-Force-Technik ausführen können, wahrscheinlich zehnmal größer ist als die Anzahl derer, die ein Cracking-Tool aus dem Internet herunterladen können Verwenden Sie es zum Knacken von Passwörtern.

Ein weiterer Grund ist, dass, wenn ich ein hartes 8-stelliges Passwort wie j$d1Ya+3 Gewählt hätte, die "intelligenten" Techniken nicht viel helfen würden, so dass einige Leute verstehen wollen, wie lange es dauern wird, bis die rohe Gewalt funktioniert.

1
mel