Passwort mit Brute Force knacken (Dauer?)

« Vorherige1Nächste »

Status: Gelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |

Keba Ehemalige Anmeldungsdatum: 24. Juli 2007 Beiträge: 3802	Zitieren 29. Juli 2007 19:19 Wie lange braucht man ca um mit Brute-Force-Methode]Brute[/wikipedia] Force[/url.] dein Linux Passwort zu knacken? Gemeint ist das Passwort, was man bei der Einwahl eingeben muss. PS: Nur so aus Intresse,ich will nix hacken
networkgamer Anmeldungsdatum: 25. September 2005 Beiträge: 971	Zitieren 29. Juli 2007 19:52 Bestimtm lange.................. 😢
Chrissss Anmeldungsdatum: 31. August 2005 Beiträge: 37971	Zitieren 29. Juli 2007 20:04 Probiers aus ☺ John_the_Ripper
Gnorksy Anmeldungsdatum: 9. April 2006 Beiträge: 222	Zitieren 29. Juli 2007 20:24 Hi, angenommen dein Passwort ist "gut": 10 Stellen, Groß-Kleinschreibung, Sonderzeichen und Zahlen. Das heißt es gäbe für eine Stelle deines Passwortes 139 Möglichkeiten (und ich hab bestimmt noch eine Taste übersehen...). Dann gibt es 139^10 = 2 692 452 204 196 940 400 601 mögliche Kombinationen für dein Passwort (das sind mehr als 2 Quadrillionen wenn ich mich nicht täusche...). Angenommen dein PC kann in einer Sekunde 1000 Mögliche Kombinationen überprüfen (und das ist viel...), dann bräuchte er (2 692 452 204 196 940 400 601 / 1000) / 60 / 60 / 24 / 356 = 87535509135,616299957 ~ 87 535 509 135 1/2 Jahre. Viel Spaß mit John The Ripper ☺ PS: Hat jemand eine Ahnung was ein realistischer Wert für die ANzahl der geprüften Passwörter pro Sekunde wäre? Grüße, Gnorksy
Lunar Anmeldungsdatum: 17. März 2006 Beiträge: 5792	Zitieren 29. Juli 2007 21:03 Das kommt ganz auf die Umgebung an. Hast du Zugriff auf den Passworthash (z.B. aus /etc/shadow oder einer Datenbank gelesen), dann hängt das Knacken nur noch von CPU und Speicherleistung ab. Was genau in diesem Fall realistisch ist, weiß ich nicht, aber das kann man ja relativ einfach ausprobieren. Anders sieht es z.B. aus, wenn du das System "von außen" knacken, also den Login-Vorgang eines Servers durchlaufen musst. Gute SSH Implementierungen z.B. legen zwischen Passwortversuchen immer eine Pause von einer halben Sekunde ein, und brechen nach drei erfolglosen Versuchen die Verbindung ab. Dann kann man im Endeffekt weniger als ein Passwort pro Sekunde testen, weswegen entfernte Brute-Force-Angriffe ohne direkten Zugriff auf den Hash des Passwortes kaum Sinn machen. Auch die Anmeldemasken von KDE, Gnome und Getty legen Zwangspausen nach falschen Eingaben ein, wie dir sicher schon mal aufgefallen ist.
mythos Anmeldungsdatum: 14. Juli 2006 Beiträge: 1080	Zitieren 29. Juli 2007 21:10 Es geht noch anders. Es gibt solche HashDatenbanken. Dort werden alle Hashwerte zu (fast) jeder Zeichenkombination gelistet. Kostet natürlich etwas, wenn man diese nutzen möchte. und ein "select * from table all_hashes where hash = <myhash> " ist natürlich viel schneller als Bruteforce. Vorausgesetzt man hat zugriff auf die passwd Datei. mfg mythos
Gnorksy Anmeldungsdatum: 9. April 2006 Beiträge: 222	Zitieren 29. Juli 2007 21:20 Hi, mythos hat geschrieben: Es geht noch anders. Es gibt solche HashDatenbanken. Dort werden alle Hashwerte zu (fast) jeder Zeichenkombination gelistet. Kostet natürlich etwas, wenn man diese nutzen möchte. Die Dinger heißen Rainbow-Tables und müssen nicht kostenpflichtig sein: http://freerainbowtables.com/ Grüße, Gnorksy
hoergen Ehemalige Anmeldungsdatum: 8. Juni 2006 Beiträge: 2313	Zitieren 29. Juli 2007 21:27 bestimmt nur 2 Minuten. Dem hoergen
comm_a_nder Anmeldungsdatum: 5. Februar 2006 Beiträge: 2533	Zitieren 29. Juli 2007 21:28 mythos hat geschrieben: Es geht noch anders. Es gibt solche HashDatenbanken. Dort werden alle Hashwerte zu (fast) jeder Zeichenkombination gelistet. Kostet natürlich etwas, wenn man diese nutzen möchte. und ein "select * from table all_hashes where hash = <myhash> " ist natürlich viel schneller als Bruteforce. Vorausgesetzt man hat zugriff auf die passwd Datei. mfg mythos Dein Wissen ist steinalt. Du kannst gerne meine passwd haben. Dort wirst Du keine Hashes finden. Du kannst auch gerne versuchen einen der Hashwerte aus /etc/shadow mittels einer Hashdatenbank zu knacken. Wenn Du denn eine mit SALT Unterstützung findest.
Lunar Anmeldungsdatum: 17. März 2006 Beiträge: 5792	Zitieren 29. Juli 2007 21:29 Das Gegenmittel lautet Salting. Dadurch wird jedes vorausberechnete Wörterbuch hinfällig. Btw, die erwähnten freien Tabellen sind nicht unbedingt nützlich. Ich habe mir SHA1 angeschaut: Die Tabelle enthält alle Hashes von Zeichenketten bestehend aus alphanumerischen Zeichen bis zu sieben Zeichen Länge. Und wird folglich total sinnlos, wenn jemand auch nur einen einzigen Punkt im Passwort hat, oder acht Zeichen verwendet. Trotzdem ist sie bereits in komprimiertem Zustand 37 GB groß. Rainbow-Tables kosten also tatsächlich etwas, und zwar Unmengen Speicherplatz. Tabellen selbst zu erzeugen, ist im Übrigen auch sinnlos, weil dies die Zeit zum Brechen eines Passwortes gegenüber einfachem Brute-Force nur erhöht. @hoergen: Ein Passwort ist in dieser Zeit sicherlich nicht geknackt (und schon gar nicht mit Tabellen). Allein der Download von 30 GB dürfte wesentlich länger dauern 😉
mythos Anmeldungsdatum: 14. Juli 2006 Beiträge: 1080	Zitieren 29. Juli 2007 21:36 Ja sorry, habe mich vor Jahren mal damit beschäftigt -__- Aber danke, dass ihr mich aufgeklärt habt. Lerne ja gerne dazu \^^. mfg mythos
user_unknown Anmeldungsdatum: 10. August 2005 Beiträge: 17630	Zitieren 30. Juli 2007 06:15 Gnorksy hat geschrieben: angenommen dein Passwort ist "gut": 10 Stellen, Groß-Kleinschreibung, Sonderzeichen und Zahlen. Das heißt es gäbe für eine Stelle deines Passwortes 139 Möglichkeiten (und ich hab bestimmt noch eine Taste übersehen...). Dann gibt es 139^10 2 692 452 204 196 940 400 601 mögliche Kombinationen für dein Passwort ¶ Die Empfehlung lautet, Buchstaben in Groß-Kleinschreibung zu nutzen, und 'punctation', und interpretiert man punctation als das, was unter C als solche gilt, dann kommt man auf 93 Zeichen. Tasten haben nur sehr indirekt mit dem Passwort zu tun. Gegen die Nutzung von äöüÄÖÜß spricht, daß sie auf ausländischen Tastaturen nicht immer leicht zu erzeugen sind. Dann gibt es 93^10 _ _48 398 230 717 929 318 249 Kombinationen, mit 8 Zeichen Länge sinkt es ab auf 93^8 = _ ___ __5 595 818 096 650 401 Kombinationen. Gnorksy hat geschrieben:¶ Angenommen dein PC kann in einer Sekunde 1000 Mögliche Kombinationen überprüfen (und das ist viel...), Wieso ist das viel? Wieso nicht 250 000 pro Sekunde? Gnorksy hat geschrieben: PS: Hat jemand eine Ahnung was ein realistischer Wert für die ANzahl der geprüften Passwörter pro Sekunde wäre? Das kommt eben sehr auf das Angriffsszenario an. Bei einem Angriff ohne Salt auf eine lokale Kopie der Shadowdatei sind 100 000 - 1 000 000 Angriffe pro Sekunde auf einem heutigen Durchschnittsrechner ohne weiteres machbar. Hat man ein Botnetz mit 1 Mio. Rechnern zur Verfügung kann man sich ausrechnen, daß es flugs die Millionenfache Leistung ist. 😉 Ich habe mal ein Programm geschrieben, um zu prüfen, ob es sich lohnt, das Passwort regelmäßig zu ändern. Bei 8 Zeichen Länge, aus 93 Zeichen und angenommenen 250 000 Attacken, und des weiteren angenommen, man ändert das Passwort alle 7300 Tage (ca. alle 20 Jahre) und beobachtet das 30 Intervalle (=600 Jahre): java PasswordCrackProb 8 93 250000 s 7300 30 len = 8 signs = 93 attacks per day = 21 600 000 000 change after days = 7300 intervals = 30 days = 219000 years = 600 M = 5 595 818 096 650 401 attacks = 4 730 400 000 000 000 p(cracked) = 0,8453456 without change p(cracked) = 0,5757720 with change dann ist man mit 84%iger Sicherheit geknackt, wenn man nicht gewechselt hat - mit 57%iger Sicherheit ist man gehackt, wenn man regelmäßig wechselt. Betrachtet man nur 60 Jahre, dann ändert sich nur der Wert ohne Wechsel linear (zu 8%): p(cracked) = 0,0845346 without change p(cracked) = 0,0821749 with change Wie man sieht hat da der Wechsel kaum Vorteile - gerundet ebenfalls 8%. Das Programm kann man hier: http://home.arcor.de/hirnstrom/minis/index.html#pwdcrack runterladen. Da aber sich niemand gerne ein Passwort wie ;;7.-aUZ merkt ist es deutlich leichter das Passwort mit John zu knacken. Wie sieht denn die Ubuntu-Einstellung für ssh aus? Ich meine, ich habe bei mir die Werte für MaxStartups 5:90:10 manuell eingefügt.
wabtitvev Anmeldungsdatum: 2. Juli 2006 Beiträge: 284	Zitieren 30. Juli 2007 11:12 Eine künstliche Wartepause bei falschem Passwort verlängert die Dauer. Das Passwort sollte min. 1000 Zeichen lang sein und sich automatisch jede Minute ändern. Dann brauch der Hacker schon sehr viel Glück, um es zu knacken... Der Haken: Mit (unglaublich fast unmöglich viel) Glück kann man das Passwort dennoch erraten, eine Authentifizierung die ohne Passwort auskommt, wär besser. Zudem kostet das ständige Übermitteln des Passwortes Bandbreite.
Keba Ehemalige (Themenstarter) Anmeldungsdatum: 24. Juli 2007 Beiträge: 3802	Zitieren 30. Juli 2007 12:43 ja klar, mit Glück ist das nicht schwer, ich könnte ja mal ausprobieren ab in diesem Forum daniel12 dummerweise das Passwort daniel oder dani genommen hat, da wäre sehr großes Glück!