Anmelden mit
Registrieren | Anmelden

Passwortknacken per CPU

Passwörter knacken mit GPU-Unterstützung?
Von

Es gibt zahlreiche Programme zur Rettung von Passwörtern. Die bekanntesten Vertreter sind Advanced Archive Password Recovery und Visual Zip Password Recovery Processor. Als wir versuchten, das Passwort einer WinZip-Datei zu knacken, das wir verloren hatten, konnten wir das siebenstellige Passwort mit dem ersten Programm innerhalb von 20 Minuten herausfinden. Das machte uns neugierig, und wir stellten uns folgende Fragen: Wie schnell kann ein Computer Passwörter suchen? Was wäre passiert, wenn wir eine stärkere Verschlüsselungsmethode wie z.B. AES-128 benutzt hätten?

Und noch viel wichtiger: Können es Unbefugte wirklich innerhalb von nur 20 Minuten schaffen, zu geschützten Archiven Zugang zu bekommen?

Geschwindigkeit: Brute-Force Angriff
Passwörter pro Sekunde
Advanced Archive Password RecoveryVisual Zip Password Recovery Processor
Kompression: keine
Verschlüsselung: Zip 2.0
28.357.311
20.943.157
Kompression: keine
Verschlüsselung: AES-128
9.715
Fehler
Kompression: keine
Verschlüsselung: AES-256
9.713
Fehler
Kompression: Zip
Verschlüsselung: Zip 2.0
28.492.733
20.888.938
Kompression: Zip
Verschlüsselung: AES-128
9.733
Fehler
Kompression: Zip
Verschlüsselung: AES-256
9.760
Fehler
Kompression: RAR Store
Verschlüsselung: AES-128
213
-
Kompression: RAR Store
Verschlüsselung: AES-128, Dateinamen
202
-
Kompression: RAR Normal
Verschlüsselung: AES-128
213
-
Compression: RAR Normal
Verschlüsselung: AES-128, Dateinamen
202
-

Wie sich zeigt, hat Komprimierung lediglich geringe Auswirkungen auf die Geschwindigkeit, mit der man Passwörter ausprobieren kann. Die größte Schwachstelle stellt allerdings die ältere Zip 2.0-Verschlüsselung dar: Mit einem Core i5-2500K, der immerhin gut 28 Millionen Passwörter pro Sekunde durchprobieren kann, konnten wir ihm das korrekte fünfstellige Passwort in nur wenigen Sekunden entlocken. Visual Zip fand das richtige Passwort für das mit Zip 2.0 gesicherte Archiv zwar ebenfalls, kann aber aufgrund eines Software-Problems keine beliebig langen Passwörter wieder herstellen, die mit AES-128 verschlüsselt sind.

So beeindruckend diese Zahlen zum Teil sind, so vermitteln sie uns nur das halbe Bild. Immerhin geht es hier und heute nicht darum zu sehen, wie schnell eine bestimmte aktuelle CPU in dieser Disziplin rechnet, auch wenn das zugegebenermaßen auch einen interessanten Benchmark abgeben würde. Heute interessiert uns die Geschwindigkeit,weil sie uns zeigen kann, wie schnell man ein Passwort knacken/wieder finden kann.

Suchzeit bei 28 Millionen Passwörtern/Sekunde
Passwörter mit 1 bis 4 ZeichenPasswörter mit 1 bis 6 ZeichenPasswörter mit 1 bis 8 ZeichenPasswörter mit 1 bis 12 Zeichen
Kleinbuchstaben
sofort
11 Sekunden2 Stunden
112 Jahre
Klein- und Großbuchstaben
sofort
12 Minuten
22 Tage
451.345 Jahre
Alle ASCII-Zeichen
3 Sekunden
7 Stunden
8 Jahre
701.193.345 Jahre

Selbst wenn man davon ausgeht, dass man 28 Millionen Passwörter pro Sekunde ausprobieren kann, wird das Unterfangen mit längeren Passwörtern und einer größeren Anzahl unterschiedlicher Zeichen zunehmend schwieriger. Es sind nicht gerade rosige Aussichten, den nächsten Monat damit zu verbringen ein achtstelliges Passwort aus Buchstaben zu knacken, wenn man die Datei wirklich dringend braucht. Allerdings dürften 700 Millionen Jahre selbst für den geduldigsten Anwender die akzeptable Wartezeit leicht übersteigen.

Glücklicherweise kann man mit Advanced Archive Password Recovery den Suchvorgang pausieren und den Status-quo der Suche speichern, um dann später an derselben Stelle fortzufahren. Wer mehrere Computer zur Verfügung hat, kann die Arbeitslast auf mehrere Systeme verteilen und damit die notwendige Zeit entsprechend verkürzen.

Ihre Reaktion auf diesen Artikel