Wer denkt, seine Daten sind in einem verschlüsselten Archiv dank Passwort geschützt, wird sich wundern: Wir wollten wissen, wie schnell man mit einer Grafikkarte Passwörter knacken kann. Soviel sei gesagt: Wertvolle Daten sollten besser geschützt werden!
Wer seine Schlüssel schon einmal im Auto eingeschlossen hat, der weiß, dass das keine spaßige Angelegenheit ist. Glücklicherweise ist das ein Fehler, der den meisten Menschen nur einmal unterläuft und durch den auch nichts weiter passiert. Man passt künftig schlichtweg besser auf seine Schlüssel auf und weiß immer wo sie liegen.
Trotz aller Bemühungen gelingt es vielen jedoch nicht, genauso gewissenhaft auf die digitalen Schlüssel (Passwörter) zu achten. Dafür sind es vielleicht auch einfach zu viele, da Anwender generell dazu angehalten werden, auf jeder Seite ein anderes Passwort zu benutzen. Physische und Digitale Schlüssel haben trotz ihrer unterschiedlichen Beschaffenheit dennoch etwas gemeinsam. Geht ein physischer Schlüssel endgültig verloren, dann ist man auf die Hilfe Dritter angewiesen, wie zum Beispiel einen Schlüsseldienst.
Ähnliches gibt es auch für Passwörter, zumindest in gewissem Maße. Egal, ob es sich um Emails oder Bankkonten handelt – ein Passwort für ein Online-Konto wiederherzustellen ist relativ einfach. Meistens gibt es einen Link wie “Passwort vergessen”, mit dem man erneut Zugriff auf sein Konto erhalten kann. Die Rettungsmöglichkeiten für digitale Dateien sind in der Hinsicht weniger aussichtsreich. Auf dieses Problem sind wir selbst kürzlich gestoßen, als wir auf ein verschlüsseltes WinZip-Archiv zugreifen wollten.
Bevor wir genauer auf die Rettung von Passwörtern eingehen, wollen wir darauf hinweisen, dass es zahlreiche Möglichkeiten gibt, Daten effizient und wirksam zu schützen. Wer nach einer etwas umfangreicheren Lösung sucht, sollte sich ein Produkt wie TrueCrypt genauer ansehen. Diese Lösung ist aufgrund der Unterstützung von Intels AES-NI-Erweiterungen recht attraktiv. Die wohl am weitesten verbreitete Methode, Daten vor dem Zugriff dritter zu schützen, dürfte dennoch das Verschlüsseln von Archiven sein. Ganz egal ob man in der Personalabteilung arbeitet und Löhne an die Mitarbeiter überweisen muss oder seine persönlichen Fotos noch etwas privater halten möchte – ein Archiv zu verschlüsseln geht einfach und schnell.
Was die Sicherheit anbelangt, hält sich ein Missverständnis aber hartnäckig. Wer sich in Bezug auf Sicherheit eher zu den paranoiden Anwendern zählt, wird sich zweifellos für die derzeit stärksten und damit sichersten Verschlüsselungsalgorithmen entscheiden. Der Gedankengang ist auch nachvollziehbar: eine stärkere Verschlüsselung ist schwieriger zu knacken, weshalb man AES-256 eben AES-128 vorzieht. Ganz so einfach ist das aber nicht, und diese Rechnung geht nicht auf.
Stellen wir uns Verschlüsselung wie einen großen Tresor vor, dann ist die passende Parallele: Je schwerer die Panzerung, desto schwieriger der Einbruch. Trotzdem ist ein Tresor eben nur so sicher, wie der verwendete Schließmechanismus. Genau das ist die Funktion eines Passworts, das als Schlüssel zum Daten-Tresor agiert. Je länger das Passwort, desto komplizierter ist der Verriegelungsmechanismus und desto besser sind die Daten geschützt.
Die meisten Anwender gehen davon aus, dass ein Passwort mit acht Zeichen gegen die Angriffe von Hackern ausreicht. Das ist leider nicht ganz richtig, und wir wollen erklären auch genau erklären, warum das so ist.
Was ist heute schon sicher, wenn man die Hacker Attacken der letzten Monate im Netz verfolgt hat. Die Netzabsicherung kann noch so gut und modern sein einen Weg diese zu überlisten haben spezielle Hackergruppen aufgezeigt!
siehe: http://www.baekdal.com/tips/password-security-usability
Ansonsten: schöner Artikel
Diese Hochrechnungen sind ja alle ganz nett zu lesen, aber müsste man in die Hochrechnungen nicht noch Moores Law oder eines dessen realistischeren Derivate berücksichtigen?
Ansonsten fehlt mir in dem Artikel ein bisschen die Lösung des Problems. Das mag vielleicht gar nicht der Sinn des Artikels gewesen sein, aber ein kleiner Link zu einem Artikel in dem man liest, wie man sich jetzt ordentliche Passwörter erstellt bzw. merken kann, wäre schön gewesen.
Dort gibt es mittlerweile Software die wirklich jenseits von Gut und Böse sind. Wen es interessiert einfach mal hier klicken:
http://3.14.by/en/md5 BarsWF
http://whitepixel.zorinaq.com/ WhitePixel (~28.6 billion password/sec)
ich verwende bis jetzt immer md5 unter linux, heißt das nun ich sollte besser zu aes wechseln?
MD5 ist ein Hashalgorithmus, AES ist ein Verschlüsselungsalgorithmus, was genau willst du denn überhaupt machen?
MfG
Mr. J
Rate mal was Buchstaben und Sonderzeichen sind. Richtig, der ASCII Code
Wäre aber auch cool sein Passwort in Hex oder Binärcode einzutippen.
Mit ASCII sind hier 26 Groß-, 26 Kleinbuchstaben, 10 Zahlen und noch 32 Sonderzeichen gemeint, gesamt 94 der 127. Also nicht alle bzw. alle möglichen Zeichen die direkt eingebbar sind. (8836^1/2)
Jepp, ich meine das ernst.
Denn wenn ich ALT 65 drücke, passiert bei mir gar nichts.
Weder in Wordpad, Word oder hier beim schreiben. Funktionert das nur über den Num Lock? Es gibt immer noch Laptops die keins haben.
@Checkmate:
ASCII ist bei mir schon wieder ganz in Vergessenheit geraten, das die Auffrischung mal wieder nötig war.
Unter den neuen Linux Distrubs ist standardmäßig das Systempassword als AES-256 Hash in der passwd gespeichert. Wenn du wirklich noch ein altes Linux mit MD-5 Verschlüsselung hast bzw. du die standard Verschlüsselung wieder umgestellt haben solltest, ist das auch nicht ganz so tragig. Denn Linux nutzt nicht den standard-komformen MD-5 Verschlüsselungs Algorithmus sondern den UNIX-MD-5 Verschlüsselung Algo. Zum meinem Vortrag hatte ich eigene Bruteforcer entwickelt und dabei dauerte das Generiern des UNIX-MD5-Hashes knapp 10x länger als der des Standard-MD5 Hashes. Wer es aber wirklich drauf anlegt kommt damit aber auch ans Ziel.
Das Programm das die Kennwörter überprüft ist in diesem Fall gleichzeitig das Programm das die Kennwörter durchprobiert. Diese Möglichkeit besteht folglich nicht.
Ich hatte voor kurzem in der Tat das Problem, dass ich ein WinRAR-Passwort vergessen hatte. ICh wusste nur, dass ich es aus einer bis zu ca. 25 stelligen Kombination meiner üblichen Passwörter zusammengesetzt hatte.
Habe das Problem mit dem Programm cRARk gelöst. Dort gibts es alle Möglichkeiten nach einem Passwort zu suchen. Und selbst mit einem Core2Duo mit 1500pwd/sec war das Passwort 20stellige Passwort innerhalb von 2 Min gefunden. Selbstverständlich sind dafür viele Kenntnisse über das Passwort nötig, zeigt aber auch dass lange Passwort-Kombinationen nichts unbedingt sinnvoll sind.
Sind einem Angreifer übliche Passwörter bekannt (z.B. durch einen Trojaner oder den physikalischen Zugriff auf nicht gesicherte und gespeicherte Browser-Kennwörter) so ist ein vermeintlich langes RAR-Passwort selbst ohne Massive Parallel Computing in kürzester Zeit möglich.
Kurz gesagt, wenn wirklich sensible Daten zu schützen sind, dann sollen auch nur diese Daten in die verschlüsselte File, nichts was irgendjemand von anderer Stelle unverschlüsselt bekommen kann.
Mich hätte ein Vergleich mit Cloud-Computing interessiert. WLAN-Passwörter können ganz einfach damit geknackt werden.
Wenn genügend finanzielle Resourcen vorhanden sind, könnte man wahrscheinlich auch längere Passwörter einfach knacken
das Erfordert in Zukunft wohl einen neuen Test oder ?
Die 5970 hat nicht 1600 Shader, sondern 3200. Da es zwei Chips zu je 1600 ( vliew5 ) sind.