Passwörter knacken mit GPU-Unterstützung?
Inhaltsverzeichnis
- 1. Schlüsseldienst gefällig?
- 2. Test-Konfiguration
- 3. Archive Verschlüsseln mit WinZip und WinRAR
- 4. Wie stark ist mein Passwort?
Wer denkt, seine Daten sind in einem verschlüsselten Archiv dank Passwort geschützt, wird sich wundern: Wir wollten wissen, wie schnell man mit einer Grafikkarte Passwörter knacken kann. Soviel sei gesagt: Wertvolle Daten sollten besser geschützt werden!
Wer seine Schlüssel schon einmal im Auto eingeschlossen hat, der weiß, dass das keine spaßige Angelegenheit ist. Glücklicherweise ist das ein Fehler, der den meisten Menschen nur einmal unterläuft und durch den auch nichts weiter passiert. Man passt künftig schlichtweg besser auf seine Schlüssel auf und weiß immer wo sie liegen.
Trotz aller Bemühungen gelingt es vielen jedoch nicht, genauso gewissenhaft auf die digitalen Schlüssel (Passwörter) zu achten. Dafür sind es vielleicht auch einfach zu viele, da Anwender generell dazu angehalten werden, auf jeder Seite ein anderes Passwort zu benutzen. Physische und Digitale Schlüssel haben trotz ihrer unterschiedlichen Beschaffenheit dennoch etwas gemeinsam. Geht ein physischer Schlüssel endgültig verloren, dann ist man auf die Hilfe Dritter angewiesen, wie zum Beispiel einen Schlüsseldienst.
Ähnliches gibt es auch für Passwörter, zumindest in gewissem Maße. Egal, ob es sich um Emails oder Bankkonten handelt – ein Passwort für ein Online-Konto wiederherzustellen ist relativ einfach. Meistens gibt es einen Link wie “Passwort vergessen”, mit dem man erneut Zugriff auf sein Konto erhalten kann. Die Rettungsmöglichkeiten für digitale Dateien sind in der Hinsicht weniger aussichtsreich. Auf dieses Problem sind wir selbst kürzlich gestoßen, als wir auf ein verschlüsseltes WinZip-Archiv zugreifen wollten.
Bevor wir genauer auf die Rettung von Passwörtern eingehen, wollen wir darauf hinweisen, dass es zahlreiche Möglichkeiten gibt, Daten effizient und wirksam zu schützen. Wer nach einer etwas umfangreicheren Lösung sucht, sollte sich ein Produkt wie TrueCrypt genauer ansehen. Diese Lösung ist aufgrund der Unterstützung von Intels AES-NI-Erweiterungen recht attraktiv. Die wohl am weitesten verbreitete Methode, Daten vor dem Zugriff dritter zu schützen, dürfte dennoch das Verschlüsseln von Archiven sein. Ganz egal ob man in der Personalabteilung arbeitet und Löhne an die Mitarbeiter überweisen muss oder seine persönlichen Fotos noch etwas privater halten möchte – ein Archiv zu verschlüsseln geht einfach und schnell.
Was die Sicherheit anbelangt, hält sich ein Missverständnis aber hartnäckig. Wer sich in Bezug auf Sicherheit eher zu den paranoiden Anwendern zählt, wird sich zweifellos für die derzeit stärksten und damit sichersten Verschlüsselungsalgorithmen entscheiden. Der Gedankengang ist auch nachvollziehbar: eine stärkere Verschlüsselung ist schwieriger zu knacken, weshalb man AES-256 eben AES-128 vorzieht. Ganz so einfach ist das aber nicht, und diese Rechnung geht nicht auf.
Stellen wir uns Verschlüsselung wie einen großen Tresor vor, dann ist die passende Parallele: Je schwerer die Panzerung, desto schwieriger der Einbruch. Trotzdem ist ein Tresor eben nur so sicher, wie der verwendete Schließmechanismus. Genau das ist die Funktion eines Passworts, das als Schlüssel zum Daten-Tresor agiert. Je länger das Passwort, desto komplizierter ist der Verriegelungsmechanismus und desto besser sind die Daten geschützt.
Die meisten Anwender gehen davon aus, dass ein Passwort mit acht Zeichen gegen die Angriffe von Hackern ausreicht. Das ist leider nicht ganz richtig, und wir wollen erklären auch genau erklären, warum das so ist.
Neueste Security News
Neueste Security Testberichte
-
Neueste AMD News
- Llano-APUs: AMD korrigiert Transistoranzahl nach unten
- AMD verabschiedet sich von CPU-Speed-Krieg gegen Intel
- AMD bringt APUs für den Embedded-Bereich
- Nvidia könnte mit GTX 680M zur Computex reisen
- AMD lanciert Trinity-APU
-
Neueste AMD Testberichte
- Software für Trinity: OpenCL-fähige Anwendungen...
- Testbericht AMD A10-4600M: Trinity gibt sein Debüt, mobil
- Exklusiver Hands-On-Test: Schenker XMG P702 mit Radeon HD 7970M
- Vergleichstest: 6 x Radeon HD 7950 im Showdown
- AMDs Pitcairn mit 768 SPs im Test: Der Chip, den es nicht gibt
Sehr informativer Beitrag auch die Anleitung ist gut gelungen.
Was ist heute schon sicher, wenn man die Hacker Attacken der letzten Monate im Netz verfolgt hat. Die Netzabsicherung kann noch so gut und modern sein einen Weg diese zu überlisten haben spezielle Hackergruppen aufgezeigt!
Hmm, sry aber schreibt statt "Keine Wörter aus dem Wörterbuch" vielleicht mal "Nicht nur ein Wort aus dem Wörterbuch"...Wenn wir mal von 3 Wörtern ausgehen braucht man bei einer Wörterbuchattacke die 1,5 Milliarden Kombinationen pro Sekunde probiert (um mal den höchsten Wert zu nehmen den ich im Artikel gefunden habe) immer noch ca 34 Jahre um das zu knacken (außer ich habe gerade falsch gerechnet)...dann rechne man mal noch den Komplexitätsgewinn durch verschiedene Trennzeichen drauf und nimmt vielleicht noch ein Wort mehr...
siehe: http://www.baekdal.com/tips/passwo [...] -usability
Ansonsten: schöner Artikel
Warum benutzen Verschlüsselungshersteller eigentlich keine Methoden wie bcrypt um die Hash-Erstellung künstlich zu verzögern?
Diese Hochrechnungen sind ja alle ganz nett zu lesen, aber müsste man in die Hochrechnungen nicht noch Moores Law oder eines dessen realistischeren Derivate berücksichtigen?
Ansonsten fehlt mir in dem Artikel ein bisschen die Lösung des Problems. Das mag vielleicht gar nicht der Sinn des Artikels gewesen sein, aber ein kleiner Link zu einem Artikel in dem man liest, wie man sich jetzt ordentliche Passwörter erstellt bzw. merken kann, wäre schön gewesen.
Ich habe vor kurzem selber einen Vortrag zu diesem Thema gehalten. Allerdings verwendeteten wir noch die MD-5 Verschlüsselung.
Dort gibt es mittlerweile Software die wirklich jenseits von Gut und Böse sind. Wen es interessiert einfach mal hier klicken:
http://3.14.by/en/md5 BarsWF
http://whitepixel.zorinaq.com/ WhitePixel (~28.6 billion password/sec)
@teddds:
ich verwende bis jetzt immer md5 unter linux, heißt das nun ich sollte besser zu aes wechseln?
Wenn ich es richtig verstehe, dann ist die angegebene Dauer für das Knacken eines Passworts das Worst Case Szenario, also das dass gesuchte Passwort erst mit der letzten möglichen Kombination übereinstimmt. Das kann so sein. Es kann aber genausso sein, dass das Passwort schon mit dem ein millionsten Versuch gefunden wird.
@Bubbleman So ist es! Wenn Dein Passwort "0000000000000000" ist und der Bruteforce-Angriff mit den Zahlen beginnt, ist das Passwort _instantan_ geknackt... Also immer mit dem letztmöglichen ASCII-Zeichen ÿ beginnen
Als ich mal selbst so ein Tool zur Veranschaulichung geschrieben habe, hatte ich gemerkt das WinRAR die Passworteingabe bei einem reinen Brute Force verzögert. Das müssen die Tools wohl umgehen. Ich musste dann auf Truecrypt ausweichen um das zeigen zu können was ich wollte.
@teddds:ich verwende bis jetzt immer md5 unter linux, heißt das nun ich sollte besser zu aes wechseln?
MD5 ist ein Hashalgorithmus, AES ist ein Verschlüsselungsalgorithmus, was genau willst du denn überhaupt machen?
MfG
Mr. J
Wie erstelle ich den mit ASCII ein Passwort? Brauche ich dafür ein extra Programm? Bisher habe ich Passwörter immer mit Buchstaben, Zahlen und den Sonderzeichen über die Zweitfunktion erstellt.
War das eine Ernsthafte Frage?
Rate mal was Buchstaben und Sonderzeichen sind. Richtig, der ASCII Code
Wäre aber auch cool sein Passwort in Hex oder Binärcode einzutippen.
@BB
Mit ASCII sind hier 26 Groß-, 26 Kleinbuchstaben, 10 Zahlen und noch 32 Sonderzeichen gemeint, gesamt 94 der 127. Also nicht alle bzw. alle möglichen Zeichen die direkt eingebbar sind. (8836^1/2)
@derwolf92:
Jepp, ich meine das ernst.
Denn wenn ich ALT 65 drücke, passiert bei mir gar nichts.
Weder in Wordpad, Word oder hier beim schreiben. Funktionert das nur über den Num Lock? Es gibt immer noch Laptops die keins haben.
@Checkmate:
ASCII ist bei mir schon wieder ganz in Vergessenheit geraten, das die Auffrischung mal wieder nötig war.
@teddds:ich verwende bis jetzt immer md5 unter linux, heißt das nun ich sollte besser zu aes wechseln?
Unter den neuen Linux Distrubs ist standardmäßig das Systempassword als AES-256 Hash in der passwd gespeichert. Wenn du wirklich noch ein altes Linux mit MD-5 Verschlüsselung hast bzw. du die standard Verschlüsselung wieder umgestellt haben solltest, ist das auch nicht ganz so tragig. Denn Linux nutzt nicht den standard-komformen MD-5 Verschlüsselungs Algorithmus sondern den UNIX-MD-5 Verschlüsselung Algo. Zum meinem Vortrag hatte ich eigene Bruteforcer entwickelt und dabei dauerte das Generiern des UNIX-MD5-Hashes knapp 10x länger als der des Standard-MD5 Hashes. Wer es aber wirklich drauf anlegt kommt damit aber auch ans Ziel.
Ist es möglich, den Erfolg von Brute Force-Angriffen zu vermeiden, indem durch das Programm, das die korrekte Kennworteingabe prüft, nach mehreren Fehlversuchen "Zwangspausen" generiert werden? Dann kann der Hacker waren bis zum Ende aller Zeiten.
@dmmy1
Das Programm das die Kennwörter überprüft ist in diesem Fall gleichzeitig das Programm das die Kennwörter durchprobiert. Diese Möglichkeit besteht folglich nicht.
Ich hatte voor kurzem in der Tat das Problem, dass ich ein WinRAR-Passwort vergessen hatte. ICh wusste nur, dass ich es aus einer bis zu ca. 25 stelligen Kombination meiner üblichen Passwörter zusammengesetzt hatte.
Habe das Problem mit dem Programm cRARk gelöst. Dort gibts es alle Möglichkeiten nach einem Passwort zu suchen. Und selbst mit einem Core2Duo mit 1500pwd/sec war das Passwort 20stellige Passwort innerhalb von 2 Min gefunden. Selbstverständlich sind dafür viele Kenntnisse über das Passwort nötig, zeigt aber auch dass lange Passwort-Kombinationen nichts unbedingt sinnvoll sind.
Sind einem Angreifer übliche Passwörter bekannt (z.B. durch einen Trojaner oder den physikalischen Zugriff auf nicht gesicherte und gespeicherte Browser-Kennwörter) so ist ein vermeintlich langes RAR-Passwort selbst ohne Massive Parallel Computing in kürzester Zeit möglich.
Das beste Passwort bringt allerdings wenig wenn der Anwender selbst unüberlegt handelt (zB komprimiertes und verschlüsseltes 'Backup' vom kompletten Dokumentenordner). Alle Dateien, welche auch unverschlüsselt und öffentlich/standardmässig verfügbar sind, sind ein Sicherheitsrisiko. Aus vielen dieser Dateien lassen sich Patterns ableiten, nach welchen man im verschlüsselten Archiv suchen kann (denn man kennt ja bis auf's Bit genau die Lösung). Aus den möglichen Lösungen, wird per Vergleich mit anderen Partien des Archivs die Lösung isoliert, die Sinn ergibt. Ist zwar kompliziert, aber für Spezialisten in dieser Materie machbar (denen ist allerdings die Steuererklärung von Herrn Meier genau so egal wie die speziellen Souvenirfotos mit der Nachbarin als Frau Meier auf Kur war).
Kurz gesagt, wenn wirklich sensible Daten zu schützen sind, dann sollen auch nur diese Daten in die verschlüsselte File, nichts was irgendjemand von anderer Stelle unverschlüsselt bekommen kann.
@Redaktion
Mich hätte ein Vergleich mit Cloud-Computing interessiert. WLAN-Passwörter können ganz einfach damit geknackt werden.
Wenn genügend finanzielle Resourcen vorhanden sind, könnte man wahrscheinlich auch längere Passwörter einfach knacken
http://www.golem.de/news/kepler-gk [...] 91833.html
das Erfordert in Zukunft wohl einen neuen Test oder ?