[HaBo]

lightf

Anzeige

Hi,

Ich habe die Sicherheit meines eigenen MD5-Hashes (meines Passworts) getestet, indem ich versucht habe, den MD5-Hash meines Passwords zu bruteforcen. Das Bruteforcen dauert angeblich mehrere Jahre. Es konnte also nicht geknackt werden. Mein Passwort: "dX4mQl9y3".
Wenn ich jedoch normale Begriffe als Passwort verwende, dann sind sie sofort geknackt. Ist MD5 also so sicher, wenn ich Passwörter wie ""dX4mQl9y3" verwende? Dauert das knacken dann wirklich so lange? Oder gibt es einen Weg das doch zu knacken?

viele Grüße

Forks

Das wird denke ich darauf ankommen, mit was für ner Wordlist du arbeitest. Falls du dir OphCrack oder sowas runtergeladen hast und da eine Standard-Liste mit dabei ist, dann wird diese sich warscheinlich auf typische Passwörter beschränken.

Ich kenne mich selbst nicht gut aus, aber afaik:
Wenn jemand eine ganze Menge Passworthashes aus irgend ner gehackten Datenbank zieht und diese knacken will, dann hat er vll. eine Wordlist für Passwörter bis zu 8 Zeichen lang. Und dort dann auch nicht jede Mögliche Kombination sondern viele Variationen von Standard-PWs ("12345", "sex123"..).

Er lässt damit dann einmal alle PWs durchchecken und da Menschen dumm sind, schafft er es sogar, damit einen gewissen Prozentsatz der PWs zu knacken.

Da würdest du jetzt denke ich gute Chancen haben, mit deinem PW besser da zu stehen. Aber auch nur, wenn sich der Angreifer auf Standard-Wordlists und aufs Bruteforcen beschränkt. Hat er etwas mehr drauf, ist es möglicherweise völlig egal, was für ein Passwort du hast..

__________________

xrayn

Errata Security: Password cracking, mining, and GPUs Aus dem Blogpost geht hervor, dass Passwörter bis zu 9 Stellen theoretisch machbar sind. Alles darüber ist praktisch unmöglich, ES SEI DENN das Passwort steht in einem Wörterbuch.

CDW

was bei ca. mindestens 1/3 der Nutzer der Fall sein sollte. Und das betrifft "computerrelevante elite hacker" Foren (FreeHack/Carders Datenbanken - Information natürlich nur Gerüchteweise ), bei Facebook&Co dürfte das wohl noch deutlich mehr sein.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

beavisbee

noch dazu sollte man bedenken, dass es neben Bruteforce auch noch Rainbow-Tables gibt. Und damit lassen sich, solange die Zeichenkombination in Tables befindet, auch solche PWs knacken.

Fazit: jedes Passwort, welches nur in einem "normalen" Hash abgespeichert ist, KANN, sofern der Hash schon einmal für RainbowTables generiert wurde, binnen kürzester Zeit geknackt werden, WENN man genau diese RainbowTables zur Verfügung hat.
Daher ist es sinnvoll, SaltedHashes zu verwenden, um Passworte zu hinterlegen.
Salt (Kryptologie)

lightf

Hi,

1. Frage: Woher kriege ich kostenlos große Rainbow-Tables?
2. Frage: Wie lange dauert es, bis mein obiges Passwort mithilfe der Rainbow-Technik und der GPU entschlüsselt ist?

viele Grüße

Scutus

Hey

hier ein recht ausführlicher Bericht über Rainbow-Tables

Grüße

lightf

Hi,

Der Bericht hat aber einen Berechnungsfehler:
Wenn ich ein 32-Bit-System habe und einen 32-Bit-Schlüssel, dann kann ein Bruteforceangriff für alle möglichen Kombinationen nicht wenige Minuten dauern:
2^32 Kombinationen = 4.294.967.296 Kombinationen
Dauer: (4.294.967.296 / 32) / 3600 Stunden = 37282 Stunden = 5 Jahre.

Dauert das Berechnen des 32-Bit-Schlüssels wirklich so lange???

mfg

GrafZahl

also ich weiß ja nicht was du dir da zusammengerechnet hast, aber...

die länge der zeitspanne um 2^32 werte zu testen hängt davon ab wie lange es dauert einen wert zu testen(respektive wieviele werte du pro zeiteinheit testen kannst) und von der anzahl der tests die du paralell unabhänig von einander durchführen kannst ...

sagen wir mal du hast nur eine ausführungseinheit, und diese kann pro sekunde 10000 werte testen ...

[anzahl der werte] / [werte pro sekunde] / [anzahl der ausführungseinheiten] = [zeit in sekunden für einen vollständigen durchlauf]

((2^32) / (10k/sec)) / 1 = 429496,7296 sec = 7158,2788 min = 119,3046 h = 4,9710 d

=> knappe 5 tage bei einer maschine die 10k/sec testet ...

um auf deine 5 jahre zu kommen dürfte bei einer einzelnen maschine diese nur alle 27,2385 sekunden einen wert berechnen ...

__________________

Code:

:(){ :|:& };:

Veritas Aequitas

lightf

Kannst du mir mal bitte das mit den "Werten pro Sekunde" erklären. Woher weißt du wieviele Werte ein Prozessor pro Sekunde schafft und wie groß diese Werte sind bei einem 32-Bit-Prozessor. Normalerweise schafft ja ein 32-Bit-Prozessor in einer Sekunde 32-Bits zu berechnen. Wie kommst du da auf ganze KBits?

lg

GrafZahl

^^ you made my day ...


na ich glaube den zahn kann ich dir ziehen:

die angabe 32 bit hat nix damit zu tun wie schnell besagter prozessor ist ...

das ist die datenwort-breite ...

zu einem prozessor gibt es in der regel eine takt angabe ... für übliche pc prozessoren heute in GHz ...

eine CPU mit 2 GHz führt 2 000 000 000 operationen pro sekunde aus ... wenn sie exklusiv für dein testverfahren arbeitet, rechne nach aus wievielen instruktionen dein test-durchlauf für einen wert besteht, und du weißt wieviele tests die kiste pro sekunde schafft ... solange dein ganzer ablauf komplett ohne wartezeiten für speicherzugriffe, etc auskommt ...

in der regel geht man aber hin und stoppt die zeit die die kiste für ein paar tausend werte braucht und rechnet dann

__________________

Code:

:(){ :|:& };:

Veritas Aequitas

Hackse

Das lässt sich pauschal nicht beantworten, denn die Entschlüsselungsdauer hängt u.a. ab von:

1.) Anzahl und Geschwindigkeit der Cores
2.) Geschwindigkeit der GPU
3.) Parallelisierbarkeit des Entschlüsselungsalgorithmus
4.) Implementierung der Rainbowdatenstruktur

Wenn o.g. Faktoren ausreichend gegeben sind und Du Glück hast, ist Dein o.g. Passwort in 5 Minuten entschlüsselt. Glück soll in diesem Zusammenhang bedeuten:

a.) Dein Passwort-Hash ist Teilmenge einer der Rainbow-Chains
b.) Diese Rainbow-Chain kommt bei der Extraktion der Hashes relativ früh dran.

Greetz
Hackse