BruteForce - Wie viel p/s schafft welcher Rechner

shrax

Stammuser
Hallo!
Woher kann man die Information nehmen welcher Rechner wie viele Passwörter pro Sekunde bei bruteforce attacken schafft?


Nehmen wir an ich habe einen Rechner Intel Core Duo CPU @ 2.66GHz, 3,0GB RAM, NVIDEA GeForce 9500 GS. Wie finde ich nun raus wie viele Passwörter er bei einer BruteForce attacke pro Sekunde schaffen kann, ohne dies mit einem programm auszuprobieren.
Kann man sich das erreichnen? Oder gibt es Tabellen mit groben angaben?
 

Flou

Active member
Schau dir das einfach mal an: Brute-Force-Attacke und Passwortlnge

Kommt vor allem auf die Passwortlänge an.
Grob gesagt Acht Milliarden pro Sekunde, können generiert werden, der Rest hängt dann stark vom Zielobjekt ab, sprich ob das Passwort auf dem selben Rechner zu knacken ist oder online.

Gruß Flou
 

lightsaver

Moderator
Schau dir das einfach mal an: Brute-Force-Attacke und Passwortlnge

Grob gesagt Acht Milliarden pro Sekunde, können generiert werden
Wie kommst du darauf? Wenn ich die von dir verlinkte Seite mal zitieren darf:
Laut der aktuellen Übersicht von Rechnergeschwindigkeiten unter » rc5-72 benchmark bzw. » 2Mega (or up) Rates Members - JLUG RC5-72 Cracking steht fest, dass der derzeit (22.03.2011) schnellste Einzel-PC mit der speziellen Software ca. 2.096.204.400 (in Worten: knapp 2,1 Milliarden) Schlüssel in der Sekunde generieren kann.
Und ich wage mal zu behaupten, dass der vom TE erwähnte PC an diesen Wert nicht herankommt.
 

shrax

Stammuser
Hi!

Ich denke du hast die frage falsch verstanden, oder ich deine Antwort.
Meine frage ist nicht wie schnell ein passwort geknackt wird, sondern wie ich errechnen kann wie viel ein Computer der eine besitmmte GHz anzahl hat passworter/s ausprbieren kann.

Auf der seite finde ich das hier:
Rechengeschwindigkeit des Rechners (2096204400 Schlüssel pro Sekunde (Keys/sec))

Und eine Tabelle darunter. Doch schafft mein Rechner 2096204400 Schlüssel pro Sekunde ?

Ich denke nämlich nicht! Mit nem Programm waren es mal 180/s...
Gute schaffen 1000/s hab ich gehört. Doch wie erfährt man das genau?


 
Zuletzt bearbeitet:

Scutus

Stammuser
kommt stark darauf an, in was du deinen Bruter gebastelt hast...im Vergleich zu C sind die meisten Sprachen um ein x-faches langsamer...natürlich wäre hierbei Assembler noch ne Ecke schneller als C.

Dann kommt es noch darauf an, wie du deinen Bruter zusammen geschustert hast. Ganz konkret: Wie schaut es mit den Vergleichen, Operationen und Schleifen aus, oder andere Abfragen.

Alleine von den Eigenschaften eines PCs auszugehen wird wohl etwas komisch...dann kommt es auch noch darauf an, ob die GPU noch mitbenutzt, die wiederum ein anderes Verhalten an den Tag legt.
 

shrax

Stammuser
Oh dann geht das wohl tiefer als ich eigentlich wollte. Bin davon ausgegangen das man grundsätzlich irgendwie davon ausgehen kann wie viel ein Rechner mit bestimmter Hardware schaffen kann.

Also mein Teilziel ist es eine Tabelle zu haben in der z. B. steht:
Standard 300€ Rechner (Aldi ware) stand 2011 voll ausgenutzt ca. xxxp/s

Ich dachte das einfachste wäre das auszurechnen, aber wenn das Programmiersprachen abhängig ist, woran ich denken hätte müssen, ist dies ja kaum möglich da von zu vielen Faktoren abhängig.
 
Zuletzt bearbeitet:

CDW

Moderator
Mitarbeiter
Du könnest für Deine Komponenten zusammensuchen, wie schnell diese in etwa sind (einheiten sind i.R Flops):
MaxxPI² - TOP10 - FLOPS
GeForce 9 Series - Wikipedia, the free encyclopedia

wobei man hier natürlich auch die genauen CPU "Bezeichnungen" (aka Familien) braucht (Core2Duo habe ich in meinem Notebook auch drin ;) )
Pi mal Daumen bringt Deine CPU also 3000 Mega Flops = 3 GFlops und Grafikkarte 100 GFlops. Jetzt suchst Du nach einem konkreten Bruteforcer für die Aufgabe - so gut wie immer sind da auch die "passwörter/s" plus Hardwaredaten angegeben. Eine Dreisatzrechnung könnte nun halbwegs zuverlässige Daten liefern - muss aber nicht.

Denn wie gesagt, es gibt einfach zu viele variable Parameter - angefangen damit, dass die konkreten Programme Deine CPU/Grafikkrate nicht im vollem Umfang unterstützen müssen (z.B für andere Cachegrößen und CPU Familie optimiert bzw. bei Grafikkarten GPUs/Aufbau) bis zu den simplen Programmunterschieden (nicht jedes Programm kann alles gleich gut - z.B BarsWF zählte zwar lange zu den schnellsten, konnte aber mit Salts bzw "Teilangaben" nichts anfangen, ebfenfalls sind Algorithmen für vBulletin/WBB Passwörter i.R etwas anders gestrickt (mehrfach geschachtelte Hashing Aufrufe) und sind in den Benchmarkangaben meist nicht dabei)
 

GrafZahl

Member of Honour
es ist nicht nur programmirsprachen abhänig ... es geht vorallem darum was für ein passwort angegriffen wird ... ein remote zugang, der nach 3 falschen versuchen das konto für 5 min sperrt ist da irgendwie recht zeitaufwändig ...

ist es ein lokal beherrschbares problem, also ein hash oder ähnliches, hängts daran, wie komplex die berechnungen dafür sind ... bei einem RAR archiv zum beispiel, weißt du erst ob das pw stimmt, nachdem du das komplette archiv damit dechiffriert hast, und am ende die prüfsumme stimmt, oder eben nicht ...

eine verallgemeinerte aussage álá: rechner für X EUR => Y pw/s ist bestenfalls unpräzise und sehr wage, da die rahmenbedinungen fehlen ...
 

Elderan

Moderator
Hallo,
wenn man von einer lokalen Attack ausgeht auf z.B. einen Hashwert oder ein Passwort geschütztes Archiv, so kann man dort dennoch keine Antwort geben.

Denn die Performance ist stark abhängig von der rechnerischen Komplexitität des Hashalgorithmus bzw. Verschlüsselungsalgorithmus. Während mein alter Rechner rund 40 Mio. Passwörter bei einer MD5-Verschlüsselung ausprobieren konnte, war es bei einem Passwort geschützten rar-Archiv nur um die 100 Passwörter/Sekunde. Und das hat nichts damit zu tun, wie das Brute Force Programm geschrieben wurde.

Der Grund ist, dass MD5 sich sehr schnell berechnen lassen kann. WinRar-Archive sind dagegen mit AES verschlüsselt und man kann erst ganz zum Schluss, d.h. wenn man das ganze Archiv entschlüsselt hat, überprüfen ob das geratene Passwort korrekt war. Dies ist von der Rechenkomplexität deutlich umfangreicher als das Berechnen eines MD5/SHA1/SHA2/SHA3 wertes.

Solch eine Gegenmaßnahme gegen Brute Force ist auch als Key strengthening bekannt:
Key stretching - Wikipedia, the free encyclopedia

Die einzige Antwort bleibt deswegen:
Entweder ausprobieren oder wie CDW sagte über die Flops-Zahl und Benchmarks anderer Rechner versuchen auf die getesteten Kombinationen pro Sekunde zu schließen.
 

awabi

Stammuser
Wenn du es auf deinem eigenen PC ausprobieren möchtest, um nur mal eine
Hausnummer zu erfahren, kannst du dir zum Beispiel "BarsWF" (äusserst schneller Cracker für MD5) herunterladen,
das bietet sozusagen einen Test/Benchmark-Modus mit vordefiniertem MD5-Hash
an. Beim Standart-MD5-Hash kommt er bei mir (Fermi-Graka) z.B. auf ca. 1,6 Milliarden Hashes pro Sekunde. Dabei wird die Grafikkarte per CUDA miteinbezogen. Wie gut das genau auf einer älteren GeForce funzt, kann ich dir nicht sagen.
Insgesamt: die Geschwindigkeit hängt nicht nur von der Hardware, sondern vom gewünschten Hashverfahren und nicht zuletzt von der Software ab!
Cheers
 
Oben