09.02.13 09:39 Uhr
 3.373
 

Vorsicht: Bisher sicher geglaubte Passwörter sind inzwischen auch unsicher

Über den Gebrauch von Passwörtern sollten sich nach Angaben der Experten von Deloitte die Nutzer in Zukunft größere Sorgen machen. Sicher geglaubte Passwörter, die aus acht Zeichen und Sonderzeichen der unterschiedlichsten Art bestehen, sind nicht mehr sicher.

Grund dafür ist die immer schneller werdende Hardware. Stellt man aus den 94 Zeichen einer Tastatur so ein Passwort zusammen, kann man auf 6,1 Billiarden Kombinationen zurückgreifen. Um dieses Passwort bei einer Brute-Force-Attacke zu knacken, brauchte ein schneller PC vor einigen Jahren noch etwa ein Jahr.

Dies hat sich inzwischen durch die neuere und schnellere Hardware geändert. Zum Beispiel kann man heute zu Rechenoperationen auch die Grafikkarte heranziehen. Für Brute-Force-Attacken konzipierte PCs (Wert ca. 30.000 Dollar) brauchen kaum noch sechs Stunden, um solche sicher geglaubten Passwörter zu knacken.


Videoplayer auf dieser Seite ausblenden
WebReporter: leerpe
Rubrik:   High Tech
Schlagworte: Hacker, Vorsicht, Passwort, Kennnung
Quelle: winfuture.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Russland: Politiker fordern Verbot von "Fifa 17"-Game wegen Regenbogen-Trikots
Soziale Netzwerke wollen gemeinsam Terrorpropaganda aufspüren
Datenschutzbehörden testeten: Mängel bei Wearables mit Gesundheitsfunktionen

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

11 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
09.02.2013 10:13 Uhr von Rechthaberei
 
+16 | -1
 
ANZEIGEN
Nicht wenn der Login auf eine Maximaleingabe pro Tag oder Stunde eingeschränkt ist.
Kommentar ansehen
09.02.2013 10:52 Uhr von Borgir
 
+1 | -0
 
ANZEIGEN
Es gibt keine Passwörter, die nicht, früher oder später, geknackt werden können. Da glaub ich nun wirklich nicht dran.
Kommentar ansehen
09.02.2013 10:54 Uhr von matoro
 
+4 | -3
 
ANZEIGEN
schlecht geschrieben. Original: "Bei acht Stellen ergeben sich so rund 6,1 Billiarden Kombinationsmöglichkeiten."

ES GILT AB 16 ZEICHEN IST MAN AUF DER SICHEREN SEITE
Kommentar ansehen
09.02.2013 11:25 Uhr von ted1405
 
+7 | -2
 
ANZEIGEN
So oder so ist die Meldung Schwachsinn.

Accounts kann man auf dem Wege schon mal gar nicht "hacken". 6,1 Billiarden Kombinationen an eine Webseite zu senden, dauert definitiv DEUTLICH länger als 6 Stunden und daran ändert selbst die schnellste Internetverbindung und auch der schnellste PC gar nichts.
Allein für die Passwörter, ohne Login-Name und ohne sonstigen Overhead fallen bereits zirka 45.000 Terabyte an Daten an! Mit Overhead vertausendfacht sich das schätzungsweise nochmal.

Eine Brute-Force-Attacke kommt somit definitiv nur dann in Frage, wenn man eine mit diesem Passwort verschlüsselte Datei oder ein größeres Datenpaket hat.

Von daher ist die Meldung tatsächlich nur blöde Panikmache.
Kommentar ansehen
09.02.2013 11:58 Uhr von bigJJ
 
+1 | -1
 
ANZEIGEN
@ted1405
Weder in der Quelle noch hier ist das Ausprobieren eines Passworts über die Website gemeint.
Gemeint ist die Möglichkeit, dass Cracker sich irgendwo einhacken und dort die mysql-DB klauen.
In der sind in der Regel, mehr oder weniger gut verschlüsselt, die Passwörter der Nutzer abgelegt.
In alten CMS wurde mit md5() verschlüsselt - ein Algorithmus den man dazu alles andere als empfehlen kann. Hier kann man wirklich mit entsprechenden Rechner Millionen von md5-Hashes/Passwörtern durchprobieren.

Wer mal sein Standardpasswort knacken will, der muss davon einen md5- Hash erstellen - geht oft über Google, ob man das allerdings machen sollte, ist fraglich. Wer weiß wer da mitliest.

Wer es ernst meint: irgendwo billigen Webspace registrieren und dort eine datei mit z.B. test.php als Namen abspeichern, mit dem Inhalt:
<?php echo md5(´HIEREUERPASSWORT´); ?>

Das was dann dabei rauskommt, wenn man die datei im Browser abruft ist der Hash.
Und denn "bearbeitet" ihr einfach mal mit BarSWF:
http://3.14.by/...

Je besser der PC, desto schneller wird es gehen.

Wer einen Dualcore mti 3 Ghz und eine Nvidia GT 9600 hat, der kommt in etwa auf 350 Millionen Passwörter pro Sekunde, die da durchgetestet werden.

Und im Endeffekt geht es um genau so ein vorgehen.

BTW: In der Regel werden bei modernen Websites komplexere Hashes samt Zufallswert(Salt) genutzt. Den muss ein Cracker natürlich erstmal kennen und nur mit Zugriff auf die Datenbank ist das nicht soo leicht. Von da aus kann man sich aber auch recht gut, wenn z.B. der mysql-User "root" ist, Zugriff aufs Dateisystem verschaffen.

Als Beispiel: Woltlab Burning Board 3 - ein recht bekanntes CMS - nutzt sowas wie: sha1(sha1(sha1(PASSWORT).sha1(SALT))) - als Algo. Irgendwie so war es jedenfalls. Da gibt es auch Tools für, aber da kommt man nicht mehr auf mehrere Millionen Passwörter pro Sek.

Allgemein: Je länger das Passwort desto besser - Punkt!
Kommentar ansehen
09.02.2013 13:12 Uhr von tafkad
 
+1 | -3
 
ANZEIGEN
Das einzige was die so errechnen können ist eine Hash Kollision. Das heißt noch lange nicht das es mein Passwort ist. Vorallem wenn noch ein Salt hinzugefügt wurde.
Kommentar ansehen
09.02.2013 13:25 Uhr von ted1405
 
+1 | -2
 
ANZEIGEN
@bigJJ:

Das macht die News aber nicht viel bedeutender ... denn ...
Wenn es nur um die Verschlüsselung der Datenbank selbst geht, dann sind hier allein die Administratoren gefragt, ihre Passwörter zu verbessern. Betrifft den durchschnittlichen SN-Leser erst mal nicht und Einfluss auf die Webseitensicherheit hat er auch keinen.

Aber auch einmal angenommen, jemand greift sich eine Datenbank ab und entschlüsselt sie erfolgreich: für einen Benutzer ist es dann völlig egal, ob der Angreifer nun das Passwort hat oder nicht. Die restlichen Daten der Webseite (wie z.B. Anschrift, Bankverbindung, etc.) hat der Angreifer dann ja sowieso bereits.

Klar ... ein Benutzer, welcher für JEDE Webseite das gleiche Passwort verwendet wird dann höchstwahrscheinlich ein ernstes Problem bekommen. Dagegen wäre aber allgemeine Rat besser, für JEDE Webseite ein anderes Passwort zu verwenden. Sehr einfach zu realisieren ist dies z.B., wenn man kurzerhand an sein Standardpasswort noch zwei drei Buchstaben eines Wortes an- oder einfügt, welches in irgend einer direkten, eigenen Bedeutung zur Webseite steht.
Einfachste Variante z.B. eine Abkürzung des Webseitennamens. Zwar von Menschen auch leicht zu erraten, aber nicht von einem Skript. (Es ist recht unwahrscheinlich, dass sich ein Angreifer bei einer geklauten Benutzerdatenbank tiefere Gedanken über jedes einzelne Passwort macht.)

Somit bleibt meine Aussage klar stehen:
Ein häufig verwendetes Passwort aus 6 Zeichen, Ziffern und/oder Sonderzeichen (kein WORT!), welches abhängig von der Webseite um zwei bis vier Zeichen erweitert wird ist für den normalen Webseitenbenutzer durchaus sicher.


Davon abgesehen ist es für ein gehacktes Passwort deutlich wahrscheinlicher, dass es via Trojaner oder ähnlichen Wegen dem lokalen Rechner entrissen wird, weil z.B. ein Keylogger mitarbeitet oder die im Browser gespeicherten Passwörter abgegriffen werden. Verschlüsselung ist dort in der Regel ja keine gegeben.

[ nachträglich editiert von ted1405 ]
Kommentar ansehen
09.02.2013 14:33 Uhr von Near
 
+1 | -0
 
ANZEIGEN
Und wie sollte das weiter ablaufen? Stellt der Bruteforce-Rechner dann in 6 Stunden auch noch 6,1 Billarden Anfragen an den Server? Oder müssen dann die "Passwörter" auch erst noch mit dem korrekten Algorithmus verschlüsselt und daraufhin mit potentiell endlos langen Hashtabellen (welche auch erstmal besorgt werden müssten) abgeglichen werden?
Und was ist mit weiteren Faktoren wie einer möglichen Kollision "meines" Hashes mit dem des Bruteforce-Rechners, welcher aber aus einer völlig anderen Zeichenkette generiert wurde und dadurch das entsprechende Passwort selbst de facto Nutzlos macht (es sei denn der Login wäre durch den Hash selbst möglich)?

Also ich habe vorerst keine Angst um meine Passwörter.
Kommentar ansehen
09.02.2013 17:12 Uhr von silent_warior
 
+1 | -0
 
ANZEIGEN
So ein Schwachsinn, wenn man eine Funktion beim Login (eMail, Webseite, PC) mit einbaut die nach jedem Versuch eine feste Pause erzwingt ändert sich auch mit steigender Rechenleistung nichts an der Sicherheit des Passworts.

Wenn man allerdings ein Archiv packt oder Partitionen verschlüsselt ist ein langes Passwort natürlich günstiger.
Kommentar ansehen
10.02.2013 06:30 Uhr von BrianBoitano
 
+1 | -0
 
ANZEIGEN
Erstmal zur News: Wie schon gesagt, halbwahrheiten, aus der Quelle wurde der Teil rausgezogen, der am wenigsten Sinn macht. Es wird nicht angegeben, was für Kennwörter der 30.000$ PC angeblich in 6 Stunden knacken kann, also welcher Algorithmus.

@bigJJ

1.) Es spielt kene Rolle ob der Angreifer den Salt kennt oder nicht. Die PHP-Funktion crypt speichert den Salt sogar direkt mit in den "Hash" (bzw. stellt ihn voran). Warum? Weil der Salt dafür sorgen soll, dass man keine einfachen Rainbow-Tables nutzen kann. Und jeden Salt für jedes Kennwort auf dem Dateisystem speichern? Naaaja, außerdem muss es ja wieder irgendwo eine Funktion geben, die die beiden Daten zusammenführt. Für einen Angreifer, der sich bereits in deiner DB befindet, sollte das dann auch kein Problem mehr darstellen.
Aber wo Salz ist, ist auch Pfeffer: Es gibt neben dem Salt auch noch das "Pepper". Damit ist eine zufällige Zeichenfolge gemeint, die an einem sicheren Ort gespeichert wird (naja, es bleibt meist neben der DB nur das Dateisystem) und für jedes Passwort gleich ist (das verstehen die meisten unter Salt, was aber nicht ganz korrekt ist).

2.) Wer ernsthaft Kennwörter sicher speichern will, begnügt sich nicht mit sha1(sha1(x)); (Burning Board wird es wahrscheinlich wegen der Abwärtskompatibilität so machen, man kann das ja auch nicht einfach kurz ändern, sonst funktionieren die alten Kennwörter ja nicht mehr bzw. man könnte das Board auch nicht mehr updaten) sondern nutzt die angesprochene crypt-Funktion von PHP (so wie phpBB z.B.). Diese macht mindestens 1000 Runden (bei SHA). Der Sinn: Durch die zufällige Anzahl von Runden wird des Verwenden von einfachen Raindow-Tables fast unmöglich gemacht, weiterhin dauert das Erzeugen einer Rainbow-Table mit X Runden auch X mal länger als das Erzeugen einer einfachen MD5 oder SHA1 Tabelle. Man darf nicht vergessen, wofür MD5 und SHA1 ursprünglich entwickelt wurden, denn diese Algorithmen sind auf Geschwindigkeit ausgelegt und in ihrer "reinen" Form nicht für das Kennwort-Hashen gedacht.

Man sollte sich im Bereich der Cryphographie einfach nicht auf selbst ausgedachte Lösungen verlassen sondern etablierte Algorithmen nutzen.
Kommentar ansehen
15.02.2013 16:29 Uhr von Justus5
 
+1 | -0
 
ANZEIGEN
Und dann gibt es noch die Verliebten, die Passwörter als Liebesbeweis rausrücken.
Wer so abgreift, braucht keinen 30.000 $ PC - Flirten im Internet reicht... ;)
http://www.speicherguide.de/...

Refresh |<-- <-   1-11/11   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

herzzerreißender Werbespot aus Polen rührt alle zu Tränen
Deutsche lieben Kindersex!
Israel bekommt Rüffel aus den USA


...oder unseren und keine aktuellen News mehr verpassen?