Mit was Verschlüssele ich meine festplatten ?
- Ersteller SPARKYYY
- Erstellt am
CPat
Commander
- Registriert
- Feb. 2008
- Beiträge
- 2.651
Heise hat da heute eine interessante News: Interpol-Forensiker zwischen den Fronten
Dabei geht es um forensische Untersuchungen von drei Laptops, zwei externen Festplatten und drei USB-Sticks der FARC (Revolutionäre Streitkräfte Kolumbiens) erbeutet durch die kolumbianische Armee. Einige der bisherigen Ergebnisse stehen in der Meldung. Besonders interessant finde ich:
Außerdem konnten sie [...] 983 verschlüsselte Dateien ausmachen. Worin die Verschlüsselung bestand und wie sie gebrochen wurde, ist als geheim klassifiziert. In der Presseerklärung heißt es dazu: "To break the 983 encrypted files, Interpol's experts linked and ran 10 computers simultaneously 24 hours a day / 7 days a week for two weeks."
http://www.heise.de/newsticker/Interpol-Forensiker-zwischen-den-Fronten--/meldung/108009
----------
Vermutung meinerseits: Es handelte sich um eine Verschlüsselung/Container, die für die fast 1.000 Dateien zuständig war und nicht 983 einzelne. Wer verschlüsselt schon so viel Dateien einzeln und gibt jeder ein eigenes Passwort? Das würde bedeuten sie hätten zwei Wochen an einem Passwort herum probiert mit der Gewalt von zehn Rechnern.
War das Passwort jetzt schlecht oder sind die Interpol-Leute einfach zu gut (ausgestattet)?
Dazu kann man eine kleine Beispiel-Rechnung machen:
Nehmen wir einfach mal Intel Quad Core CPUs und veranschlagen pro Rechner 40 Mio Keys/s (Vergleichswerte http://www.orange.co.jp/~masaki/rc572/fratee.php). Mal zehn Computer und es sind 400 Mio Keys/s. Über zwei Wochen wären das fast 500 Billionen (Million -> Milliarde -> Billion aka 1 mit zwölf Nullen) getestete Passwörter.
Nach der Wahrscheinlichkeit hat man im Schnitt das Passwort bei der Hälfte der Möglichkeiten. Die 500 Billionen entsprechen also nicht zwangsläufig den gesamten Kombinationsmöglichkeiten des Passworts.
Was für ein Passwort hat so viele Kombinationsmöglichkeiten, das sie binnen 14 Tagen geknackt haben?
Nur Kleinbuchstaben, Länge 10 Zeichen: ca 140 Billionen Kombinationsmöglichkeiten
Nur Kleinbuchstaben, Länge 11 Zeichen: ca 4 Billiarden Kombinationsmöglichkeiten
Klein/Großbuchstaben, Länge 8: ca 50 Billionen Kombinationsmöglichkeiten
Klein/Großbuchstaben, Länge 9: ca 3 Billiarden Kombinationsmöglichkeiten
Klein/Groß/Zahlen, Länge 8: ca 200 Billionen Kombinationsmöglichkeiten
Klein/Groß/Zahlen, Länge 9: ca 13 Billiarden Kombinationsmöglichkeiten
Nutzt man zusätzlich Sonderzeichen, wird es noch abartiger und man landet bei einer Passwortlänge von 8 Zeichen schon im zweistelligen Billiarden-Bereich. Dennoch ist sowas innerhalb einiger Wochen/Monate knackbar.
Aber wer nutzt heutzutage noch 8-stellige Passwörter?
Deshalb die Moral von der Geschicht': Schlechte Passwörter verwendet man nicht.
Dabei geht es um forensische Untersuchungen von drei Laptops, zwei externen Festplatten und drei USB-Sticks der FARC (Revolutionäre Streitkräfte Kolumbiens) erbeutet durch die kolumbianische Armee. Einige der bisherigen Ergebnisse stehen in der Meldung. Besonders interessant finde ich:
Außerdem konnten sie [...] 983 verschlüsselte Dateien ausmachen. Worin die Verschlüsselung bestand und wie sie gebrochen wurde, ist als geheim klassifiziert. In der Presseerklärung heißt es dazu: "To break the 983 encrypted files, Interpol's experts linked and ran 10 computers simultaneously 24 hours a day / 7 days a week for two weeks."
http://www.heise.de/newsticker/Interpol-Forensiker-zwischen-den-Fronten--/meldung/108009
----------
Vermutung meinerseits: Es handelte sich um eine Verschlüsselung/Container, die für die fast 1.000 Dateien zuständig war und nicht 983 einzelne. Wer verschlüsselt schon so viel Dateien einzeln und gibt jeder ein eigenes Passwort? Das würde bedeuten sie hätten zwei Wochen an einem Passwort herum probiert mit der Gewalt von zehn Rechnern.
War das Passwort jetzt schlecht oder sind die Interpol-Leute einfach zu gut (ausgestattet)?
Dazu kann man eine kleine Beispiel-Rechnung machen:
Nehmen wir einfach mal Intel Quad Core CPUs und veranschlagen pro Rechner 40 Mio Keys/s (Vergleichswerte http://www.orange.co.jp/~masaki/rc572/fratee.php). Mal zehn Computer und es sind 400 Mio Keys/s. Über zwei Wochen wären das fast 500 Billionen (Million -> Milliarde -> Billion aka 1 mit zwölf Nullen) getestete Passwörter.
Nach der Wahrscheinlichkeit hat man im Schnitt das Passwort bei der Hälfte der Möglichkeiten. Die 500 Billionen entsprechen also nicht zwangsläufig den gesamten Kombinationsmöglichkeiten des Passworts.
Was für ein Passwort hat so viele Kombinationsmöglichkeiten, das sie binnen 14 Tagen geknackt haben?
Nur Kleinbuchstaben, Länge 10 Zeichen: ca 140 Billionen Kombinationsmöglichkeiten
Nur Kleinbuchstaben, Länge 11 Zeichen: ca 4 Billiarden Kombinationsmöglichkeiten
Klein/Großbuchstaben, Länge 8: ca 50 Billionen Kombinationsmöglichkeiten
Klein/Großbuchstaben, Länge 9: ca 3 Billiarden Kombinationsmöglichkeiten
Klein/Groß/Zahlen, Länge 8: ca 200 Billionen Kombinationsmöglichkeiten
Klein/Groß/Zahlen, Länge 9: ca 13 Billiarden Kombinationsmöglichkeiten
Nutzt man zusätzlich Sonderzeichen, wird es noch abartiger und man landet bei einer Passwortlänge von 8 Zeichen schon im zweistelligen Billiarden-Bereich. Dennoch ist sowas innerhalb einiger Wochen/Monate knackbar.
Aber wer nutzt heutzutage noch 8-stellige Passwörter?
Deshalb die Moral von der Geschicht': Schlechte Passwörter verwendet man nicht.
Zuletzt bearbeitet:
(numberfix)
Chibi88
Lt. Commander
- Registriert
- Dez. 2007
- Beiträge
- 1.329
18 stelliges PW sollte noch reichen 
.
Ich frage mich nur, wo das noch so hinführen wird in ein paar Jahren. In 10 oder 15 Jahren (vermute ich mal) wird die Technick so weit sein, dass es auch keinen großen Zeitraum für die Berechnung von 15-17 stelligen Passwörtern beanspruchen wird.
Müssen wir uns in dann immer längere Passwörter ausdenken, die irgendwann an die 30 oder mehr Zahlen/Buchstaben/Kombinationen etc pp. haben werden? Das würd ins endlose gehen.. Wie soll man sich sowas merken ohne es sich irgendwo aufzuschreiben? XD
18 stelliges kann ich mir ja noch merken, aber irgendwann wirds kriminell
. Ich bin gespannt..
. Ich frage mich nur, wo das noch so hinführen wird in ein paar Jahren. In 10 oder 15 Jahren (vermute ich mal) wird die Technick so weit sein, dass es auch keinen großen Zeitraum für die Berechnung von 15-17 stelligen Passwörtern beanspruchen wird.
Müssen wir uns in dann immer längere Passwörter ausdenken, die irgendwann an die 30 oder mehr Zahlen/Buchstaben/Kombinationen etc pp. haben werden? Das würd ins endlose gehen.. Wie soll man sich sowas merken ohne es sich irgendwo aufzuschreiben? XD
18 stelliges kann ich mir ja noch merken, aber irgendwann wirds kriminell
. Ich bin gespannt..
Zuletzt bearbeitet:
Vielleicht wars ja ihr eigenes Passwort, das sie zwischenzeitlich vergessen hatten.
Woher hätten sie sonst wissen sollen, das Brute-Force ein Ergebnis in absehbarer Zeit bringt?
Schon lustig, als geheim einstufen und dann in der Pressemitteilung das Geheimnis verraten.
Woher hätten sie sonst wissen sollen, das Brute-Force ein Ergebnis in absehbarer Zeit bringt?
Schon lustig, als geheim einstufen und dann in der Pressemitteilung das Geheimnis verraten.
Zuletzt bearbeitet:
Chibi88 schrieb:18 stelliges kann ich mir ja noch merken, aber irgendwann wirds kriminell
Keine Angst, der Faktor zwischen einem 8 und einem 18-stelligen Passwort ist bei nur 36 Zeichen schon 3656158440062976.
Um diesen Faktor müßten die Rechner schneller werden. Das dauert noch ne Weile.
In 10 oder 15 Jahren werden sie vielleicht 10 mal so schnell sein, vielleicht auch 100 mal so schnell, aber mit Sicherheit nicht 3 Billiarden mal so schnell.
Zuletzt bearbeitet:
CPat
Commander
- Registriert
- Feb. 2008
- Beiträge
- 2.651
Das ist nur eine Vermutung meinerseits, dass sie per Bruteforce versucht haben an die Daten zu gelangen. Steht leider gar nichts im Bericht - jedenfalls nicht im öffentlichen Teil.para66 schrieb:
Ich vermute es, da jegliche Software-Hersteller ja wollen, dass ihr Produkte genutzt werden und entsprechend neue Verschlüsselungen eingesetzt werden, statt veralteter und unsicherer. Dementsprechend hat man auch keine andere Wahl, will man an die Daten kommen.
Außerdem ist so ein ein versuch per Bruteforce selten der verkehrte Ansatz. Wie viele Leute nutzen überhaupt Passwörter, wie komplex sind diese im Durchschnitt etc? Da hatte letzt mal wer einen interessanten Link gepostet über Struktur der üblich verwendeten Passwörter und entsprechend angepasste ("intelligente") Tools zum Knacken. Die überwiegende Mehrheit der Passwörter ist einfach schwach und 8 Stellen ist wohl immer noch so ein Richtwert, der gern genutzt wird. Genauso dürften Sonderzeichen eher zur Ausnahme gehören.
Zehn flotte Rechenknechte machen ein 8-stelliges Passwort mit Groß-, Kleinschreibung und Zahlen selbst in willkürlicher Anordnung (also ohne eine der üblich verwendeten und schneller knackbaren Strukturen) spätestens in einer Woche platt.
Bruteforce ist also ein recht erfolgversprechender Ansatz.
@serra.avatar
Danke. Boah was hab ich wieder gelacht
Nichts muß stimmen. Lustig sein reicht aus Auch dir chibi88, VIELEN DANK 
Eindeutig brute force. Einfach Glück gehabt. Passwort lag wohl unter 8 Zeichen und sollte von denjenigen welchen auf keinen Fall vergessen werden. So siehts dann aus
Falls euch nicht einfällt wie ihr das Handelt könntet, nehmt KeePass - aktuell 1.11 - portable. Da darf man für die Datenbank sogar zwischen AES und Twofish wählen
So muß man sich dann privat nur 3-4 starke Passwörter merken und der Rest ist durch extrem starke Passwörter geschützt.
Danke. Boah was hab ich wieder gelacht
Nichts muß stimmen. Lustig sein reicht aus Auch dir chibi88, VIELEN DANK Eindeutig brute force. Einfach Glück gehabt. Passwort lag wohl unter 8 Zeichen und sollte von denjenigen welchen auf keinen Fall vergessen werden. So siehts dann aus
Falls euch nicht einfällt wie ihr das Handelt könntet, nehmt KeePass - aktuell 1.11 - portable. Da darf man für die Datenbank sogar zwischen AES und Twofish wählen
So muß man sich dann privat nur 3-4 starke Passwörter merken und der Rest ist durch extrem starke Passwörter geschützt.
Anhänge
Zuletzt bearbeitet:
