Tablet liegt ungeöffnet seit ca 1 Jahr rum, ist das schlecht fürs Tablet?
- Ersteller kronen
- Erstellt am
Ist in unter einer Viertelstunde geknackt. Ein Passwort dieser Art ist extrem anfällig für Wörterbuchattacken mit ein paar angehängten Regeln.kronen schrieb:
Zum nachlesen:
http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html
(deutsch)
http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
(englisch)
Hier wird erklärt, wie jemand in einer Stunde 82% von 16.000 verschlüsselten Passwörtern knackt. Selbst vermeintlich sichere Passwörter wie "momof3g8kids", "qeadzcwrsfxv1331" und "Sh1a-labe0uf" bekommt man ohne größeren Aufwand raus. Und warum? Weil diese Passwörter nicht zufällig sind, sondern gewissen Regeln folgen.
Ja.
Der Mensch ist aber ein schlechter Zufallsgenerator. Wir orientieren uns selbst bei "zufälligem" Auswählen am Layout der Tastatur, der Reichweite unserer Finger und der Art der Bewegung, die die Finger ausführen müssen. Wir tendieren dazu, diese Bewegungen zu "optimieren", was in Passwörtern wie "qwertz" endet.
Besser ist es, wenn man einen Würfel nimmt. Oder die Lottozahlen. Diese Ergebnisse sind garantiert zufällig. Man muss sie nur noch in eine Form umwandeln, sodass ein Passwort mit A-Z, a-z und 0-9 rauskommt.
Der Mensch ist aber ein schlechter Zufallsgenerator. Wir orientieren uns selbst bei "zufälligem" Auswählen am Layout der Tastatur, der Reichweite unserer Finger und der Art der Bewegung, die die Finger ausführen müssen. Wir tendieren dazu, diese Bewegungen zu "optimieren", was in Passwörtern wie "qwertz" endet.
Besser ist es, wenn man einen Würfel nimmt. Oder die Lottozahlen. Diese Ergebnisse sind garantiert zufällig. Man muss sie nur noch in eine Form umwandeln, sodass ein Passwort mit A-Z, a-z und 0-9 rauskommt.
Zuletzt bearbeitet:
Aber für sowas braucht man doch Programme oder? Ich meine ein normaler Hacker bekommt doch keine Muster raus oder? Also angenommen das Passwort wäre a1s2d3f4 wie schwer wäre das rauszubekommen für eine normalen Hacker?
Der braucht nur Sekunden. Solche Kombinationen stehen im Wörterbuch.
Du darfst nichts nehmen, das irgendeinem Muster entspricht (also auch nicht im gleichmäßigen Zickzack über die Tastatur). Diese Kombinationen sind alle bekannt. a1s2d3f4 wird genauso schnell gehackt wie qywxec, pqowie und so weiter.
Verschlüsselung brechen heißt, Muster zu suchen.
Du darfst nichts nehmen, das irgendeinem Muster entspricht (also auch nicht im gleichmäßigen Zickzack über die Tastatur). Diese Kombinationen sind alle bekannt. a1s2d3f4 wird genauso schnell gehackt wie qywxec, pqowie und so weiter.
Verschlüsselung brechen heißt, Muster zu suchen.
Zuletzt bearbeitet:
http://www.golem.de/news/webhoster-...sselte-passwoerter-entwendet-1307-100575.html
http://www.golem.de/news/ubuntu-for...-passwoerter-und-nutzernamen-1307-100518.html
http://www.golem.de/news/hacker-angriffe-auf-konami-valve-und-bohemia-1307-100402.html
http://www.golem.de/news/passwort-aendern-server-von-ubisoft-gehackt-1307-100163.html
http://www.heise.de/newsticker/meld...mindestens-38-Millionen-Accounts-2035847.html
Noch Fragen?
http://www.golem.de/news/ubuntu-for...-passwoerter-und-nutzernamen-1307-100518.html
http://www.golem.de/news/hacker-angriffe-auf-konami-valve-und-bohemia-1307-100402.html
http://www.golem.de/news/passwort-aendern-server-von-ubisoft-gehackt-1307-100163.html
http://www.heise.de/newsticker/meld...mindestens-38-Millionen-Accounts-2035847.html
Noch Fragen?
Die haben dann die verschlüsselten Passwörter. Keiner legt die mehr in Klartext ab und wer es doch tut, ist grob fahrlässig.
Und deshalb muss man die PWs cracken.
Es ist extrem selten, dass verschlüsselte Verbindungen geknackt werden. An die Passwörter kommen die Hacker hingegen sehr viel öfter.
Und deshalb muss man die PWs cracken.
Es ist extrem selten, dass verschlüsselte Verbindungen geknackt werden. An die Passwörter kommen die Hacker hingegen sehr viel öfter.
Ui. Aber angenommen die klauen Passwörter von Emailanbietern würden die einen dann nicht informieren und mitteilen, dass man das PW ändern soll?
Und angenommen die haben sowieso Zeit und können in Ruhe versuchen die PWs zu knacken macht es dann wirklich so nen großen Unterschied wie gut das Passwort ist? Was ist wenn die wochenlang Zeit haben?
Und angenommen die haben sowieso Zeit und können in Ruhe versuchen die PWs zu knacken macht es dann wirklich so nen großen Unterschied wie gut das Passwort ist? Was ist wenn die wochenlang Zeit haben?
punki1
Lieutenant
- Registriert
- Dez. 2009
- Beiträge
- 512
Die Arbeit macht man sich doch nur, wenn es sich lohnt an die Daten zu kommen. Übertrieben gesagt, macht sich keiner die Arbeit an deine Daten zu kommen, wenn er länger als 5min brauch um das PW zu knacken, denn deine Daten sind einfach uninteressant. Wer will schon wissen, dass du 10 Spammails pro Tag bekommst.
Mit genug Zeit bekommst du jedes PW raus.
Mit genug Zeit bekommst du jedes PW raus.
ML95
Lt. Junior Grade
- Registriert
- Aug. 2012
- Beiträge
- 366
Und was ist mit solchen Passwörtern, die sich aus den jeweiligen Anfangsbuchstaben eines Satzes zusammensetzen?
Habe mal gehört, eine gute Methode Passwörter zu finden sei, sich einen längeren Satz auszudenken (der evtl. in irgendeinem Zusammenhang mit dem letzten Urlaub oder anderem steht, um eine gewisse Länge zu erhalten und zugleich die Merkbarkeit zu verbessern) und dann die Anfangsbuchstaben jeden Wortes zu einer Stelle des Passwortes zu machen. Idealerweise mit Zahlen und Sonderzeichen kombiniert.
Diese Methode folgt natürlich auch einer Logik, da das Passwort nach einer Struktur erstellt wurde. Diese ist aber nur dem Ersteller des PW bekannt und kann durch einen Hacker ja nicht objektiv nachvollzogen werden. Ohne die Kenntnis des Satzes dahinter ist es für einen Außenstehenden ja nur wilder Zeichensalat, oder ist sowas heutzutage auch schon so schnell knackbar?
Habe mal gehört, eine gute Methode Passwörter zu finden sei, sich einen längeren Satz auszudenken (der evtl. in irgendeinem Zusammenhang mit dem letzten Urlaub oder anderem steht, um eine gewisse Länge zu erhalten und zugleich die Merkbarkeit zu verbessern) und dann die Anfangsbuchstaben jeden Wortes zu einer Stelle des Passwortes zu machen. Idealerweise mit Zahlen und Sonderzeichen kombiniert.
Diese Methode folgt natürlich auch einer Logik, da das Passwort nach einer Struktur erstellt wurde. Diese ist aber nur dem Ersteller des PW bekannt und kann durch einen Hacker ja nicht objektiv nachvollzogen werden. Ohne die Kenntnis des Satzes dahinter ist es für einen Außenstehenden ja nur wilder Zeichensalat, oder ist sowas heutzutage auch schon so schnell knackbar?
Ich kenne diese Methode. Rein rechnerisch verringern sich die Zahl der Möglichkeiten, wenn man danach geht. Aber man macht etwas wilderen und vor allem längeren Zeichensalat, den man sich sonst nicht ausdenkt.
Bsp.:
"Ich gehe immer um 7:30 zur Arbeit."
Großbuchstaben (26+3), Kleinbuchstaben(26+4), Ziffern(10) und zwei Sonderzeichen(aus ~16 verschiedenen) = verschiedene 85 Zeichen
Dann die Abkürzungsmethode verwenden, kommt "Igiu7:30zA." raus. Länge ist 11 Zeichen.
Rein rechnerisch ergibt das 85^11 = 1,6 * 10^21 Kombination.
Wenn man sich aber jetzt die Struktur des Passworts anschaut, kann man erahnen, dass es sich um einen Satz handelt.
- Der erste Buchstabe ist groß.
- Das letzte Zeichen ist ein Punkt.
=> Dafür gibt es sicher eine Regel a la "Großbuchstaben am Anfang und Punkt am Ende, dazwischen irgendwas anderes". Die Kombinationsmöglichkeit des ersten Zeichens verringert sich von 85 auf 26(+3), die des letzten Zeichens von 85 auf 1(!). Damit ist insgesamt die Anzahl der Möglichkeiten um das 5.000fache geschrumpft und er muss jetzt nach einem Zeichen weniger suchen. Das Passwort hat für den Rechner jetzt nur noch 10 Zeichen.
- 7:30 ist eine bekannte und relativ häufig verwendete Kombination, dürfte im Wörterbuch stehen.
Wirklich ausprobieren muss er nur noch "*giu****zA*". Das sind nur 5 Zeichen, aber die muss er mit Millionen Wörterbucheinträgen und 26 Zeichen am Anfang kombinieren.
Damit haben wir als Suchraum:
[26+3 Anfangsbuchstaben] * [5 Zeichen mit je 85 Möglichkeiten] * [Wort aus hm... 10 Mio. Wörter starkes Wörterbuch]
bzw.
(26+3) * (85^5) * (1 * 10^6) = 1,3 * 10^17 Kombinationen
Das ist deutlich weniger als die 1,6 * 10^21 vom Anfang.
Die Komplexität ist zwar verringert, aber trotzdem noch besser als das meiste, was sich Leute sonst so ausdenken.
Bsp.:
"Ich gehe immer um 7:30 zur Arbeit."
Großbuchstaben (26+3), Kleinbuchstaben(26+4), Ziffern(10) und zwei Sonderzeichen(aus ~16 verschiedenen) = verschiedene 85 Zeichen
Dann die Abkürzungsmethode verwenden, kommt "Igiu7:30zA." raus. Länge ist 11 Zeichen.
Rein rechnerisch ergibt das 85^11 = 1,6 * 10^21 Kombination.
Wenn man sich aber jetzt die Struktur des Passworts anschaut, kann man erahnen, dass es sich um einen Satz handelt.
- Der erste Buchstabe ist groß.
- Das letzte Zeichen ist ein Punkt.
=> Dafür gibt es sicher eine Regel a la "Großbuchstaben am Anfang und Punkt am Ende, dazwischen irgendwas anderes". Die Kombinationsmöglichkeit des ersten Zeichens verringert sich von 85 auf 26(+3), die des letzten Zeichens von 85 auf 1(!). Damit ist insgesamt die Anzahl der Möglichkeiten um das 5.000fache geschrumpft und er muss jetzt nach einem Zeichen weniger suchen. Das Passwort hat für den Rechner jetzt nur noch 10 Zeichen.
- 7:30 ist eine bekannte und relativ häufig verwendete Kombination, dürfte im Wörterbuch stehen.
Wirklich ausprobieren muss er nur noch "*giu****zA*". Das sind nur 5 Zeichen, aber die muss er mit Millionen Wörterbucheinträgen und 26 Zeichen am Anfang kombinieren.
Damit haben wir als Suchraum:
[26+3 Anfangsbuchstaben] * [5 Zeichen mit je 85 Möglichkeiten] * [Wort aus hm... 10 Mio. Wörter starkes Wörterbuch]
bzw.
(26+3) * (85^5) * (1 * 10^6) = 1,3 * 10^17 Kombinationen
Das ist deutlich weniger als die 1,6 * 10^21 vom Anfang.
Die Komplexität ist zwar verringert, aber trotzdem noch besser als das meiste, was sich Leute sonst so ausdenken.
Zuletzt bearbeitet:
LinuxMcBook
Banned
- Registriert
- Juli 2008
- Beiträge
- 4.595
Wer testet bitte auf solche Kombinationen? Da gibt es ja auch wieder 1000 verschiedene.
Bei der Erstellung für Rainbow Tables mag ich mir das noch vorstellen. Aber beim Bruteforcen dürfte sich doch alles komplexere als Wort + Wort + Sonderzeichen/Ziffern erledigt haben.
Bei der Erstellung für Rainbow Tables mag ich mir das noch vorstellen. Aber beim Bruteforcen dürfte sich doch alles komplexere als Wort + Wort + Sonderzeichen/Ziffern erledigt haben.
