Warum kann Passwortknacken nicht einfach SO verhindert werden?

[hasenbein]

Hallo liebe Gemeinde,

bestimmt kann mir einer mal eine Sache erklären, die mir einfach nicht in den Kopf will.

Es geht um (automatisiertes) Knacken von Passwörtern, z.B. durch Brute Force oder Hash Tables, und darum, dass Quantencomputer dadurch Sicherheit zunichte machen könnten, dass sie ungleich mehr Möglichkeiten pro Zeiteinheit durchprobieren könnten.

Warum geht das überhaupt, so viele Möglichkeiten so schnell hintereinander auszuprobieren?

Könnte man nicht einfach das Interface zur Passwortabfrage so programmieren, dass die Antwort des Servers, ob das Passwort richtig oder falsch war, immer ein wenig dauert, so dass Brute-Force-Attacken unabhängig von der Rechenleistung des angreifenden Computers schlicht unmöglich wären, weil sie unendlich viel zu lange dauern würden? Wenn nein, warum denn eigentlich?

Sehe ich es also nicht richtig, dass das eigentliche Problem doch eigentlich ist, dass der Angreifercomputer viel zu schnell eine Rückmeldung über die Richtigkeit oder Unrichtigkeit des Passwortes erhält??

Klärt mich Naivling mal auf. Danke.

 

[cartridge_case]

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[grützbrütz]

Könnte man nicht einfach das Interface zur Passwortabfrage so programmieren, dass die Antwort des Servers, ob das Passwort richtig oder falsch war, immer ein wenig dauert,

Hä? Das ist überall schon so der Fall. Außerdem gehts bei dem Passwort Knacken dann nicht um Facebook Accounts von Josef Jedermann über ein Webinterface, sondern um das Knacken von private/public Key-Paaren oder AES Verschlüsselungen.

 

[iSight2TheBlind]

@hasenbein Ordentliche Zugangssysteme besitzen natürlich einen Bruteforce-Schutz und erhöhen nach fehlgeschlagenen Passworteingaben die Zeit bis zur nächsten möglichen Eingabe oder löschen z.B. geschützten Speicher nach 10 Falscheingaben.

Die Gefahr gerade bei Quantencomputern ist eher, dass dabei nicht das Zugangssystem angegriffen wird sondern die verschlüsselten Daten selbst.
Dh es werden keine Passwörter im Loginfenster ausprobiert sondern man versucht so lange verschiedene Schlüssel bis eine abgefangene (!) verschlüsselte Nachricht erfolgreich entschlüsselt werden kann.

 

[KnolleJupp]

Es geht dabei nicht um das Herausfinden von Zugangsdaten zu irgendwelchen Webdiensten. (Das geht am besten nach der Slow-and-Low-Variante, dauert länger, ist aber am Ende am vielversprechendsten.)
Sondern um das Knacken von Verschlüsselungen wie RSA, AES, Blowfish, Serpent, Twofish, Anubis uvm.

z.B. eine Bitlocker- oder TrueCrypt/VeraCrypt-Verschlüsselung eines Laufwerks, Verschlüsselungen von eMail-Kommunikation, Bankgeschäften uvm.

z.B. eine 2048Bit RSA Verschlüsselung lässt sich mit herkömmlichen Rechner in sinnvoller Zeit nicht knacken. Es wären wohl viele, viele Jahre Rechenzeit nötig.
Mit einem Quantencomputer würde das nur ein paar Stunden dauern. Aber solche Computer gibt es noch nicht, jedenfalls nicht in der benötigten Ausbaustufe.

 

[cartridge_case]

Bruteforce-Schutz

Danke für das Stichwort. Wusste doch, dass das oben das falsche Video ist:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Ltcrusher]

Grundsätzlich gilt: alles, was von Menschenhand erdacht und produziert wird, kann von Menschenhand auch umgangen, gehackt, kopiert, etc. werden.

Kriminelle Elemente sind meist einen Schritt voraus. Meiner Meinung nach muss es dann in jedem technischen Bereich Maulwürfe geben, die dann den nächsten Entwurf sofort rausplaudern, gegen gutes Geld natürlich oder sie sind so naiv, daß sie bei jedem Bier zu reden anfangen.

So sehe ich das mal laienhaft.

 

[KnolleJupp]

Na ja, bei den meisten Verschlüsselungsverfahren weiß man ganz genau wie diese intern arbeiten. Ist ja letztlich nur Mathematik.
Aber selbst wenn man das weiß und eine Software programmiert, die eine solche Verschlüsselung knacken soll, wäre die Bearbeitungszeit ja nach Schlüssellänge viel zu hoch.
Ein Quantenrechner wäre ein Ansatz genau diese Bearbeitungszeit dramatisch zu senken, wenn der Computer nur leistungsfähig genug ist.

 

[ghecko]

Warum geht das überhaupt, so viele Möglichkeiten so schnell hintereinander auszuprobieren?

Durch die Multiwertigkeit von Qbits. Statt eine Möglichkeit zu testen, diese zu verwerfen und danach die nächste zu testen kann man spezielle Probleme mit einer Mehrzahl an Qbits und deren Verhalten bei Interaktion "testen". Da diese aber keine festen Zustände kennen bis ihr Zustand durch eine Messung determiniert wird, können sie eine Vielzahl an Möglichkeiten gleichzeitig darstellen. Dieser "Versuch" wird dann wiederholt und nach dem Häufungsmuster der Ergebnisse das Ergebnis festgelegt.

Kurz, es gibt keine einfache Möglichkeit das zu erklären. Es gibt auch keine einfache Möglichkeit, das mit unserer dreidimensionalen Denkweise zu verstehen. Wir stochern was das betrifft irgendwie nur im Nebel herum. Und mit "wir" meine ich den intelligenten Teil der Menschheit, nicht die Fraktion die mit dem Finger nur in der Nase herumstochert.

Wenn dich das noch nicht abgeschreckt hat, suche im Netz nach "Doppelspaltexperiment".

Sehe ich es also nicht richtig, dass das eigentliche Problem doch eigentlich ist, dass der Angreifercomputer viel zu schnell eine Rückmeldung über die Richtigkeit oder Unrichtigkeit des Passwortes erhält??

Darauf sind hier schon viele eingegangen, aber nochmal im Klartext: Es geht nicht darum eine Passworteingabe mit Trilliarden von Passwörtern zu bombardieren, sondern darum verschlüsselte Daten, die ständig im Netz zirkulieren, zu entschlüsseln. An Daten zu gelangen ist im Netz keine Herausforderung wenn man Zugriff auf die Infrastruktur hat. Nur sind diese verschlüsselt wertlos. Und hier setzt man in Zukunft auf die Quantencomputer.
Aber es wird gleichzeitig auch an Verschlüsselungstechniken für die Ära mit Quantencomputern geforscht. Mal sehen wer schneller ist.

 

[KnolleJupp]

Ich würde mich jetzt nicht dazu herablassen zu versuchen zu erklären wie ein Quantencomputer arbeitet und was Qubits sind, ich würde mich nur lächerlich machen...
So grob laienhaft kriege ich es schon zusammen, aber das wäre alles andere als wissenschaftlich korrekt.

 

[leipziger1979]

Eigentlich lässt sich Brute Force ganz einfach ausschalten.
Der Server akzeptiert maximal 3 falsche Passwörter und danach tritt eine Sperre von, sagen wir mal, 15 Minuten ein.
Erst danach geht es wieder.

Somit kommst auf 288 Versuche in 24 Stunden.
Da nützt dir der schnellste Supercomputer der Welt nichts.

 

[schneup]

Grundsätzlich gilt: alles, was von Menschenhand erdacht und produziert wird, kann von Menschenhand auch umgangen, gehackt, kopiert, etc. werden.

Kriminelle Elemente sind meist einen Schritt voraus. Meiner Meinung nach muss es dann in jedem technischen Bereich Maulwürfe geben, die dann den nächsten Entwurf sofort rausplaudern, gegen gutes Geld natürlich oder sie sind so naiv, daß sie bei jedem Bier zu reden anfangen.

Sehe ich hoechstens bei Security by Obscurity Implementationen aehnlich. Die besten Verschluesselungsmethoden sind ueblicherweise weder geheim noch unter Verschluss. Natuerlich sind auch diese knackbar aber es geht darum das Entschluesseln moeglichst lange zu verzoegern, jedenfalls mindestens solange wie die geschuetzten Daten schuetzenswert sind. Das Problem bei vielen Sicherheitsmassnahmen ist, dass sie nicht bequem sind oder, schlimmer, Backdoors/Workarounds durch die User verwendet werden weil man zu undiszipliniert ist ("wasch mich aber mach mich nicht nass"). Wie ueblich ist das ganze so sicher wie das schwaechste Glied in der Kette.

 

[DonConto]

Brute Force über Internet gegen eine Passwortabfrage ist Script Kiddy Niveau. Antwortzeit und Schutz gegen Mehrfacheingaben verhindern hier einen effizienten Angriff.
Normalerweise kommt man deshalb über verschiedene Angriffe in den Besitz der Datenbank mit den gespeicherten (und verschlüsselten) Passwörtern. Dagegen fährst du dann deinen Brute Force Angriff lokal auf deinem Rechner. Je nachdem wie schlecht die Passwörter dort abgelegt sind könnte das über kurz oder lang zum Erfolg führen.

 

[drunk_chipmunk]

Brute Force spielt meistens sowieso keine Rolle, eben weil es sich relativ einfach verhindern lässt (zumindest bei Online-Diensten, verschlüsselte Dateien sind ein anderes Thema, aber auch längst nicht so häufig Ziel von Attacken).

In den meisten Fällen, die sich aus krimineller Sicht "lohnen", mit denen man also ordentlich Geld verdienen kann (eBay-Zugänge, Facebook-Accounts, Onlinebanking-Accounts, ...) verschaffen sich Kriminelle mittels Phishing, über abgegriffene User/Password-Kombinationen, über kompromittierte Systeme, über ungepatchte Sicherheitslücken oder durch Social Engineering Zugang.

Es gibt viel zu viele Leute, die auf Phishing-Mails hereinfallen, identische Zugangsdaten bei zig verschiedenen Diensten verwenden oder SMS-Codes an angebliche Bekannte weitergeben.

 

[Axxid]

Kriminelle Elemente sind meist einen Schritt voraus. Meiner Meinung nach muss es dann in jedem technischen Bereich Maulwürfe geben, die dann den nächsten Entwurf sofort rausplaudern, gegen gutes Geld natürlich oder sie sind so naiv, daß sie bei jedem Bier zu reden anfangen.

Es wird doch gerade bei Sicherheit nach OpenSource gefragt. Die Leute wollen ja eine Verschluesselung, bei der sie wissen, wie sie arbeitet, eben um einzuschaetzen ob es auch sicher genug ist.
Dazu muss man sich eigentlich immer darueber im klaren sein, wie so etwas ausgehebelt werden koennte.

 

[chrigu]

sowas geht nur bei nicht gepatchten Tools wie webcams, Lichtschalter usw. und alten Windows server.
die neueren geräte blocken bei bruteforce ab.

 

[BeBur]

Das Stichwort dazu heißt "Online-" bzw. "Offline-" Attacke. Du hast nur an Offline-Angriffe gedacht, wie sie z.B. auch bei Wifi WPA2-PSK (das was so ziemlich jeder verwendet) möglich sind.

Es gibt auch Algorithmen, welche Offline-Attacken erschweren, KeePass verwendet das. Das ist Algo-bedinger Rechenaufwand, der sich nicht abkürzen lässt und dafür sorgen, dass z.B. ein Normaler Office-PC 1 Sekunde pro Versuch benötigt.

Zu Quantencomputing (QC) ist zu sagen:
1. Das dauert noch.. deutlich länger als Google und IBM nahe legen wollen
2. Es gibt bereits diverse Ausweichmöglichkeiten, zum einen QC resistente Verfahren, welche auch gerade im NIST Standardisierungsprozess sind.
3. Symmetrische Verfahren wie AES sind von sich aus schon "Quantenresistent" in einem gewissen Sinne, das man einfach die Bits weit genung erhöht und dann kann auch QC das nicht mehr knacken.

 

[SuperUltraPro:)]

Es gibt ehrlich gesagt kein Problem beim "Password knacken" bzw. es ist immer noch ein Problem für die dies es wollen.

Sicherheitsmaßnahmen sind Verzögerungen bei Passworteingabe, 2 oder 3 Faktor Authentifizerung, bessere Verschlüsselung.
Wer setzt denn wirklich Brute-Force ein? So töricht und naiv muss ma erst mal sein. Sehr auffällig und radikal. Ein Opfer bekommt sowas sofort mit und kann gegensteuern. Zumindest in Firmennetzen totaler Unsinn. Der Heimrouter biem kleinen MaX ist evtl. ein Ziel, aber was ist bei Max denn zu holen?

Quantencomputer werden vorerst und nicht für privatleute zugänglich. Sollte sie mal als Co-Prozessoren im Heimcomputer vorzufinden sein dann wohl auch nur als nicht leistungsstarke Variante. Ich schätze das als keine Gefahr ein einen Supercomputer jemals zu Hause zu haben. Und wenn wäre es zu teuer für Privatpersonen.

 

[hasenbein]

Vielen Dank für die Antworten, habe meinen Denkfehler erkannt. Schönen Abend noch!