ComputerBase
Aktuelles

WinRar Datein mit PW umgehen?!

TheFameGamer

TheFameGamer

Lt. Commander
Registriert
Jan. 2012
Beiträge
1.192
Hey Leute ein Freund von mir hat mir dieses Video geschickt da zeigen die wie man .rar datein mit Passwort einfach umgeht

normal glaub ich das nicht aber es sind ganz viele Videos auf Youtube wo die das mit dem Tool "UnrarIT" machen und bei jedem dieser videos ist der gleiche Rapidshare Download link (Der nicht mehr funktioniert) drinnen
ich wollte jetzt einfach mal fragen aufgrund der sehr vielen Positiven bewertungen auf Youtube ob ihr das für möglich haltet bzw ob sowas überhaupt möglich ist mit einem Tool?
Ich will garnicht wissen wie etc einfach nur ob ihr wisst ob sowas funktioniert bzw möglich ist?
Gruß Justin
 
UnrarIT ist ein BruteForce Tool, welches hinterlegte Passwörter ausprobiert. Klar geht das.
Wenn das PW aber nicht in der Liste steht, kriegst du die Datei auch nicht auf.

Das eignet sich nur für Files aus Quellen, wo eine begrenzte Anzahl an Passwörtern verwendet wird.
 
Funktioniert, hab ich selbst schon einmal bei einer Datei getestet bei der ich das Passwort vergessen hatte ;-)

Grüße
13inch
 
einfach umgeht!?
Nein geht nicht. Außer das PW steht in der Liste (erstellt aus den häufigsten PW die in Foren gepostet werden + 1 Mille Null8-15 PW)
Hab selbst PW knacken probiert mit Progs die die Grafikkarte zusätzlich verwendeten - No way.
z.B. Pampelmuse17 im (kleinörtlichen) Dialekt mit vielen Rechtschreibfehlern knackt kein Prog!

lg
 
Ein interessanter Themenbeitrag:

Sicherheit: WinZip und WinRAR

Es ist deutlich wahrscheinlicher, dass man ein Passwort vergisst, als dass eine verschlüsselte Datei in die falschen Hände gerät. Selbst wenn der Übeltäter über die beste Desktop-Hardware verfügte, dürfte er bereits mehr als 1000 Jahre damit beschäftigt sein, ein neunstelliges Passwort für eine mit AES-128 verschlüsselte WinZip-Datei zu knacken. Wer sich hingegen noch halbwegs an sein Passwort erinnert, hat gute Chancen.
Zum Vergrößern anklicken....

Quelle:

http://www.tomshardware.de/Passwort-Knacken-GPGPU-WinRAR-WinZIP,testberichte-240839-8.html
 
Nichts für ungut aber ein 9 stelliges Passwort knackt man heutzutage in maximal 20 Stunden. Nimmt man ein paar GPUs zur Hand dauerts nur noch ne Stunde.
Ab 12 Stelle aufwärts dauerts selbst mit GPU Beschleunigung knapp 100 Jahre. Zumindest mit den Marktführertools. Aber offiziell sind das natürlich Passwort Recovery Tools. ;)

Quelle: letzte IT-Sicherheitsschulung mit nem Pentester & White Hat Hacker als Dozenten
 
Vakuum Maximum schrieb:
Nichts für ungut aber ein 9 stelliges Passwort knackt man heutzutage in maximal 20 Stunden. Nimmt man ein paar GPUs zur Hand dauerts nur noch ne Stunde.
Zum Vergrößern anklicken....
Kannst du zaubern? Allein bei Kleinbuchstaben + Zahlen + Sonderzeichen (69 unterschiedliche Zeichen) benötigst du mit einer HD 5870 (~ 2 Mrd. Keys/s) 68 h für ein 8-stelliges Passwort. Für 9 Stellen ist es dann schon ein ganzes Jahr.

Ich weiß nicht was du für Wunderzeug zur Verfügung hast, aber "noch ne Stunde" ist reichlich untertrieben.

Im Cluster gehts natürlich schneller, aber wie brichst du ein Jahr auf ein paar Stunden herunter? Großbuchstaben sind ja noch nicht mal enthalten und wenn du gar keine Ahnung von der Zusammensetzung des Passwortes hast, sind es schon 102 unterschiedliche Zeichen und da bekommst du gerade mal ein 7-stelliges Passwort in 15 Stunden hin.
 
Google mal nach der Firma Elcomsoft, das ist einer der Anbieter für solches "Wunderzeug".
Die Zahlen stammen vom SecuMedia Verlag von Anfang 2009 aus deren Fachzeitschrift kes (02/2009). Bei der GPU Berechnung wird dort von 4 GPUs bei 96 Zeichen und einer Leistung von 2,2 Mrd Hashes/Sek. ausgegangen.

Quelle: Unterlagen aus diesem Kurs:
http://www.com-training.com/it-prof...508857/view-list|page_id-1913/2012/12/31.html
Ich denke dort lernt man etwas mehr als hier so im Forum kursiert. ;)
 
Bei 2 Mrd Hashes/s benötigen bei 96 Zeichen und einer Passwortlänge von 9 Zeichen aber eine Dauer von 10 Jahren. Die Anzahl unterschiedlicher Kombinationen beträgt dabei 692.533.995.824.480.000
(693 Billiarden). Eine Passwortlänge von 7 Zeichen bei 96 unterschiedlichen Zeichen ist bei 2 Mrd Hashes/s in 10 Stunden knackbar. 8 Stellen sind immerhin in 40 Tagen herauszubekommen.

Kombinationen = Anzahl Zeichen ^ Passwortlänge

Kommt man also auf:
Code: 
96^9
	Ans = 6.925339958e17 // Anzahl Kombinationen
Ans/2096204400
	Ans = 3.303752229e8 // maximal benötigte Zeit in Sekunden
Ans/60
	Ans = 5.506253714e6 // in Minuten
Ans/60
	Ans = 91770.895240793 // in Stunden
Ans/24
	Ans = 3823.7873017 // in Tagen
Ans/365
	Ans = 10.476129594 // in Jahren
Wo sind nun die 20 Stunden? Ein 12-stelliges mit 96 Zeichen benötigt übrigens bei 2 Mrd Keys/s rund 9 Millionen Jahre.

Fachzeitschrift gut und schön, aber irgendwas passt da was nicht. ;) Dass ein Kurs mehr Wissen in kürzerer Zeit schafft, schließe ich nicht aus. Ich bezweifel aber, dass es mehr Wissen schafft. Kommt natürlich auf die Mitglieder und deren Wissen an, aber nur daran zu urteilen, dass es eine Fachzeitschrift ist und per Definition mehr Wissen übermitteln muss, stimmt nicht. Zumal in Foren ja auch "ausreichend" Quellen genannt werden.
 
Mir ist nichts daran gelegen hier irgendetwas vom Himmel runter zu erzählen. Mir leuchtet deine Rechnung ein und ich würde dir auch zustimmen aber mit den entsprechenden Tools geht es nunmal schneller. Ich kann nur schreiben was ich lernen durfte und das war eben dass es in kürzerer Zeit machbar ist. Solche Tools arbeiten wohl sicherlich auch effizienter als in deiner Rechnung. Siehe beispielweise hier:
http://www.heise.de/security/meldung/Passwortknacker-100-mal-schneller-durch-SSD-949988.html

Oder teste mal hier ein Passwort:
https://www.microsoft.com/de-de/security/pc-security/password-checker.aspx?WT.mc_id=Site_Link
Da müsste ein kompliziertes 12 stelliges Passwort nach deiner Rechnung wohl auch laut Microsoft als sehr sehr sicher gelten. Tut es aber nicht.


Und in diesem Fall gebe ich auf das Urteil von Experten mehr als auf eine einfache Rechnung.
Unser Dozent der unter anderem für die Nato und als Datenschutzbeauftragter für Satelitenkommunikation der Bundeswehr gearbeitet hat und heute unter anderem BKA Forensiker schult meinte allerdings, dass er selbst statt den angegebenen 36 sec über eine Minute für ein 8 stelliges Passwort gebraucht hat. Also alles halb so wild.:)

Aus dem Blog scareware.de
"Ein sicheres Kennwort sollte mindestens acht Zeichen haben", heißt es gelegentlich. Nein! Das gilt nur online, wo Kennwörter-Knackprogramme nicht schnell arbeiten können, weil die Verzögerung zwischen Eingabe eines geratenen Kennworts und Information der Ablehnung ("Access Denied") mehr Zeit verschlingt als das eigentliche Durchprobieren der geratenen Kennwörter.

Wer lokal auf Passwortgeschütztes zugreifen kann, für den sind acht Zeichen keine Hürde mehr. Allgemein: Je kürzer die Zeitdauer bei Kennworteingabe und -überprüfung, desto länger muss das Passwort sein, um sicher zu sein. Die Fritz!Box zum Beispiel sperrt nach der Eingabe eines Passworts die Möglichkeit zur erneuten Eingabe um einige Sekunden - das zieht eine Brute-Force-Attacke so sehr in die Länge, dass ein Angriff nur geringe Aussicht auf Erfolg hat - hier reichen auch sechs Zeichen.Bei einem passwortgeschützten ZIP-File oder einem geklauten Notebook mit zu knackendem Windows sieht das anders aus: Der Angriff kann Tausende von Kombinationen pro Sekunde durchspielen, daher reichen acht Zeichen nicht mehr. Bei verschlüsselten Dateien, Festplatten, Dokumenten gilt daher:

Verwenden Sie mindestens zwölfstellige, warum nicht vierzehnstellige, noch besser zwanzigstellige Passwörter. Je länger das Kennwort ist, desto höher ist der Aufwand, sämtliche möglichen Kombinationen durchzuprobieren. Mit heutigen PCs und üblicher Software sind Kennwörter mit weniger als zehn Stellen innerhalb weniger Stunden knackbar - und die NSA hat garantiert was besseres. Und: Dieser Absatz könnte schon nächstes Jahr falsch sein, denn neue Hardware (Multicore-CPUs, Grafikkarten, SSD-Festplatten) sorgt für immer mehr Rechenkraft.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Vakuum Maximum schrieb:
Solche Tools arbeiten wohl sicherlich auch effizienter als in deiner Rechnung. Siehe beispielweise hier:
http://www.heise.de/security/meldung/Passwortknacker-100-mal-schneller-durch-SSD-949988.html
Zum Vergrößern anklicken....
Das Thema dort ist eine Rainbow Table, die bspw. 90 GB umfasst und weder von Privat in den RAM geladen werden kann, noch eigens generierte Keys durchläuft. Das sind stumpfe Daten, die irgendwo liegen und einfach durchprobiert werden. Hier spielt noch die Zugriffszeit von der HDD (~ 10ms) zur SSD (~ 0,1ms) einer Rolle. Dass hier ein Performancesprung zu sehen ist, ist einfach nur logisch und hat mit dem Thema der Herangehensweise Brutceforce (ohne Rainbowtable) kaum etwas zu tun.
Vakuum Maximum schrieb:
Oder teste mal hier ein Passwort:
https://www.microsoft.com/de-de/security/pc-security/password-checker.aspx?WT.mc_id=Site_Link
Da müsste ein kompliziertes 12 stelliges Passwort nach deiner Rechnung wohl auch laut Microsoft als sehr sehr sicher gelten. Tut es aber nicht.
Zum Vergrößern anklicken....
305148


Ich denke "strong" bedeutet relativ sicher. Sogar die Option für verwechselnde Zeichen ist aktiviert (was per se ja erstmal nichts bedeuten muss).


Zu dem Blogpost:

Die 2 Mrd Keys/s werden u.a. durch igrargpu erreicht, sind also lokal vorhandene Daten. 8 Stellen, 102 Zeichen (Groß- + Kleinschreibung + Zahlen + Sonderzeichen + Umlaute) benötigen bei 2 Mrd Keys/s ca. (maximal) 65 Tage. Man erspart sich (ein wenig, je nach Wissenslage) Zeit, wenn man genau weiß, dass ein Passwort x Stellen hat und y mögliche Zeichen enthalten können. Wenn man aber keine Rahmenbedingungen kennt oder keine Anhaltspunkte besitzt, muss man logischerweise auf den kompletten Umfang zurückgreifen.

Das Windows-Passwort lässt sich übrigens durch das Booten einer CD ganz einfach zurücksetzen oder neu setzen. Dafür brauch es gar keinen Angriff.


Aber: Was zitierst du einen Blog, wenn du im Post vorher Ich denke dort lernt man etwas mehr als hier so im Forum kursiert. erwähnst? Sind Blogger seriöser als Avatare in Foren oder wie? Prof. Dr. Schießmichtot kann auch in Foren unterwegs sein, während dessen Hausmeister Popel einen Blog betreibt.
 
Das Windowspasswort kann man sogar mit ner normalen Windowsinstallationsdvd zurücksetzten aber das tut hier nichts zur Sache.

Und ja Blogs hinter denen jemand steht sind für mich vertrauenswürdiger als irgendjemand in irgendeinem Forum. Den zugegebenermaßen relativ oberflächlichen Artikel habe ich nur eingefügt und zu verdeutlichen, dass bei lokalen Dateien eben nichts mit "8 Stellen und sicher" ist.

Und natürlich kann es 65 Tage dauern ein Passwort per Brutforce zu erraten aber warum sollte man nicht zusätzliche Hilfsmittel in Anspruch nehmen. Für sowas werden sogar Amazonserver angemietet. Damit begrenzt nur (allerdings recht schnell je nach PW) dein Bankkonto deinen Erfolg. Und wenn zB. Elcomsoft die eben jene Tools vertreiben zum Schluss kommen das lokale Passwörter erst ab 12 Zeichen wirklich sicher sind dann ist das halt so.Nur weil du oder ich es rechnerisch nicht beweisen können muss es noch nicht falsch sein.

Bei der "Knackgeschwindigkeit" spielt zudem noch die Hashart eine Rolle:

Heise Artikel Cracker Bremse
Dabei kommt den Passwort-Knackern zugute, dass ein ausgespähter Hash meist immer noch mit den für eine schnelle Verarbeitung optimierten Algorithmus MD5 erzeugt wurde. So lassen sich etwa mit kommerziellen Passwort-Knackern der Herstellers Elcomsoft sowie freien Tools wie Hashcat und BarsWF mehrere Millionen Hashes pro Sekunde durchprobieren, um zu sehen, ob einer davon zum Passwort passt. Damit ist ein achtstelliges Passwort in vier Tagen geknackt.
Zum Vergrößern anklicken....

Pustekuchen 40 Tage. MD5 wird heute sogut wie nicht mehr nicht mehr einsetzt.
Auf was welches Verschlüsselungsverfahren der kes Artikel bezieht steht leider in meinen Unterlagen nicht (ja das ist schlecht). Falls ich morgen mal Zeit hab schau ich ob ich den kes Artikel finden kann. SHA1 und andere modere Verfahren erhöhen den Zeitaufwand aber beträchtlich.


Aber auch wenn wir uns nicht einigen einigen musst du mir wohl zustimmen wenn ich sagen, dass die Entwicklung auch in diesem Bereich wohl immer weiter voran schreitet und 2 Zeichen mehr deshalb sicher nicht schaden können.
 
Zuletzt bearbeitet:
" Allerdings können zwei GeForce GTX 570-Karten in SLI immerhin ungefähr 1,5 Milliarden Zip 2.0-verschlüsselte Passwörter pro Sekunde ausprobieren. "

Ich hab hier ein Prog mit dem ich Winzip Archive mit meiner 560TI (GPU Support) bruteforcen kann bei ca. 35 Mio. pws/sec.
Alte Zip Version halt.

Ein weiteres Prog welches auf WinRaR ausgelegt ist aber KEINE GPU Nutzung beinhaltet kommt bei meinem Core i5 2500 auf 6000 pws/sec ( cRARk glaub) - bei aktuellste Winrar Version.

Alles Windows Progs. , nur mal so als Vergleich.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Engaged
Win 7 pw vergessen, neuer benutzer oder pw umgehen?
Antworten
5
Aufrufe
1.091
Boedefeld1990
B
Q
Administrator PW umgehen bei Win XP?
Antworten
6
Aufrufe
7.010
qwerty
Q
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 175 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz