| membran (E-Mail nur eingeloggt Sichtbar) am 28.04.2016 15:59 Uhr |
>
>Neeeneee, so Fiesimatenten wollte ich Dir nicht unterstellen, sondern einfach mal aus Langeweile am Wochenende das Forum mit User/Passwort-Kombinationen befeuern ... einfach, weil es geht und Du es könntest!
>
Achso. Eine Bruteforce direkt auf den Webserver dürfte etwas längern dauern. Normalerweise versucht man, mittels Exploit Zugriff auf die Datenbanktabelle mit den Usernames samt verschlüsselten Passwort-Hashes zu bekommen, diese lokal abzuspeichern, die verwendete Verschlüsselungsmethode herauszufinden und dann die Bruteforce "offline" laufen zu lassen.
Für die Bruteforce auf den Webserver für einen Username: wenn ich mich nicht vertue, gilt bei einer stumpfen Bruteforce (sämtliche Kombinationen) mit den üblichen erlaubten Passwortzeichen (ASCII Codes 33 bis 126) für Passwörter mit der Länge 6 und bei einer durchschnittlichen Dauer von einer (optimistischen) Hunderstel Sekunde pro Versuch (Anfrage bis Server-Response, das Forum hier hat auf simple Anfragen eine Response Time zwischen einer und zwei Hunderstelsekunden, gerade getestet):
(126 - 33)^6/86400/365/100 ~ 205 Jahre
Selbst wenn man Sonderzeichen rauslässt und nur Klein- und Großbuchstaben sowie Ziffern (26+26+10 = 62) berücksichtigt:
62^6/86400/365/100 ~ 18 Jahre
Und weil exponentiell immer so schön nach oben schnellt, gilt für Passwörter mit der Länge sieben schon 19080 Jahre inkl. Sonderzeichen bzw 1116 Jahre ohne.
Habe ich einen Denkfehler drin? :)
***Diese Nachricht wurde von membran am 28.04.2016 16:14 bearbeitet.***
***Diese Nachricht wurde von membran am 28.04.2016 16:15 bearbeitet.***