|
||
| Thema: Re:Kann man sich hier eigentlich seinen Account sperren? | Antwort auf: Re:Kann man sich hier eigentlich seinen Account sperren? von Don Cosmo | |
| >>Habe ich einen Denkfehler drin? :) > >Es liest sich alles richtig, Hatte ich mir auch richtig überlegt, also Anzahl erlaubter Zeichen hoch Passwortlänge. [http://www.password-depot.com/know-how/brute-force-attacks.htm]. Die veranschlagen offline übrigens 2 Milliarden Tries pro Sekunde für einen High End PC - von vor ein paar Jahren. >xkcd kommt (bei 1000 Versuchen pro Sekunde, bei Dir sind es 100) bei einem 11-stelligen Passwort dennoch nur auf 3 Tage. Ich hatte mich da mal auf dessen Zahlen verlassen...? :( >[https://xkcd.com/936/] Der XKCD Comic macht aber keine stumpfe Bruteforce (also sämtliche Kombinationen durchprobieren, worauf ich mich bezog), sondern eine Dictionary-gestützte Bruteforce, die mehr oder minder ein StringDigit Passwortformat annimmt (ein einzelnes Wort, gefolgt von Ziffern/Sonderzeichen), den Großbuchstaben nur zu Beginn vermutet und übliche l33t-Ersetzungen in den Dictionary-Wörtern einsetzt, für den Wort-Abschnitt also nicht wirklich Zahlen durchprobiert, sondern für einen Dictionary-Eintrag "Haus" auch H4us, H4u5, Hau5, H@us und H@u5 (und alles nochmal mit kleinem "h") probiert. Der Zuwachs ist deutlich geringer, als überall alle Ziffern und Sonderzeichen durchzuprobieren. Und es wird die bei Passwortstärke-Einschätzungen gängige Bit-Entropie als Maß genommen ([https://en.wikipedia.org/wiki/Password_strength#Entropy_as_a_measure_of_password_strength] und [https://en.wikipedia.org/wiki/Entropy_(information_theory)]), nicht die berechnete Anzahl von Kombinationen wie in meinem Beispiel. Aus diesen Gründen kommen die natürlich auf drastisch kürzere Zeiten als ich, der Faktor 10 von 10ms vs 1ms pro Web-Anfrage fällt da gar nicht mehr ins Gewicht. Ich kenne den Comic Strip, aber ich fand damals schon, dass die Schlussfolgerung löchrig ist - "correcthorsebatterystaple" sind nunmal alles normale Wörter, wie sie im Lexikon stehen; wenn eine Dictionary Attack so eingestellt ist, dass bis zu vier Wörter miteinander kombiniert werden (combinator attack), sollte das Passwort eigentlich auch sehr schnell fallen ("offline" - nicht im Webkontext). Nicht das Comic betreffend, aber ich wollte es irgendwo unterbringen und das mach ich jetzt einfach hier: Für abgegriffene Passwort-Hashes kann man sich ja auch der diverser Rainbow Tables für die benötigte Verschlüsselungsmethode bedienen, z.B. hier [http://project-rainbowcrack.com/table.htm] und einfach eine Volltextsuche nach einem zu entschlüsselnden Hash ausführen - es gibt Rainbow Table Projekte, die rechnen seit zig Jahren für verschiedene Hash-Verschlüsselungsmethoden beliebige Zeichenkombinationen in den Passwort-Hash um, eine einzelne Rainbow Table Textdatei ist schnell mal 25 GB und mehr. Es gibt Online-Abfrage-Formulare für Rainbow Tables, mit denen man sehr schnell Hashes cracken lassen kann und die dann das Plaintext Password ausspucken. Links spare ich mir mal an dieser Stelle. Etwas Lesematerial gefällig? Top 10000 worst passwords - "30% of all leaked users have a password from the top 10,000 passwords" [https://web.archive.org/web/20150209170139/https://xato.net/passwords/more-top-worst-passwords/#.VyMRnfl95aQ] Unmasked: What 10 million passwords reveal about the people who choose them [http://wpengine.com/unmasked/] Anatomy of a hack: How crackers ransack passwords like “qeadzcwrsfxv1331” For Ars, three crackers have at 16,000+ hashed passcodes — with 90 percent success. [http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/1/] Absolut lesenswert (auch die davon abgehenden Links). In dem Artikel wird übrigens auch erwähnt, wie eine Combinator Attack über Dictionary das "correcthorsebatterystaple" aus dem XKCD strip wegbügeln würde (der Strip kommt sogar im Artikel vor). How I’d Hack Your Weak Passwords [http://onemansblog.com/2007/03/26/how-id-hack-your-weak-passwords/] Und als Bonus, zum Angst machen: Everything is broken It’s hard to explain to regular people how much technology barely works, how much the infrastructure of our lives is held together by the IT equivalent of baling wire. Computers, and computing, are broken. [https://medium.com/message/everything-is-broken-81e5f33a24e1] ***Diese Nachricht wurde von membran am 29.04.2016 12:31 bearbeitet.*** |
||
| < Auf diese Nachricht antworten > | ||