Wie Brute-Force-Cracking Ihr Passwort enthüllen könnte

[ware_item id=33][/ware_item]

Ein Hammer versucht mit Gewalt ein Vorhängeschloss zu öffnen.


Bei der Kryptografie versucht ein Brute-Force-Angriff, verschlüsselten Inhalt durch Erraten des Verschlüsselungsschlüssels zu entschlüsseln. Dieser Angriff ist möglich, wenn der Verschlüsselungsschlüssel kurz ist oder wenn ein Angreifer über ausreichende Informationen verfügt, um den Schlüssel zu erraten.

Bei Webformularen haben Angreifer nicht viel Zeit, um einen Schlüssel zu erraten. Google oder Facebook lassen nur zu, dass jemand so oft versucht, sich in Ihr Konto einzuloggen, bevor er es "sperrt".

Wenn Hacker jedoch die interne Datenbank eines Unternehmens abrufen, haben sie weltweit die Möglichkeit, Ihr Kennwort zu erraten - auch wenn es verschlüsselt ist.

Websites sollten Salt- und Hash-Passwörter enthalten, um Benutzer zu schützen

Wenn Websites Ihre Kennwörter speichern, sollten sie (aber nicht immer) die Benutzerkennwörter sperren und hacken, damit jemand, der im Besitz der Benutzerdatenbank ist, diese nicht verwenden kann.

Hash-Funktionen wie SHA-256 sind kryptografische Einwegfunktionen. Alle Daten, Texte, Bilder oder Zahlen können "gehasht" werden, und unabhängig von der Länge der Eingabe wird das Ergebnis immer 256 Bit lang sein. Bei hexadezimaler Kodierung (siehe unten) ergibt sich eine 64-stellige Zeichenfolge.

Gesalzene Hashes bieten zusätzlichen SchutzBeispiele für "gesalzene" Hashes, erneut gehackt.

Wie Angreifer Ihr Passwort knacken

Um es potenziellen Hackern zu erschweren, ändern Websites Passwörter mit einem „Salt“, einem zufälligen Datenelement (siehe Salting und Hashing)..

Das Berechnen eines Hashs aus Text, Bildern oder Dateien ist trivial und beansprucht für einen Computer weder viel Zeit noch Ressourcen. Wenn Sie jedoch nur den Hash kennen, können Sie den ursprünglichen Wert nur durch einen Brute-Force-Angriff ermitteln. Aus diesem Grund wird eine Hash-Funktion auch als Einwegverschlüsselung bezeichnet. Es ist leicht, vom Text zum Hash zu gelangen, aber sehr schwer, den anderen Weg zu gehen.

Kennwortcracker, die im Besitz einer gestohlenen Benutzerdatenbank sind, sehen möglicherweise die Liste der Benutzernamen, den Salt-Wert für jeden Benutzer und den Hash.

Mit diesen Details können sie versuchen, die Passwörter der einzelnen Benutzer zu erraten, sie zu salzen und zu hashen und ihr Ergebnis mit dem in der Datenbank gespeicherten Hash zu vergleichen. Wenn der Hash übereinstimmt, wissen sie, dass sie das Passwort gefunden haben.

Ein Angreifer muss den Benutzernamen und das Passwort genau eingeben, da das Ändern des Hash auch nur ein kleines bisschen (wie oben gezeigt) zu einem völlig anderen Hash führt.

Wie viele Passwortkombinationen gibt es??

Angenommen, ein Passwort besteht nur aus Kleinbuchstaben. Für jedes Zeichen gibt es 26 Möglichkeiten. Aus diesem Grund ist zu erwarten, dass Sie innerhalb von 13 Versuchen ein aus einem Zeichen bestehendes Kennwort erraten können.

Ein zweistelliges Passwort hat 26 × 26 Optionen und würde (26 × 26) / 2 Versuche zum Entschlüsseln benötigen.

Die Formel c = (m ^ n) / 2 beschreibt die Beziehung zwischen den Möglichkeiten für jedes Zeichen (m), die Passwortlänge (n) und die erwartete Anzahl von Vermutungen (c).

Die Beziehung zwischen der Kennwortlänge und der Anzahl der Versuche, das Kennwort zu knacken

Ein Diagramm, das zeigt, wie viele Versuche erforderlich sind, um Kennwörter unterschiedlicher Länge zu knacken.

  • Passwörter in Kleinbuchstaben (m = 26)
  • Groß- und Kleinschreibung (m = 52)
  • Groß- und Kleinschreibung sowie Sonderzeichen (m = 67)

Während sowohl Komplexität als auch Länge zur Stärke eines Passworts beitragen, ist es weitaus wertvoller, ein Zeichen hinzuzufügen, als seine Komplexität zu erhöhen.

Das Hinzufügen eines zusätzlichen Zeichens zu einem vierstelligen Kennwort unter Verwendung von nur Kleinbuchstaben erschwert das Knacken um das 26-fache, während das Verdoppeln der möglichen Zeichen auf 52 (d. H. Das Hinzufügen von Großbuchstaben) das Knacken nur um das 16-fache erschwert.

Die logarithmische Skala verdeutlicht die Beziehung zwischen der Länge des Passworts und den erforderlichen Rätseln

Ein Diagramm, in dem die Länge des Kennworts gegenüber den erforderlichen Versuchen angezeigt wird, es zu erraten.

  • Passwörter in Kleinbuchstaben (m = 26)
  • Groß- und Kleinschreibung (m = 52)
  • Groß- und Kleinschreibung sowie Sonderzeichen (m = 67)

Wie lange dauert es, ein Passwort zu knacken??

Wie schnell ein Angreifer Ihr Passwort knacken kann, hängt davon ab, wie schnell die Computerhardware des Angreifers ist.

Ein normaler Computer würde wahrscheinlich ungefähr 100.000 Vermutungen pro Sekunde anstellen. Eine dedizierte GPU ist möglicherweise 100-mal schneller als diese und es ist möglich, eine Farm zum Knacken von Kennwörtern mit Hunderten von GPUs zu erstellen.

Wenn wir davon ausgehen, dass der Angreifer über einen regulären Computer verfügt, der 100.000 Vermutungen pro Sekunde ermöglicht, dauert das Knacken eines Kennworts in Kleinbuchstaben mit weniger als sechs Zeichen weniger als eine Minute.

Die Lösungszeit nimmt jedoch exponentiell zu, und das Knacken eines Kennworts mit acht Zeichen würde 12 Tage dauern. Ein 12-stelliges Passwort würde über 12.000 Jahre dauern.

Ob ein 12-stelliges Kennwort ausreicht, hängt vom Wert des Schutzes und dem Ausmaß des Angriffs ab. Befinden sich Angreifer nur hinter einem einzelnen Ziel, ist möglicherweise ein Kennwort mit 12 Zeichen in Reichweite.

Es ist daher von entscheidender Bedeutung, wertvolle Daten (z. B. persönliche Informationen oder private Bitcoin-Schlüssel) mit wesentlich längeren Passwörtern zu schützen. Wenn Sie beispielsweise Ihre Bitcoin-Brieftasche verschlüsseln, ist ein Schlüssel mit mehr als 32 Zeichen möglicherweise eine gute Idee.

Je mehr Informationen ein Angreifer hat, desto schneller kommt es zu einem Riss

Die obigen Berechnungen setzen voraus, dass der Angreifer nichts über das Kennwort weiß, außer ob es Groß- oder Kleinbuchstaben enthält.

In Wirklichkeit könnte der Angreifer einige Vermutungen anstellen. Aus früheren entschlüsselten Passwortlisten wissen wir, welche Passwörter am häufigsten verwendet werden. Wenn es kein bestimmtes Ziel gibt, kann ein Angreifer häufig verwendete Kennwörter relativ schnell anhand einer E-Mail-Liste überprüfen.

Die Leute wählen auch tendenziell Kennwörter, die nur Zahlen am Ende enthalten (wie z. B. hallo111), und geben irgendwo den Namen des Dienstes oder die URL an. Ein für Google Mail verwendetes Passwort, das die Wörter google oder gmail enthält und am Ende vier Ziffern enthält (z. B. gmailpanther1234), kann leicht geknackt werden, auch wenn es lang ist.

Menschen neigen auch dazu, Namen ihrer Haustiere oder Kinder als Passwörter zu verwenden, manchmal in Kombination mit Geburtsdaten oder Jahren, wodurch ihr Passwort leichter zu erraten ist, als die Leute vielleicht denken.

Verwenden Sie bei Kennwortmanagern sichere Kennwörter

Die wichtigste Regel ist: Verwenden Sie immer ein sicheres Passwort.

Verwenden Sie einen Zufallspasswortgenerator, um lange, eindeutige und wirklich nicht erratbare Passwörter zu erstellen, damit Sie sich nicht so viele zuverlässige Passwörter erstellen und merken müssen.

Wenn Sie diese Passwörter dann in einem Passwort-Manager speichern, müssen Sie sich nur ein einziges Passwort merken (das Sie mit Diceware generieren können, um es besonders sicher zu machen). Darüber hinaus schützt die Zwei-Faktor-Authentifizierung Konten vor noch komplexeren Angriffen, z. B. Passwörtern, die durch Phishing-Angriffe erzwungen wurden.

Wie Brute-Force-Cracking Ihr Passwort enthüllen könnte
admin Author
Sorry! The Author has not filled his profile.