Wachtwoord met 8 karakters binnen maand te kraken
Onlangs adviseerde een Italiaanse bank om via Google de sterkte van een gekozen wachtwoord te testen. Hoe minder vaak het wachtwoord door de zoekmachine te vinden was, des te veiliger, zo redeneerde de bank. Vorig jaar liet een wedstrijd al zien dat eenvoudige lange wachtwoorden veiliger zijn dan korte complexe wachtwoorden. Niels Kootstra bekeek hoe lang iemand nodig heeft om via een brute force aanval verschillende wachtwoorden te kraken.
"In 1 uur kan een gemiddelde brute-forcer 20.000.000 (20 miljoen) combinaties uitvoeren en registreren. In 1 dag zou dat dus 480.000.000.000 verschillende combinaties betekenen. We gaan er even vanuit dat er 30 dagen in een maand zitten wat ons tot de volgende som brengt “480.000.000.000 * 30?. Het resultaat van deze som is 14.400.000.000.000 (oftewel 14,4 biljoen)"
Uiteindelijk kom het erop neer dat een wachtwoord wat gebruik maakt van 61 verschillende karakters (speciale tekens niet meegeteld) pas bij 8 karakters veilig is voor 1 maand. Worden er wel speciale tekens gebruikt, dan zijn er in totaal 88 verschillende karakters, en is een wachtwoord van 7 karakters al voldoende om boven het gemiddelde te komen van 1 maand "brute-forcen".
Reacties (28)
daarbij moet het wel mogelijk zijn om zoveel pogingen uit te kunnen
voeren. dat zal bij een online bank nooit (hoop ik) mogelijk zijn. want die zal
het account wel blokkeren voor enige tijd na een bepaald aantal mislukte
pogingen.
voeren. dat zal bij een online bank nooit (hoop ik) mogelijk zijn. want die zal
het account wel blokkeren voor enige tijd na een bepaald aantal mislukte
pogingen.
Mooi dan zit ik met mijn richtlijnen voor men beleid goed ..voor even
rekenen ....:)
rekenen ....:)
Informatief stukje Niels..
Heb ik even mazzel dat mijn systeem na 5 foutieve logins
voor 1 uur op slot gaat alvorens een nieuwe login kan worden
gestart.
Duurt een stuk langer om te brute-forcen.
Fred
Heb ik even mazzel dat mijn systeem na 5 foutieve logins
voor 1 uur op slot gaat alvorens een nieuwe login kan worden
gestart.
Duurt een stuk langer om te brute-forcen.
Fred
Dit gaat over met ww beschermd materiaal wat je lokaal hebt
staan, dus geen online wachtwoorden...
Daar doe je wel iets langer over...
staan, dus geen online wachtwoorden...
Daar doe je wel iets langer over...
tarpitting anyone ? daarmee help je al veel van die bruteforce scripts
omzeep.
omzeep.
Valt het dan niemand op dat het rekenvoorbeeld in het begin
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!
20.000.000 per uur is 480.000.000 per dag (en niet
480.000.000.000)
Per maand van 30 dagen is dat 14.400.000.000...
61 tekens, 8 plaatsen levert 61^8 mogelijke
wachtwoorden=1.9x10^14 Op elkaar gedeeld, en nog eens delen
door twee (omdat gemiddeld gezien na de helft aantal keren
raden het juiste passw vindt) levert 199695 dagen is bijna
550 jaar... eh.. foei redactie?
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!
20.000.000 per uur is 480.000.000 per dag (en niet
480.000.000.000)
Per maand van 30 dagen is dat 14.400.000.000...
61 tekens, 8 plaatsen levert 61^8 mogelijke
wachtwoorden=1.9x10^14 Op elkaar gedeeld, en nog eens delen
door twee (omdat gemiddeld gezien na de helft aantal keren
raden het juiste passw vindt) levert 199695 dagen is bijna
550 jaar... eh.. foei redactie?
06-02-2008, 13:43 door
e.r.
Hiernaast staat er niet bij of dat alleen voor letter geldt of ook voor cijfers,
speciale tekens en/of hoofdletters...
speciale tekens en/of hoofdletters...
06-02-2008, 13:47 door
SirDice
Het gaat hier om offline brute-forcen.. Lockout policies
hebben dan geen invloed.
Waar het artikel een beetje aan voorbij gaat zijn wachtwoorden die bijv. min.5 en maximaal 10 karakters kunnen zijn. Het artikel gaat er vanuit dat je weet uit hoeveel karakters een wachtwoord bestaat. Een cracker weet dat over
het algemeen niet van te voren.
Bij het bereken van de sterkte gaat men overigens altijd uit van de gemiddelde tijd dat een wachtwoord gekraakt wordt, niet de totale tijd om door heel de key space te gaan. Je kunt mazzel hebben en het bij de eerste de beste poging het wachtwoord te vinden maar je kan ook pech hebben en door de
hele key space heen moeten. Daarom is het correcter om uit te gaan van de gemiddelde tijd die nodig is. Statistisch gezien is dat de helft van de totale tijd.
hebben dan geen invloed.
"In 1 uur kan een gemiddelde brute-forcer 20.000.000 (20 miljoen) combinaties uitvoeren en registreren."
Ik denk dat het er heden ten dage wel iets meer zullen zijn. L0phtcrack 5 deed er jaren geleden al 1.000.000 per seconde. En denk tegenwoordig eens aan rainbow tables (time-memory trade-off). Maar goed, het is een voorbeeld :)Waar het artikel een beetje aan voorbij gaat zijn wachtwoorden die bijv. min.5 en maximaal 10 karakters kunnen zijn. Het artikel gaat er vanuit dat je weet uit hoeveel karakters een wachtwoord bestaat. Een cracker weet dat over
het algemeen niet van te voren.
Bij het bereken van de sterkte gaat men overigens altijd uit van de gemiddelde tijd dat een wachtwoord gekraakt wordt, niet de totale tijd om door heel de key space te gaan. Je kunt mazzel hebben en het bij de eerste de beste poging het wachtwoord te vinden maar je kan ook pech hebben en door de
hele key space heen moeten. Daarom is het correcter om uit te gaan van de gemiddelde tijd die nodig is. Statistisch gezien is dat de helft van de totale tijd.
06-02-2008, 13:48 door
spatieman
bedoelen ze niet 1 uur ???
dadelijk worden de botnets ingezet als rekencentrum om
passworden te cracken..
dadelijk worden de botnets ingezet als rekencentrum om
passworden te cracken..
Voor de mensen die denken dat een maand ongeveer de lengte is. Er
bestaan sites zoals bijv. http://www.freerainbowtaibles.com waarmee je
distributed wachtwoorden kan laten bereken. Dit gaat aanzienlijk sneller en
je hebt het wachtwoord in ong 3 a 4 dagen.
bestaan sites zoals bijv. http://www.freerainbowtaibles.com waarmee je
distributed wachtwoorden kan laten bereken. Dit gaat aanzienlijk sneller en
je hebt het wachtwoord in ong 3 a 4 dagen.
Een lock-out functie helpt natuurlijk alleen bij online brute-force
aanvallen en niet bij offline brute-force aanvallen.
aanvallen en niet bij offline brute-force aanvallen.
06-02-2008, 13:53 door
SirDice
Door e.r.
Hiernaast staat er niet bij of dat alleen voor letter geldt of ook voor cijfers, speciale tekens en/of hoofdletters...
Maakt niet echt uit.. Het gaat om het basis aantal. Of het nu 0 t/m 9 is of A t/m J. De keyspace is dan even groot.Hiernaast staat er niet bij of dat alleen voor letter geldt of ook voor cijfers, speciale tekens en/of hoofdletters...
06-02-2008, 13:53 door
Hans010
Voor de mensen die standaard anonieme reacties onderdrukken
schreef ik, toen ik nog anoniem was, puur als comment op de
berekening:
---
Valt het dan niemand op dat het rekenvoorbeeld in het begin
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!
20.000.000 per uur is 480.000.000 per dag (en niet
480.000.000.000)
Per maand van 30 dagen is dat 14.400.000.000...
61 tekens, 8 plaatsen levert 61^8 mogelijke
wachtwoorden=1.9x10^14 Op elkaar gedeeld, en nog eens delen
door twee (omdat gemiddeld gezien na de helft aantal keren
raden het juiste passw vindt) levert 199695 dagen is bijna
550 jaar... eh.. foei redactie?
schreef ik, toen ik nog anoniem was, puur als comment op de
berekening:
---
Valt het dan niemand op dat het rekenvoorbeeld in het begin
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!
20.000.000 per uur is 480.000.000 per dag (en niet
480.000.000.000)
Per maand van 30 dagen is dat 14.400.000.000...
61 tekens, 8 plaatsen levert 61^8 mogelijke
wachtwoorden=1.9x10^14 Op elkaar gedeeld, en nog eens delen
door twee (omdat gemiddeld gezien na de helft aantal keren
raden het juiste passw vindt) levert 199695 dagen is bijna
550 jaar... eh.. foei redactie?
06-02-2008, 14:04 door
Dunes
Dit is wel een theoretisch verhaal.Ook klopt de telling
helaas niet.
Rekenen:
Het alfabet kent 26 letters. Hoofd en kleine letters
tesamen: 52. Het decimale getallenstelsel telt 10
verschillende cijfers (0 t/m 9). 52 + 10 = 62!
Zoals Hans010 al opmerkt: 24 * 2E7 = 48E7
Theorie:
De huidige standaard is toch het gebruik van windows. In
windows worden de wachtwoorden tot 14 posities in 2 delen
van 7 geknipt. Een wachtwoord van 7 posities is dus even
sterk (OK, 62 extra pogingen) als een wachtwoord van 8 posities.
Dus met de snelheid van 20 miljoen wachtwoorden per uur is
een windows-wachtwoord van 7 (en 8, 9, 10, 11, 12, 13 en 14)
karakters binnen 7337 dagen (gem. 3669 dagen) uit te rekenen als er alleen van letters en cijfers gebruik wordt gemaakt. Dit uiteraard als
je de lijst met wachtwoorden tot je beschikking hebt.
Praktijk:
Afgezien van andere oplossing als rainbow tables, weten diverse hulpmiddelen het onderscheidt tussen hoofd- en kleine letters bij de vercijfering op te heffen. Dan hou je dus nog 36 verschillende combinaties over. 36^7/48E7=163 dagen. Of gemiddeld 82 dagen.
Conclusie:
Het gevaar van brute-force valt nogal mee, mits de wachtwoorden maar lang genoeg zijn.
helaas niet.
Rekenen:
Het alfabet kent 26 letters. Hoofd en kleine letters
tesamen: 52. Het decimale getallenstelsel telt 10
verschillende cijfers (0 t/m 9). 52 + 10 = 62!
Zoals Hans010 al opmerkt: 24 * 2E7 = 48E7
Theorie:
De huidige standaard is toch het gebruik van windows. In
windows worden de wachtwoorden tot 14 posities in 2 delen
van 7 geknipt. Een wachtwoord van 7 posities is dus even
sterk (OK, 62 extra pogingen) als een wachtwoord van 8 posities.
Dus met de snelheid van 20 miljoen wachtwoorden per uur is
een windows-wachtwoord van 7 (en 8, 9, 10, 11, 12, 13 en 14)
karakters binnen 7337 dagen (gem. 3669 dagen) uit te rekenen als er alleen van letters en cijfers gebruik wordt gemaakt. Dit uiteraard als
je de lijst met wachtwoorden tot je beschikking hebt.
Praktijk:
Afgezien van andere oplossing als rainbow tables, weten diverse hulpmiddelen het onderscheidt tussen hoofd- en kleine letters bij de vercijfering op te heffen. Dan hou je dus nog 36 verschillende combinaties over. 36^7/48E7=163 dagen. Of gemiddeld 82 dagen.
Conclusie:
Het gevaar van brute-force valt nogal mee, mits de wachtwoorden maar lang genoeg zijn.
06-02-2008, 14:40 door
SirDice
Door Dunes
Theorie:
De huidige standaard is toch het gebruik van windows. In windows worden de wachtwoorden tot 14 posities in 2 delen van 7 geknipt. Een wachtwoord van 7 posities is dus even sterk (OK, 62 extra pogingen) als een wachtwoord van 8
posities.
Als je het hebt over de "oude" lanmanager wachtwoorden klopt dat. De nieuwere varianten niet.Theorie:
De huidige standaard is toch het gebruik van windows. In windows worden de wachtwoorden tot 14 posities in 2 delen van 7 geknipt. Een wachtwoord van 7 posities is dus even sterk (OK, 62 extra pogingen) als een wachtwoord van 8
posities.
Praktijk:
Afgezien van andere oplossing als rainbow tables, weten diverse hulpmiddelen het onderscheidt tussen hoofd- en kleine letters bij de vercijfering op te heffen.
Conclusie:
Het gevaar van brute-force valt nogal mee, mits de wachtwoorden maar lang genoeg zijn.
Met een dergelijke (en correcte) berekening kun je wel goed bepalen wat de maximale levensduur kan zijn van een bepaald wachtwoord. Hier kun je je policy op baseren. Dat is altijd beter dan het natte vinger werk ;)Het gevaar van brute-force valt nogal mee, mits de wachtwoorden maar lang genoeg zijn.
en met een geforce 8 videokaart kan het nog 25 maal sneller:
http://www.theregister.co.uk/2007/10/24/elcomsoft_uses_geforce8_for_password_crack/
http://www.theregister.co.uk/2007/10/24/elcomsoft_uses_geforce8_for_password_crack/
06-02-2008, 18:25 door
[Account Verwijderd]
[Verwijderd]
06-02-2008, 18:38 door
SirDice
Door Nielsk
@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
Precies. Op de vraag waarom een wachtwoord een bepaalde@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
lengte moet hebben en/of om de zoveel dagen veranderd moet
worden kun je je berekeningen laten zien. Dan zullen mensen
het eerder accepteren dan dat je vertelt dat het ingesteld
is op basis van een onderbuikgevoel.
06-02-2008, 19:44 door
[Account Verwijderd]
[Verwijderd]
06-02-2008, 19:56 door
Nomen Nescio
Door Nielsk
hoofdletter en een cijfer moet hebben en de minimale lengte
ook dat is op zich wel goed geregeld.
Ach, als ik denk aan een keylogger, dan is elk wachtwoord meteen Door SirDice
lengte moet hebben en/of om de zoveel dagen veranderd moet
worden kun je je berekeningen laten zien. Dan zullen mensen
het eerder accepteren dan dat je vertelt dat het ingesteld
is op basis van een onderbuikgevoel.
Onderbuikgevoel? Je hebt ook policy's dat je sowieso eenDoor Nielsk
@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
Precies. Op de vraag waarom een wachtwoord een bepaalde@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
lengte moet hebben en/of om de zoveel dagen veranderd moet
worden kun je je berekeningen laten zien. Dan zullen mensen
het eerder accepteren dan dat je vertelt dat het ingesteld
is op basis van een onderbuikgevoel.
hoofdletter en een cijfer moet hebben en de minimale lengte
ook dat is op zich wel goed geregeld.
waardeloos. En als je dan ziet hoeveel gebruikers zo slordig met hun
beveiliging omgaan, dan is het aanwezig zijn van zo'n keylogger heel wat
waarschijnlijker. Al gebruik je de hele bijbel als wachtwoord, dan ben je
nog het haasje in zo'n geval.
06-02-2008, 20:10 door
[Account Verwijderd]
[Verwijderd]
06-02-2008, 20:43 door
SirDice
Door Nielsk
Klopt ook. En de reden is ook te staven en te onderbouwen met diezelfde berekening. Dat bedoelde ik, in plaatst van natte vinger werk, onderbuikgevoel, fingerspitzengefuhl, weet ik hoe je het wil noemen...Door SirDice
Onderbuikgevoel? Je hebt ook policy's dat je sowieso een hoofdletter en een cijfer moet hebben en de minimale lengte ook dat is op zich wel goed geregeld. Door Nielsk
@SirDice
Juist wij hebben ook voor een project de policy instellingen moeten instellen voor een server. Is geen enkele moeite maar je bespaard er wel gezeur mee. ;)
Precies. Op de vraag waarom een wachtwoord een bepaalde lengte moet hebben en/of om de zoveel dagen veranderd moet worden kun je je berekeningen laten zien. Dan zullen mensen het eerder accepteren dan dat je vertelt dat het ingesteld is op basis van een onderbuikgevoel.@SirDice
Juist wij hebben ook voor een project de policy instellingen moeten instellen voor een server. Is geen enkele moeite maar je bespaard er wel gezeur mee. ;)
Begrijp me niet verkeerd. Dat onderbuik gevoel heeft mij altijd virusvrij weten te houden. Maar dat soort dingen zijn moeilijk verkoopbaar aan het management. Berekeningen, cijfertjes en plaatjes doen het dan goed. Daar houden ze van ;)
07-02-2008, 07:46 door
Nomen Nescio
Door Nielsk
gaat de form niet uitgevoerd worden aangezien hij maar max 8
MB info kan versturen (a)
ot:
Dat is natuurlijk je eigen verantwoording hoe jij met je
eigen veiligheid omgaat daar kan ik ook weinig aan veranderen.
Door Nomen Nescio
meteen
waardeloos. En als je dan ziet hoeveel gebruikers zo slordig
met hun
beveiliging omgaan, dan is het aanwezig zijn van zo'n
keylogger heel wat
waarschijnlijker. Al gebruik je de hele bijbel als
wachtwoord, dan ben je
nog het haasje in zo'n geval.
Nee want als ik in een website de hele bijbel als pass hebDoor Nielsk
hoofdletter en een cijfer moet hebben en de minimale lengte
ook dat is op zich wel goed geregeld.
Ach, als ik denk aan een keylogger, dan is elk wachtwoordDoor SirDice
lengte moet hebben en/of om de zoveel dagen veranderd moet
worden kun je je berekeningen laten zien. Dan zullen mensen
het eerder accepteren dan dat je vertelt dat het ingesteld
is op basis van een onderbuikgevoel.
Onderbuikgevoel? Je hebt ook policy's dat je sowieso eenDoor Nielsk
@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
Precies. Op de vraag waarom een wachtwoord een bepaalde@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
lengte moet hebben en/of om de zoveel dagen veranderd moet
worden kun je je berekeningen laten zien. Dan zullen mensen
het eerder accepteren dan dat je vertelt dat het ingesteld
is op basis van een onderbuikgevoel.
hoofdletter en een cijfer moet hebben en de minimale lengte
ook dat is op zich wel goed geregeld.
meteen
waardeloos. En als je dan ziet hoeveel gebruikers zo slordig
met hun
beveiliging omgaan, dan is het aanwezig zijn van zo'n
keylogger heel wat
waarschijnlijker. Al gebruik je de hele bijbel als
wachtwoord, dan ben je
nog het haasje in zo'n geval.
gaat de form niet uitgevoerd worden aangezien hij maar max 8
MB info kan versturen (a)
ot:
Dat is natuurlijk je eigen verantwoording hoe jij met je
eigen veiligheid omgaat daar kan ik ook weinig aan veranderen.
Hehe! Dat snap ik ook wel. Het was maar beeldspraak. En neem maar
van mij aan dat ik veel werk maak van mijn veiligheid. Ik wilde alleen
maar zeggen dat een veilig wachtwoord ook op andere manieren te
achterhalen is en dat dit vaak "vergeten" wordt.
07-02-2008, 11:53 door
[Account Verwijderd]
[Verwijderd]
07-02-2008, 12:32 door
SirDice
Niels.. Kleine tip.. Leer het verschil tussen een
wederkerend voornaamwoord (me) en een bezittelijk
voornaamwoord (mijn) ;)
wederkerend voornaamwoord (me) en een bezittelijk
voornaamwoord (mijn) ;)
07-02-2008, 13:52 door
[Account Verwijderd]
[Verwijderd]
"Valt het dan niemand op dat het rekenvoorbeeld in het begin
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!"
De berekening klopt inderdaad niet, en daarnaast vergeet men te
vermelden met wat voor hardware de test is uitgevoerd, wat ook nogal
invloed kan hebben op de benodigde tijd. Wat voor processor zat er in
het systeem ? Hoeveel geheugen was er beschikbaar ? Etc.
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!"
De berekening klopt inderdaad niet, en daarnaast vergeet men te
vermelden met wat voor hardware de test is uitgevoerd, wat ook nogal
invloed kan hebben op de benodigde tijd. Wat voor processor zat er in
het systeem ? Hoeveel geheugen was er beschikbaar ? Etc.
07-02-2008, 18:57 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
