image

Wachtwoord met 8 karakters binnen maand te kraken

woensdag 6 februari 2008, 12:51 door Redactie, 28 reacties

Onlangs adviseerde een Italiaanse bank om via Google de sterkte van een gekozen wachtwoord te testen. Hoe minder vaak het wachtwoord door de zoekmachine te vinden was, des te veiliger, zo redeneerde de bank. Vorig jaar liet een wedstrijd al zien dat eenvoudige lange wachtwoorden veiliger zijn dan korte complexe wachtwoorden. Niels Kootstra bekeek hoe lang iemand nodig heeft om via een brute force aanval verschillende wachtwoorden te kraken.

"In 1 uur kan een gemiddelde brute-forcer 20.000.000 (20 miljoen) combinaties uitvoeren en registreren. In 1 dag zou dat dus 480.000.000.000 verschillende combinaties betekenen. We gaan er even vanuit dat er 30 dagen in een maand zitten wat ons tot de volgende som brengt “480.000.000.000 * 30?. Het resultaat van deze som is 14.400.000.000.000 (oftewel 14,4 biljoen)"

Uiteindelijk kom het erop neer dat een wachtwoord wat gebruik maakt van 61 verschillende karakters (speciale tekens niet meegeteld) pas bij 8 karakters veilig is voor 1 maand. Worden er wel speciale tekens gebruikt, dan zijn er in totaal 88 verschillende karakters, en is een wachtwoord van 7 karakters al voldoende om boven het gemiddelde te komen van 1 maand "brute-forcen".

Reacties (28)
06-02-2008, 13:00 door Anoniem
daarbij moet het wel mogelijk zijn om zoveel pogingen uit te kunnen
voeren. dat zal bij een online bank nooit (hoop ik) mogelijk zijn. want die zal
het account wel blokkeren voor enige tijd na een bepaald aantal mislukte
pogingen.
06-02-2008, 13:03 door Anoniem
Mooi dan zit ik met mijn richtlijnen voor men beleid goed ..voor even
rekenen ....:)
06-02-2008, 13:09 door Anoniem
Informatief stukje Niels..

Heb ik even mazzel dat mijn systeem na 5 foutieve logins
voor 1 uur op slot gaat alvorens een nieuwe login kan worden
gestart.

Duurt een stuk langer om te brute-forcen.

Fred
06-02-2008, 13:11 door Anoniem
Dit gaat over met ww beschermd materiaal wat je lokaal hebt
staan, dus geen online wachtwoorden...

Daar doe je wel iets langer over...
06-02-2008, 13:15 door Anoniem
tarpitting anyone ? daarmee help je al veel van die bruteforce scripts
omzeep.
06-02-2008, 13:30 door Anoniem
Valt het dan niemand op dat het rekenvoorbeeld in het begin
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!
20.000.000 per uur is 480.000.000 per dag (en niet
480.000.000.000)
Per maand van 30 dagen is dat 14.400.000.000...
61 tekens, 8 plaatsen levert 61^8 mogelijke
wachtwoorden=1.9x10^14 Op elkaar gedeeld, en nog eens delen
door twee (omdat gemiddeld gezien na de helft aantal keren
raden het juiste passw vindt) levert 199695 dagen is bijna
550 jaar... eh.. foei redactie?
06-02-2008, 13:43 door e.r.
Hiernaast staat er niet bij of dat alleen voor letter geldt of ook voor cijfers,
speciale tekens en/of hoofdletters...
06-02-2008, 13:47 door SirDice
Het gaat hier om offline brute-forcen.. Lockout policies
hebben dan geen invloed.

"In 1 uur kan een gemiddelde brute-forcer 20.000.000 (20 miljoen) combinaties uitvoeren en registreren."
Ik denk dat het er heden ten dage wel iets meer zullen zijn. L0phtcrack 5 deed er jaren geleden al 1.000.000 per seconde. En denk tegenwoordig eens aan rainbow tables (time-memory trade-off). Maar goed, het is een voorbeeld :)

Waar het artikel een beetje aan voorbij gaat zijn wachtwoorden die bijv. min.5 en maximaal 10 karakters kunnen zijn. Het artikel gaat er vanuit dat je weet uit hoeveel karakters een wachtwoord bestaat. Een cracker weet dat over
het algemeen niet van te voren.

Bij het bereken van de sterkte gaat men overigens altijd uit van de gemiddelde tijd dat een wachtwoord gekraakt wordt, niet de totale tijd om door heel de key space te gaan. Je kunt mazzel hebben en het bij de eerste de beste poging het wachtwoord te vinden maar je kan ook pech hebben en door de
hele key space heen moeten. Daarom is het correcter om uit te gaan van de gemiddelde tijd die nodig is. Statistisch gezien is dat de helft van de totale tijd.
06-02-2008, 13:48 door spatieman
bedoelen ze niet 1 uur ???
dadelijk worden de botnets ingezet als rekencentrum om
passworden te cracken..
06-02-2008, 13:49 door Anoniem
Voor de mensen die denken dat een maand ongeveer de lengte is. Er
bestaan sites zoals bijv. http://www.freerainbowtaibles.com waarmee je
distributed wachtwoorden kan laten bereken. Dit gaat aanzienlijk sneller en
je hebt het wachtwoord in ong 3 a 4 dagen.
06-02-2008, 13:50 door Anoniem
Een lock-out functie helpt natuurlijk alleen bij online brute-force
aanvallen en niet bij offline brute-force aanvallen.
06-02-2008, 13:53 door SirDice
Door e.r.
Hiernaast staat er niet bij of dat alleen voor letter geldt of ook voor cijfers, speciale tekens en/of hoofdletters...
Maakt niet echt uit.. Het gaat om het basis aantal. Of het nu 0 t/m 9 is of A t/m J. De keyspace is dan even groot.
06-02-2008, 13:53 door Hans010
Voor de mensen die standaard anonieme reacties onderdrukken
schreef ik, toen ik nog anoniem was, puur als comment op de
berekening:
---
Valt het dan niemand op dat het rekenvoorbeeld in het begin
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!
20.000.000 per uur is 480.000.000 per dag (en niet
480.000.000.000)
Per maand van 30 dagen is dat 14.400.000.000...
61 tekens, 8 plaatsen levert 61^8 mogelijke
wachtwoorden=1.9x10^14 Op elkaar gedeeld, en nog eens delen
door twee (omdat gemiddeld gezien na de helft aantal keren
raden het juiste passw vindt) levert 199695 dagen is bijna
550 jaar... eh.. foei redactie?
06-02-2008, 14:04 door Dunes
Dit is wel een theoretisch verhaal.Ook klopt de telling
helaas niet.

Rekenen:
Het alfabet kent 26 letters. Hoofd en kleine letters
tesamen: 52. Het decimale getallenstelsel telt 10
verschillende cijfers (0 t/m 9). 52 + 10 = 62!

Zoals Hans010 al opmerkt: 24 * 2E7 = 48E7

Theorie:
De huidige standaard is toch het gebruik van windows. In
windows worden de wachtwoorden tot 14 posities in 2 delen
van 7 geknipt. Een wachtwoord van 7 posities is dus even
sterk (OK, 62 extra pogingen) als een wachtwoord van 8 posities.

Dus met de snelheid van 20 miljoen wachtwoorden per uur is
een windows-wachtwoord van 7 (en 8, 9, 10, 11, 12, 13 en 14)
karakters binnen 7337 dagen (gem. 3669 dagen) uit te rekenen als er alleen van letters en cijfers gebruik wordt gemaakt. Dit uiteraard als
je de lijst met wachtwoorden tot je beschikking hebt.

Praktijk:
Afgezien van andere oplossing als rainbow tables, weten diverse hulpmiddelen het onderscheidt tussen hoofd- en kleine letters bij de vercijfering op te heffen. Dan hou je dus nog 36 verschillende combinaties over. 36^7/48E7=163 dagen. Of gemiddeld 82 dagen.

Conclusie:
Het gevaar van brute-force valt nogal mee, mits de wachtwoorden maar lang genoeg zijn.
06-02-2008, 14:40 door SirDice
Door Dunes
Theorie:
De huidige standaard is toch het gebruik van windows. In windows worden de wachtwoorden tot 14 posities in 2 delen van 7 geknipt. Een wachtwoord van 7 posities is dus even sterk (OK, 62 extra pogingen) als een wachtwoord van 8
posities.
Als je het hebt over de "oude" lanmanager wachtwoorden klopt dat. De nieuwere varianten niet.

Praktijk:
Afgezien van andere oplossing als rainbow tables, weten diverse hulpmiddelen het onderscheidt tussen hoofd- en kleine letters bij de vercijfering op te heffen.
Lanmanager wachtwoorden worden altijd opgeslagen in hoofdletters. De nieuwere varianten doen dat niet.
Conclusie:
Het gevaar van brute-force valt nogal mee, mits de wachtwoorden maar lang genoeg zijn.
Met een dergelijke (en correcte) berekening kun je wel goed bepalen wat de maximale levensduur kan zijn van een bepaald wachtwoord. Hier kun je je policy op baseren. Dat is altijd beter dan het natte vinger werk ;)
06-02-2008, 17:11 door Anoniem
en met een geforce 8 videokaart kan het nog 25 maal sneller:
http://www.theregister.co.uk/2007/10/24/elcomsoft_uses_geforce8_for_password_crack/
06-02-2008, 18:25 door [Account Verwijderd]
[Verwijderd]
06-02-2008, 18:38 door SirDice
Door Nielsk
@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
Precies. Op de vraag waarom een wachtwoord een bepaalde
lengte moet hebben en/of om de zoveel dagen veranderd moet
worden kun je je berekeningen laten zien. Dan zullen mensen
het eerder accepteren dan dat je vertelt dat het ingesteld
is op basis van een onderbuikgevoel.
06-02-2008, 19:44 door [Account Verwijderd]
[Verwijderd]
06-02-2008, 19:56 door Nomen Nescio
Door Nielsk
Door SirDice
Door Nielsk
@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
Precies. Op de vraag waarom een wachtwoord een bepaalde
lengte moet hebben en/of om de zoveel dagen veranderd moet
worden kun je je berekeningen laten zien. Dan zullen mensen
het eerder accepteren dan dat je vertelt dat het ingesteld
is op basis van een onderbuikgevoel.
Onderbuikgevoel? Je hebt ook policy's dat je sowieso een
hoofdletter en een cijfer moet hebben en de minimale lengte
ook dat is op zich wel goed geregeld.
Ach, als ik denk aan een keylogger, dan is elk wachtwoord meteen
waardeloos. En als je dan ziet hoeveel gebruikers zo slordig met hun
beveiliging omgaan, dan is het aanwezig zijn van zo'n keylogger heel wat
waarschijnlijker. Al gebruik je de hele bijbel als wachtwoord, dan ben je
nog het haasje in zo'n geval.
06-02-2008, 20:10 door [Account Verwijderd]
[Verwijderd]
06-02-2008, 20:43 door SirDice
Door Nielsk
Door SirDice
Door Nielsk
@SirDice
Juist wij hebben ook voor een project de policy instellingen moeten instellen voor een server. Is geen enkele moeite maar je bespaard er wel gezeur mee. ;)
Precies. Op de vraag waarom een wachtwoord een bepaalde lengte moet hebben en/of om de zoveel dagen veranderd moet worden kun je je berekeningen laten zien. Dan zullen mensen het eerder accepteren dan dat je vertelt dat het ingesteld is op basis van een onderbuikgevoel.
Onderbuikgevoel? Je hebt ook policy's dat je sowieso een hoofdletter en een cijfer moet hebben en de minimale lengte ook dat is op zich wel goed geregeld.
Klopt ook. En de reden is ook te staven en te onderbouwen met diezelfde berekening. Dat bedoelde ik, in plaatst van natte vinger werk, onderbuikgevoel, fingerspitzengefuhl, weet ik hoe je het wil noemen...
Begrijp me niet verkeerd. Dat onderbuik gevoel heeft mij altijd virusvrij weten te houden. Maar dat soort dingen zijn moeilijk verkoopbaar aan het management. Berekeningen, cijfertjes en plaatjes doen het dan goed. Daar houden ze van ;)
07-02-2008, 07:46 door Nomen Nescio
Door Nielsk
Door Nomen Nescio
Door Nielsk
Door SirDice
Door Nielsk
@SirDice
Juist wij hebben ook voor een project de policy instellingen
moeten instellen voor een server. Is geen enkele moeite maar
je bespaard er wel gezeur mee. ;)
Precies. Op de vraag waarom een wachtwoord een bepaalde
lengte moet hebben en/of om de zoveel dagen veranderd moet
worden kun je je berekeningen laten zien. Dan zullen mensen
het eerder accepteren dan dat je vertelt dat het ingesteld
is op basis van een onderbuikgevoel.
Onderbuikgevoel? Je hebt ook policy's dat je sowieso een
hoofdletter en een cijfer moet hebben en de minimale lengte
ook dat is op zich wel goed geregeld.
Ach, als ik denk aan een keylogger, dan is elk wachtwoord
meteen
waardeloos. En als je dan ziet hoeveel gebruikers zo slordig
met hun
beveiliging omgaan, dan is het aanwezig zijn van zo'n
keylogger heel wat
waarschijnlijker. Al gebruik je de hele bijbel als
wachtwoord, dan ben je
nog het haasje in zo'n geval.
Nee want als ik in een website de hele bijbel als pass heb
gaat de form niet uitgevoerd worden aangezien hij maar max 8
MB info kan versturen (a)

ot:
Dat is natuurlijk je eigen verantwoording hoe jij met je
eigen veiligheid omgaat daar kan ik ook weinig aan veranderen.

Hehe! Dat snap ik ook wel. Het was maar beeldspraak. En neem maar
van mij aan dat ik veel werk maak van mijn veiligheid. Ik wilde alleen
maar zeggen dat een veilig wachtwoord ook op andere manieren te
achterhalen is en dat dit vaak "vergeten" wordt.
07-02-2008, 11:53 door [Account Verwijderd]
[Verwijderd]
07-02-2008, 12:32 door SirDice
Niels.. Kleine tip.. Leer het verschil tussen een
wederkerend voornaamwoord (me) en een bezittelijk
voornaamwoord (mijn) ;)
07-02-2008, 13:52 door [Account Verwijderd]
[Verwijderd]
07-02-2008, 14:23 door Anoniem
"Valt het dan niemand op dat het rekenvoorbeeld in het begin
al misloopt? Ergens komen ineens 3 nullen erbij... Hele
berekening klopt geen hout van!"

De berekening klopt inderdaad niet, en daarnaast vergeet men te
vermelden met wat voor hardware de test is uitgevoerd, wat ook nogal
invloed kan hebben op de benodigde tijd. Wat voor processor zat er in
het systeem ? Hoeveel geheugen was er beschikbaar ? Etc.
07-02-2008, 18:57 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.