Nieuws

Kraken wachtwoord 10 karakters duurt 3000 jaar

woensdag 21 januari 2009, 10:23 door Redactie, 21 reacties

Volgens beveiligingsexpert Robert Graham zijn wachtwoorden makkelijker en sneller te kraken dan veel mensen denken. Wat hem vooral opvalt is, dat bedrijven geen goede informatie verschaffen aan medewerkers over het kiezen van een sterk wachtwoord. Om te beginnen zijn er twee soorten aanvallen: online- en offline aanvallen. Bij het eerste soort probeert de hacker, gewoon door de raden, in te loggen als het slachtoffer. Als men dan een moeilijk wachtwoord gekozen heeft, is dit geen groot gevaar, aangezien de meeste servers een account na meerdere foutieve pogingen vergrendelen.

Het echte gevaar schuilt in "offline cracking". Hackers breken in op een systeem en stelen vervolgens een versleuteld wachtwoordenbestand of gebruiken een sniffer. Daarna hebben ze alle tijd van de wereld om het wachtwoord te ontcijferen. "Hackers kunnen op deze manier miljarden wachtwoorden per seconde raden. Dat lijkt snel, maar niet wanneer je over de omvang van het probleem denkt", aldus de beveiligingsexpert. Ervan uitgaande dat een wachtwoord bestaat uit letters, nummers en symbolen, betekent dat ongeveer 100 combinaties per karakter. Een wachtwoord van vijf karakters heeft dan tien miljard combinaties. "Een hacker kan dus een wachtwoord met vijf karakters in slechts tien seconden raden". Echter, al snel stuit de hacker op problemen. Zo duurt het 1000 seconden om een wachtwoord van zes karakters te raden, één dag voor een wachtwoord van zeven karakters, 115 dagen voor acht karakters, 31 jaar voor negen karakters en het kost maar liefst 3000 jaar om een wachtwoord van tien karakters te kraken. "Dat is waarom lange wachtwoorden zo belangrijk zijn."

Methoden en tips
Aangeraden wordt om complexe wachtwoorden te gebruiken, die bestaan uit hoofd- en kleine letters, nummers en symbolen. Dat zijn honderd mogelijke combinaties per wachtwoord. Wachtwoorden die alleen uit kleine letters bestaan hebben slechts 26 combinaties per karakter. "Een hacker kan een wachtwoord van tien karakters, dat alleen uit kleine letters bestaat, binnen twee dagen kraken".

Maar hackers hebben nog met een ander probleem te maken: de "mutated dictionary" aanval. Vanwege het eerder genoemde probleem, zullen gebruikers wellicht een lang wachtwoord als "Aardvark-Zebra9" kiezen. Dit is langer dan wat een hacker met "brute-force" kan hacken. Maar ook hier zijn oplossingen voor, genaamd "dictionary attack". In plaats van alle combinaties van karakters te testen, proberen ze wachtwoorden die overeen komen met hun "woordenboek". Vervolgens muteren ze de woorden, gebaseerd op vaak voorkomende dingen die mensen doen om hun wachtwoord zogenaamd uniek te maken. "Wanneer mensen het advies krijgen om hun wachtwoorden complex te maken, voegen ze vaak iets eenvoudigs als een uitroepteken toe aan hun wachtwoord. Dit is de meest voorkomende mutatie".

Social engineering
Dan is er nog iets als mensenkennis. Wanneer een hacker persoonlijke informatie van een slachtoffer heeft, zijn de wachtwoorden ook makkelijk te raden. Stel je voor dat de naam van het doelwit "John Smith" is, hij in een "BMW" rijdt, werkt voor "Microsoft" en zijn favoriete serie "The Office" is. Een hacker googled deze termen en vervolgens creëert hij een woordenlijst aan de hand van de resultaten. "Een wachtwoord als "Carell325i" lijkt een prima wachtwoord, maar een hacker die deze man kent heeft het wachtwoord zo gekraakt."

Dus, hoe ben je hackers dan te slim af? Niet alle hackers zijn professioneel. Hoe gecompliceerder het geheel is, hoe minder kans van slagen ze hebben. Ze zullen de nummers aan het einde van het wachtwoord checken, maar zolang dit niet je geboortedatum of 1234 is, loopt de gebruiker geen groot gevaar. "Een internationaal karakter toevoegen, zoals een umlaut, stuurt de meeste hackers gegarandeerd de mist in", besluit Graham zijn verhaal.

Update: De redactie was niet wakker, het betreft natuurlijk karakters en geen cijfers

Werknemer vaccinatiecentrum misbruikt patiëntgegevens

Hackers stelen miljoenen creditcardgegevens bij betalingsverwerker

Reacties (21)

21-01-2009, 10:40 door Lamaar

De wachtwoorden in WPA2 kunnen al in een kwartier gekraakt worden en dan hebben we het over minstens 12 tekens. Verklaar dat maar eens. En dan dat geleuter van "als je de gebruiker kent en weet in wat voor auto hij rijdt" enzovoort. Wie mij kent, probeert niet mijn wachtwoorden te kraken. Maar de eerste de beste Rus wel. Maar die kent mij niet. En Googlen? Ten eerste mijd ik Google als de pest, dus voorkom ik ook dat ik dingen gebruik voor mijn wachtwoorden die met Google te vinden zouden zijn. Geleuter van de bovenste plank dus. Zal wel weer de schuld van Microsoft zijn.

21-01-2009, 11:02 door Anoniem

Gaat het hier niet om een cracker ?????

21-01-2009, 11:03 door Anoniem

(*/password\*)
Ga dat maar eens bruteforcen :)

21-01-2009, 11:03 door [Account Verwijderd]

[Verwijderd]

21-01-2009, 11:10 door Anoniem

Door LamaarDe wachtwoorden in WPA2 kunnen al in een kwartier gekraakt worden en dan hebben we het over minstens 12 tekens. Verklaar dat maar eens. En dan dat geleuter van "als je de gebruiker kent en weet in wat voor auto hij rijdt" enzovoort. Wie mij kent, probeert niet mijn wachtwoorden te kraken. Maar de eerste de beste Rus wel. Maar die kent mij niet. En Googlen? Ten eerste mijd ik Google als de pest, dus voorkom ik ook dat ik dingen gebruik voor mijn wachtwoorden die met Google te vinden zouden zijn. Geleuter van de bovenste plank dus. Zal wel weer de schuld van Microsoft zijn.

WPA2 met 12 tekens in een kwartier?? Bron gaarne....

21-01-2009, 11:31 door Anoniem

Over verkeerde informatie verstrekken gesproken. Iets zegt me dat de titel ietsiepietsie te snel is opgeschreven.

21-01-2009, 11:38 door Anoniem

Maar toch weet de hekker niet wat voor een wachtwoord het is, het kan wel dededededededededede zijn, of dedededededEdededede. Een slimme hekker zal dan wel alle combinaties gaan uit proberen maar te beginnen met de gene met de minste chaos erin, misschien moeten de wachtwoorden wel gezipt worden en die het best comprimeren als eerste in de lijst komen...

SK

21-01-2009, 11:39 door [Account Verwijderd]

[Verwijderd]

21-01-2009, 11:52 door Anoniem

En dan dat geleuter van "als je de gebruiker kent en weet in wat voor auto hij rijdt" enzovoort. Wie mij kent, probeert niet mijn wachtwoorden te kraken.

Hoe weet je dat zo zeker? Er zijn heel wat mensen die je kent maar "geen" band met je hebben bijv. collega's op je werk, de groenteboer en de kapper.

21-01-2009, 12:11 door Lamaar

Door Duckman

Natuurlijk ligt het aan MS. Als zij nu goede software maakten dan had Cracken ook geen zin en hadden we nu niet al die problemen. (sorry Lamaar was een in koppertje)
WPA2 is even wat anders dan een wachtwoord. WPA2 is een versleuriling die met elk WiFi pakketje mee gestuurd word. Deze pakketjes kan je afluisteren en vervolgens kan je de versleuteling uit rekenen. Collega heeft dit bij hem thuis geprobeerd na een kwartiertje mee luisteren was het binnen een seconde uitgerekend.
Ook een Rus weet veel over jou Lamaar. Zo heb je een IP adres en is het te achterhalen waar jij op het internet komt. En dan zien ze dat jij een voor liefde hebt voor MircoSoft en zo komen ze er achter dat je password "IliveMS" is

Natuurlijk, allemaal de schuld van Microsoft. Overigens, lees mijn tekst nog eens, maar dat is kennelijk te moeilijk voor jou. Dus ga je maar weer op Microsoft schelden, want dan lijk je zo intelligent.

21-01-2009, 12:15 door [Account Verwijderd]

[Verwijderd]

21-01-2009, 12:23 door Anoniem

Offtopic: is er nog geen greasemonkey plug-in die berichten van lamaar kunnen filteren? of misschien beter een security.nl troll-filter?
Want ik denk dat ik voor veel mensen spreek wanneer ik zou zeggen dat zijn berichten nergens op slaan!

On-topic:

"Een hacker kan dus een wachtwoord met vijf cijfers in slechts tien seconden raden".

waar is dit op gebaseerd? welke methoden worden hier voor gebruikt? enkele PC?
en wat wanneer dit nou op een ziekelijkgroot netwerk van ps3'tjes wordt gedaan? wat blijft er dan over van die 3000 jaar?
in elk geval is 1x in de maand je wachtwoord veranderen nog steeds nuttig om zulke praktijken tegen te gaan.

21-01-2009, 12:29 door Jachra

Als men een PS3 gebruikt (liefst geclusterd), dan duurt dergelijke aanvallen vele malen korter. Ook het gebruik van de huidige videokaarten zorgt voor een behoorlijke versnelling. Het wordt nog korter als men een botnet zou gebruiken.
Het artikel bevat mijn inziens behoorlijk wat fouten.

21-01-2009, 12:34 door wimbo

Door IceyoungDan wordt er nog niet stilgestaan bij de energie die nodig is om deze BF attack te doen (electriciteit)
Als we dan ook nog over een verbinding (Internet) moeten BF-en dan is het al helemaal niet meer te doen.

Met 90 printbare karakters die we tot onze beschikking hebben kunnen we dus ruim vooruit.

Veel websites staan niet toe vage tekens (zoals spaties<>:"';.,/?\|}{][+_)(*&^%$#@!-=) te gebruiken in een wachtwoord. Dus reduceer die 90 maar naar de alfanumerieke reeks.

21-01-2009, 12:37 door Didier Stevens

Vergeet niet dat er ook situaties zijn waar de hash voldoende is om the authenticeren. Het password zelf is niet nodig.

Kijk maar naar tools zoals Pass-The-Hash Toolkit van Core Security Technologies en msvctl van Truesec.

21-01-2009, 12:42 door [Account Verwijderd]

[Verwijderd]

21-01-2009, 13:32 door Anoniem

Rainbow tables, goed voor elke hash :)

21-01-2009, 20:30 door [Account Verwijderd]

[Verwijderd]

21-01-2009, 20:40 door cyberpunk

Fantastisch... Het wachtwoord (instellingen, e-mail, ...) bij de provider Telenet (.be) kan maximum maar 8 karakters bevatten. Goed bezig!

21-01-2009, 23:50 door Paultje

Vervoegingen van woorden van artificiële of bijna niet gebruikte talen bijvoorbeeld maakt het bijna onmogelijk deze met de woordenboek-methode te kraken.

04-02-2009, 13:42 door Anoniem

md5 hashes @ 270.000.000 pogingen per seconde en dat alleen met een goede videokaart ;)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer