Nieuws

Pc kan 10 karakter wachtwoord niet kraken

vrijdag 24 juni 2011, 12:05 door Redactie, 19 reacties

Wachtwoorden van tien of meer karakters zijn niet met een desktopcomputer te kraken, aldus beveiligingsexpert Robert Graham. Als het een dag kost om alle wachtwoorden van 8 karakters te kraken, dan kost het honderd dagen om een wachtwoord van negen karakters te kraken en 27 jaar om een wachtwoord van tien karakters te kraken.

Graham baseert zich op alle mogelijke toetsen op het toetsenbord, hoofdletters, cijfers, letters en vreemde karakters, wat per positie in het wachtwoord zo'n honderd mogelijkheden biedt. Door het toevoegen van één karakter aan het wachtwoord, neemt de moeilijkheid om het wachtwoord te kraken met een factor honderd toe.

"Dat betekent dat er drie soorten wachtwoorden zijn: degene die we eenvoudig met een desktopcomputer kunnen kraken (acht karakters of minder), degene die we helemaal niet kunnen kraken (tien karakters of meer) en degene die we kunnen kraken als we duurdere computeronderdelen aanschaffen (negen karakters)."

Radeon
Daarbij levert het investeren in videokaarten meer op dan het investeren in processoren. Ook zijn Radeon videokaarten volgens Graham veel beter geschikt voor het kraken van wachtwoorden dan Nvidia videokaarten.

"Het kopen van een machine van drieduizend dollar kan het kraken met een factor 160 versnellen. Het kopen van een tweede machine van drieduizend dollar versnelt het kraken met slechts een factor twee." De expert merkt op dat mensen alleen één karakter aan hun wachtwoord moeten toevoegen om de complexiteit met een factor honderd te vergroten.

Hardware
In dit artikel gaat Graham in op het bouwen van een speciale computer voor het kraken van wachtwoorden, maar ook wat voor soort laptop security professionals en pentesters zouden moeten kiezen als ze wachtwoorden willen testen.

"Over het kopen van een videokaart van 250 dollar die het wachtwoord kraken met factor twintig versnelt hoef je niet na te denken. Het kopen van een notebook gebaseerd op een GPU is waarschijnlijk slim voor pentesters. Maar wachtwoorden zijn een beetje vreemd. Ze groeien exponentieel in complexiteit, wat betekent dat je minder terugkrijgt voor het kopen van meer hardware."

"Leider LulzSec ontmaskerd"

Microsoft pakt vervelende MSN-worm

Reacties (19)

24-06-2011, 12:15 door Anoniem

???!!?? Ik kan dit niet helemaal volgen.Dus 10 karakters wachtwoord kraken duurt 27 jaar!? Nee geloof ik niks van.KUNNEN HACKERS VOLGENS MIJ VEEL SNELLER.In elk geval moeten we dus zeker 20 karakters passwords gaan hanteren om redelijk veilig te zijn. (50 jaar de tijd) Das teveel voor een mens om te onthouden dus of opschrijven of zoiets wordt wel noodzaak.Wat op zich ook gevaar kan opleveren.

24-06-2011, 12:24 door Anoniem

Door Anoniem: ???!!?? Ik kan dit niet helemaal volgen.Dus 10 karakters wachtwoord kraken duurt 27 jaar!? Nee geloof ik niks van.KUNNEN HACKERS VOLGENS MIJ VEEL SNELLER.In elk geval moeten we dus zeker 20 karakters passwords gaan hanteren om redelijk veilig te zijn. (50 jaar de tijd) Das teveel voor een mens om te onthouden dus of opschrijven of zoiets wordt wel noodzaak.Wat op zich ook gevaar kan opleveren.

Het gaat exponentieel van 8 -> 9 is een factor 100, van 9 naar 10 is een factor 100 (100*100dagen = 27 jaar) van tien naar elf characters zou dan al weer 27.000 jaar duren.

En met rainbow tables gaat het een stuk sneller, als deze eenmaal gemaakt zijn voor alle charactercombinaties en lengtes.

24-06-2011, 12:25 door Anoniem

Het gaat er niet om of hackers het sneller kunnen. (slimmer aanpakken dan brute-force)
Het gaat om de brute kracht van een PC om het wachtwoord te kunnen kraken.

Wachtwoord van 20 tekens misschien moeilijk, dus wachtwoord-zin gebruiken.
Stukje tekst uit favoriet liedje ?

24-06-2011, 12:56 door Anoniem

Het draait allemaal om 'entropie'. Als je 40 bits encryptie gebruikte in de jaren negentig voor browsing, dan kon dat toen met een redelijk krachtige machine vrij snel gekraakt worden. 40 bits entropie is dus te weinig.

Als je kijkt naar de clipper chip die de US voorstelde om PGP te vervangen (skipjack), die was 80 bits. Begin jaren negentig vond de NSA dit genoeg voor (Amerikaanse) bedrijven.

Nu is 128 bits encryptie heel erg gangbaar. Dit geldt als veilig tegenwoordig, hoewel 256 bit AES ook tot de mogelijkheden behoort voor de paranoïde medemens.

Dus hoe ga je die 128 bits 'entropie' verkrijgen?

Nou, met hexadecimaal is het 16 mogelijkheden per teken. Dus 4 bits entropie per teken; 2log(16)
Alphanummeriek is 26+26+10 mogelijkheden per teken. Dus 2log(62) ~ 2log(64) ~ 6 bits entropie per teken.
Met alle tekens op het toetsenbord (26+26+10+10+11+11+spatie) = 2log(95) ~ 6,6 bits entropie per teken.
En voor de volledigheid, binair is 1 bit entropie per teken; 2log(2)

Dus hoe zit het met dat wachtwoord van Robert Graham? Nou 2log(95) * 10 ~ 66 bits entropie. Ofwel tussen 40 bits van vroeger en de 80 bits van skipjack in. Met de wet van Moore moet hier elke 18 maanden een bitje bij. Als je wilt dat het over 18 maanden nog veilig is, moet je nu al deze bit toevoegen!

Als je wachtwoord meer entropie heeft als AES, dan wordt het interessant om AES te kraken met brute force in plaats van je wachtwoord. Maar zover men weet kan niemand dat op dit moment nog.

24-06-2011, 13:08 door Anoniem

Door Anoniem: En met rainbow tables gaat het een stuk sneller, als deze eenmaal gemaakt zijn voor alle charactercombinaties en lengtes.

Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.

Peter

24-06-2011, 14:00 door N4ppy

Met een cloud gebaseerde (botnet) oplossing gaat het sneller
Maar of het er nou 5, 10 of 100 zijn als je per uur maar 5 keer mag proberen dan duurt het langer dan 27 jaar (en gaat opvallen als een account niet bruikbaar is)
@12:24 alleen als er geen salt gebruikt is
@12:25 bij een stuk van een liedje heb je weer een beperktere char set dus ga je potentieel makelijker te kraken password krijgen. "I can see clearly now the %@*))!^^^@*@( has gone" is zo lastig te zingen ;)

24-06-2011, 14:05 door Anoniem

Denk er aan dat de snelheid van computers elke 2 jaar verdubbelt. Dus waar we nu 27000 jaar over doen duurt over 2 jaar (27000 - 2) / 2 = 13499 jaar.

Als we dat doortrekken dan kraken we het wachtwoord in ongeveer 25 jaar :)

24-06-2011, 14:14 door Preddie

ik heb nieuws voor meneer Graham, ook 10 tekens zijn gewoon te kraken op een desktop je moet er wel even een weekje voor uit trekken maarja wat is een week op een mensen leven ? ....... precies, een week dus ;)

24-06-2011, 14:17 door Preddie

Door Anoniem:

Door Anoniem: En met rainbow tables gaat het een stuk sneller, als deze eenmaal gemaakt zijn voor alle charactercombinaties en lengtes.

Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.

Peter

of je bouwt een brute bak met SSD's in RAID en laatst ze dan aansturen met verschillende GPU's van verschillende videokaarten ;)

24-06-2011, 14:22 door SirDice

Door Anoniem: Denk er aan dat de snelheid van computers elke 2 jaar verdubbelt.

Dat is niet helemaal correct. De wet van Moore zegt dat het aantal transistoren die je, betaalbaar, op een chip kunt prakken ongeveer verdubbelt elke twee jaar. Dat de snelheid daaraan gelinkt is is een tweede maar die relatie is niet zo makkelijk als jij stelt.

http://en.wikipedia.org/wiki/Moore%27s_law#Transistor_count_versus_computing_performance

24-06-2011, 14:23 door N4ppy

Door Predjuh:

Door Anoniem:

Door Anoniem: En met rainbow tables gaat het een stuk sneller, als deze eenmaal gemaakt zijn voor alle charactercombinaties en lengtes.

Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.

Peter

of je bouwt een brute bak met SSD's in RAID en laatst ze dan aansturen met verschillende GPU's van verschillende videokaarten ;)

Voor het zelfde geld kun je ook een leuk stukje cloud huren.

24-06-2011, 15:05 door Anoniem

Door SirDice:

Door Anoniem: Denk er aan dat de snelheid van computers elke 2 jaar verdubbelt.

Maar het kraken van een wachtwoord is prima te threaden. Dus het inzetten van meerdere chips is geen probleem. Waar het om gaat is de betaalbaarheid van die performance voor de gewone consument.

24-06-2011, 16:21 door SirDice

Door Predjuh:

Door Anoniem:

Door Anoniem: En met rainbow tables gaat het een stuk sneller, als deze eenmaal gemaakt zijn voor alle charactercombinaties en lengtes.

Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.

Peter

of je bouwt een brute bak met SSD's in RAID en laatst ze dan aansturen met verschillende GPU's van verschillende videokaarten ;)

Je kunt beter meer geheugen in die machine prikken. Het heet niet voor niets een time-memory trade-off.

25-06-2011, 08:48 door WK

https://www.grc.com/haystack.htm (op de podcast wordt het aardig goed uit gelegt)

Hier kan je zien wat een verschil van lengte van wachtwoord of je nu 8, 9, 10 of langere neemt.
Het kijkt niet of je een sterk of zwak wachtwoord hebt maar laat zien als je bv. 2 puntjes achter je wachtwoord zet en dus van een 8 naar een 10 lengte gaat. Dat het langer duurt voor dat je wachtwoord gevonden wordt via bruteforce.

tijd en mogelijke wachtwoorden :)
8 = 18.62 uur (6,704,780,954,517,120)
9 = 2.43 maanden (636,954,190,679,126,495)
10 = 19.24 jaar (60,510,648,114,517,017,120)

en het maakt uit of het een MD5, crypt of SHA256 of andere cypher is met of zonder salt. Hoeveel c/s's je kan halen met je crack tool.

Het mooste zou via een FPGA het te gaan doen of een opstelling van 8 ATI/NVIDIA GPU of meer.

John the Ripper en Hashcat zijn goede tools om dit te doen. Beide kunnen het via een multi-core en/of GPU doen.
En een goede wordenboek is ook goed om te hebben. Want me moet het wachtwoord zelf ook kunnen onthouden.

Leef je hier maar eens op uit.
https://contest.korelogic.com/defcon_contest_hashes.txt

25-06-2011, 22:47 door Anoniem

Door Anoniem:

Door Anoniem: En met rainbow tables gaat het een stuk sneller, als deze eenmaal gemaakt zijn voor alle charactercombinaties en lengtes.

Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.

Onzin.. gewoon een kwestie van een index... Daarnaast, er zijn goeie rainbowtables op internet te vinden die je online kan raadplegen...

Maar, let wel dat de '27 jaar' gaat over kraken mbv 1 desktop PC. Als 'n hacker moeite wil doen, knalt 'ie er gewoon een botnet tegenaan en duurt 't ineens 10.000 (of hoeveel zombies hij/zij ook ter beschikking heeft) keer korter, en dan is 't "niet te kraken" wachtwoord toch binnen 'n dag gekraakt..

Of je wordt gephished, ge-keylog'd, ge-social-engineerd, whatever.. er zijn meer mogelijkheden dan brute-force...

27-06-2011, 10:06 door Anoniem

pff, voor 6 dollar 20 minuten rekenkracht van de amazon cloud afnemen en je bent ook klaar.

27-06-2011, 19:51 door Anoniem

En wat moet ik dan als gewoon piepeltje die nergens verstand van heeft ;
Waar moet ik beginnen :;!
OF gewoon een wacht woord van 15 cijfers en letters nemen .

27-06-2011, 20:52 door lyet

Een lang wachtwoord is eenvoudig te onthouden als je een zinnetje maakt als Bij de slager kocht ik 3 slavinken 1 pond gehakt en 6 eieren en door van elk woord de eerste letter of het cijfer te nemen.
Je kunt zo gemakkelijk een wachtwoord van 12 of meer tekens onthouden.

28-06-2011, 10:52 door Jacob Boersma

Dus als ik mijn wachtwoord 123456 verander in 1234567890 ben ik veilig? Goed om te weten. Het gaat in dit artikel om flink wat aannames (wat begrijpelijk is, het is een samenvatting van een uitgebreider verhaal van Graham).
De kernboodschap richting gewone gebruikers is dus: gebruik een lang wachtwoord, dan hoef je het de komende 10 jaar niet te veranderen. Dat is meteen een mooi antwoord op dit artikel: http://www.security.nl/artikel/37556/1/33%25_wijzigt_nooit_Facebook-wachtwoord.html
Als je de adviezen van Graham volgt, is het namelijk helemaal niet erg dat je je Facebook wachtwoord nooit verandert. Pas als de Facebook password-hash database wordt gecompromitteerd of je bericht krijgt dat er binnen korte tijd heel vaak een verkeerd password is ingevoerd, hoef je actie te ondernemen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer