Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Brute force per seconden

14-06-2012, 11:41 door Brebent, 17 reacties
Ik vroeg mij af wat een op de markt desktop of laptop, aantal combinaties (brute force)kunnen uitvoeren op een form per seconden.Zowel op een http inlog form als een bijvoorbeeld windows 7 password crack.

Mijn laptop kon op windows 7,| 5 miljoen combinatie maken per seconden. het gaat hier dan om een brute force op een windows 7 wachtwoord. Nu heb ik niets te klagen over mijn laptop maar er zijn zeker betere te vinden. Vandaar mijn vraag hoeveel combinatie deze zouden kunnen maken.

En waar dit aanligt.
Reacties (17)
14-06-2012, 11:52 door regenpijp
De hoeveelheid wachtwoorden (met offline hashes) die je kunt brute-forcen is afhankelijk van het soort hash, een MD5 hash is sneller te brute forcen dan een SHA512 hash, verder speelt natuurlijk ook de snelheid van je pc een rol, hierbij zorgt vooral het gebruik van een videokaart voor veel meer pogingen per seconde.

Over een netwerk brute-forcen haal je hoog uit een paar duizend aanvragen per seconde als je snelle pc hebt met een goede internetverbinding en vooral belangrijk, de kracht van een webserver, aangezien deze niet oneindig veel aanvragen per seconde aan kan. Ook al hebben veel systeembeheerders op hun firewall ingesteld dat de verbinding wordt afgeknepen als een gebruiker in bijvoorbeeld 10 seconden meer dan 500 pakketten heeft verstuurd.

Er is niet 1 vaste waarde voor één laptop, dit hangt samen met veel meer andere zaken.
14-06-2012, 12:08 door Anoniem
Ik sluit me aan bij regenpijp, het is afhankelijk van vele zaken. Bruteforcing met je GPU is overigens vele malen sneller dan via de CPU.
14-06-2012, 12:21 door Brebent
Bedankt voor je reactie. Stel ik heb een wachtwoord hoihoi(http als windows) en het word geencrypt. Dan kan ik het niet onderscheppen. maar als ik een brute force er opgooi dan komt uit de brute force van zelf wel hoihoi rollen. Dus wat is dan de rol van Hashes bij brute force
14-06-2012, 12:56 door SirDice
Door Brebent: Bedankt voor je reactie. Stel ik heb een wachtwoord hoihoi(http als windows) en het word geencrypt. Dan kan ik het niet onderscheppen. maar als ik een brute force er opgooi dan komt uit de brute force van zelf wel hoihoi rollen. Dus wat is dan de rol van Hashes bij brute force
Normaal gesproken krijg je de kans niet om zoveel pogingen te doen online. Het account zou geblokkeerd moeten worden na een X aantal foute pogingen. Voor HTTP basic authenticatie werkt dat helaas niet maar voor bijv. SSH wel. Bij een web applicatie kun je eigenlijk beter een custom login maken, dan kun je wel een account blokkeren na een aantal foute pogingen.
14-06-2012, 14:16 door Brebent
Door Brebent: Bedankt voor je reactie. Stel ik heb een wachtwoord hoihoi(http als windows) en het word geencrypt. Dan kan ik het niet onderscheppen. maar als ik een brute force er opgooi dan komt uit de brute force van zelf wel hoihoi rollen. Dus wat is dan de rol van Hashes bij brute force

Of word de hashes(md5) geprobeerd te kraken met brute force dus: hoihoi = 4124bc0a9335c27f086f24ba207a4912 waarom (kan je) dan niet een brute force uitvoeren op de inlog form. dus tot je uit eindelijke hoihoi hebt?

(Goeie links over brute force en hashes zijn welkom)
14-06-2012, 14:54 door didrix
Door Brebent: waarom (kan je) dan niet een brute force uitvoeren op de inlog form. dus tot je uit eindelijke hoihoi hebt?
Je praat hier in feite over twee methoden van brute force:
-offline, waarbij je de hash nodig hebt
-online, bijv via http of ssh

Hierbij moet gezegd worden dat offline vele malen sneller is dan online. Bij brute force over het netwerk kan een limiet zijn ingesteld voor hoe vaak je een password mag proberen.
14-06-2012, 15:14 door Brebent
En hoe zit het bij brute force attack op een draadloos netwerk?
14-06-2012, 15:26 door didrix
Als je over WPA (1 of 2) praat is het vergelijkbaar met een online attack (dus zo langzaam dat het in de praktijk niet werkt). WEP is wel gebroken.

Ik kan je ook nog een goede site aanraden:
http://www.google.nl
14-06-2012, 15:32 door Anoniem
Wil je meer weten of draadloos netwerken en de beveiliging etc. daarvan zijn hier goede video's: http://www.securitytube.net/groups?operation=view&groupId=9
25-06-2012, 00:53 door Anoniem
Ik wil ook iemands wachtwoord weten. Het gaat om iemand die er niet meer is. Hoe kan ik aan dat wachtwoord komen en die bruce force kan je dat downloaden ofso ?
25-06-2012, 09:18 door regenpijp
Door Anoniem: Ik wil ook iemands wachtwoord weten. Het gaat om iemand die er niet meer is. Hoe kan ik aan dat wachtwoord komen en die bruce force kan je dat downloaden ofso ?

Het antwoord is niet als het Gmail, hotmail, security.nl ofzo betreft, tenzij je met de klantenservice aan de gang gaat.

Bij een pc kan de hash wel opgehaald worden en om bij de bestanden te komen kan je het beste een Linux live CD booten om buiten windows om op die pc te komen.
02-07-2012, 17:11 door WhizzMan
Ik denk niet dat je lang van je nieuwe computer kan genieten als je bruteforce webformpjes gaat hacken. De kans dat er iemand klaagt en de 4chan-partyvan bij jou voor komt rijden om je nieuwe PC in beslag te nemen is tegenwoordig niet heel klein meer.
02-07-2012, 19:07 door regenpijp
Door WhizzMan: Ik denk niet dat je lang van je nieuwe computer kan genieten als je bruteforce webformpjes gaat hacken. De kans dat er iemand klaagt en de 4chan-partyvan bij jou voor komt rijden om je nieuwe PC in beslag te nemen is tegenwoordig niet heel klein meer.

Daarvoor hebben we IPtables die de verbinding afknijpt als iemand over een langere periode heel wat tcp pakketten verstuurd en web applicaties die automatisch blokkeren na 5 verkeerde inlogpogingen. :)

Nu zal een webmaster denk ik niet wakker liggen van iemand die een simpele brute force uitvoerd, de boel zal toch af geknepen worden, maar een grootschalige, langdurige aanval, nee dat niet.

Online brute-force heeft alleen zin als iemand een heel erg simpel wachtwoord heeft als 123456, qwerty of password. Password12345 zal al te veel zijn over het internet om te kunnen brute forcen.

Maar die partyvan zal dan niet alleen je pc meenemen :p
05-07-2012, 10:38 door WhizzMan
De hoeveelheid webmasters die geen IPtables, WAF, IDS of andere hippe techniek hebben is nog best groot, zeker in organisaties waar het een stapel formulieren en iets van het formaat van een Europese aanbesteding vereist om zoiets geimplementeerd te krijgen. Dat soort beheerders bellen gewoon GOVCERT, Fox-IT of ander clubje en dan volgt er vaak ook wel een aangifte.

Dat ze meer meenemen dan je nieuwe PC lijkt me wel voor de hand liggen, maar ik geloof dat de vraagsteller vooral graag een mooie nieuwe PC wilde hebben met een uitmuntende capaciteit in het doen van allerlei niet altijd volledig legale dingen. Daar heb ik dus maar even de nadruk op gelegd.
05-07-2012, 10:56 door regenpijp
sarcasme mode aan:
Nieuwe pc met dual xenon en een 54kbit inbellijn :)
06-07-2012, 10:05 door WhizzMan
En een CUDA videokaart voor de brute force op de websites? ;)
06-07-2012, 10:47 door regenpijp
CUDA videokaarten of quad SLI/CFX heeft geen zin, dan is een botnet beter xD
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.