image

Videokaart kraakt 33 miljard wachtwoorden per seconde

woensdag 8 juni 2011, 14:12 door Redactie, 28 reacties

Een combinatie van vier HD 5970 videokaarten is in staat om 33,1 miljard wachtwoorden per seconde te raden, wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn. De Whitepixel V2 software behaalt snelheden die volgens de bouwer nog niet op een enkele computer zijn te halen. Met deze videokaart-combi zou het 57-jaar duren om alle ASCII-wachtwoorden van tien karakters te kraken.

Toch zijn korte wachtwoorden beter dan lange wachtwoorden. "De oplossing is niet om wachtwoorden complexer te maken. Maar om ze minder complex te maken, zodat gebruikers ze kunnen onthouden, en ervoor zorgen dat brute force niet mogelijk is", zegt onderzoeker Amitai Aviram.

Opschrijven
Volgens hem weten systeemontwikkelaars hoe brute-force aanvallen zijn te voorkomen. "We moeten alleen het generatie-oude idee achterlaten dat alledaagse wachtwoorden eenvoudig zijn te kraken. Dat zijn ze niet als je maar een paar pogingen krijgt." Aviram wijst naar een zaak waarbij Russische spionnen een wachtwoord van 27 karakters gebruikten, maar dit op een papier hadden geschreven dat de FBI vond.

Reacties (28)
08-06-2011, 14:18 door DanielG
"wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn"
"Toch zijn korte wachtwoorden beter dan lange wachtwoorden"

wat? volgens mij is er iets mis gegaan in de vertaling, of we missen een groot stuk context die ik op de originele site ook niet kan vinden.
08-06-2011, 14:18 door SirDice
Met deze videokaart-combi zou het 57-jaar duren om alle ASCII-wachtwoorden van tien karakters te kraken.
Ergo, niets om je zorgen om te maken.
08-06-2011, 14:21 door DanielG
Door SirDice:
Met deze videokaart-combi zou het 57-jaar duren om alle ASCII-wachtwoorden van tien karakters te kraken.
Ergo, niets om je zorgen om te maken.

But an eight character, case sensitive, alpha-numeric password should take less than two hours.

Niet als je minimaal 10 tekens hebt dus.
08-06-2011, 14:29 door SirDice
Door DanielG: "wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn"

wat??
Gek genoeg is een korter wachtwoord maar met meer 'basistekens' sterker. "Sterker" als in meer sleutels waar je je doorheen moet werken bij een brute-force.

Voor een maximaal 4 karakter wachtwoord van alleen kleine letters heb je 475255 mogelijkheden. Voor dezelfde maar dan met een max van 5 zijn het er 12356601. Als je echter hoofd en kleine letters gebruikt heb je 7454981 mogelijkheden voor een 4 karakter wachtwoord, en bij 5 is dat al 387659013.

Je ziet dat de lengte van een wachtwoord veel minder impact heeft dan het aantal verschillende 'basis' karakters.

Voor het beste effect kun je beter UTF-8/Unicode wachtwoorden accepteren ipv alleen ASCII.
08-06-2011, 15:19 door Martijn2
Door SirDice:
Door DanielG: "wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn"

wat??
Gek genoeg is een korter wachtwoord maar met meer 'basistekens' sterker. "Sterker" als in meer sleutels waar je je doorheen moet werken bij een brute-force.

Voor een maximaal 4 karakter wachtwoord van alleen kleine letters heb je 475255 mogelijkheden. Voor dezelfde maar dan met een max van 5 zijn het er 12356601. Als je echter hoofd en kleine letters gebruikt heb je 7454981 mogelijkheden voor een 4 karakter wachtwoord, en bij 5 is dat al 387659013.

Je ziet dat de lengte van een wachtwoord veel minder impact heeft dan het aantal verschillende 'basis' karakters.

Voor het beste effect kun je beter UTF-8/Unicode wachtwoorden accepteren ipv alleen ASCII.

Jouw voorbeeld laat toch echt zien dat een wachtwoord bestaande uit 5 kleine letters een factor 2 meer combinaties heeft dan een 4 karakter wachtwoord bestaande uit kleine en hoofdletters. Het kost je evenveel moeite om een extra karakter te tikken als een hoofdletter waarbij je je shift toets moet inhouden.
08-06-2011, 15:27 door Anoniem
Er wordt bedoeld dat 'simpele' passwords beter zijn dan complexe, met inachtneming van een zekere lengte...

Het probleem met complexe wachtwoorden is dat ze dat inderdaad ook zijn - complex en dus moeilijk te onthouden. Als gebruikers over zouden gaan op simpele (maar lange!!) wachtwoorden van minimaal 10 of 12 tekens, dan onthouden ze die beter, terwijl ze toch niet zonder meer te kraken zijn...

http://blogs.securiteam.com/index.php/archives/1520
08-06-2011, 15:39 door Anoniem
Inderdaad. Het aantal mogelijke combinaties is m tot de macht n, met m het aantal verschillende karakters en n de lengte. N verhogen is daarom duidelijker efficienter dan m verhogen.
Langs de andere kant is er niets verkeerds met complex paswoord te vereisen: Het resultaat gaat ook omhoog en je verlaagt de kans op succesvolle woordenboekaanvallen. Je moet je gebruikers alleen nog uitleggen dat het wel gemakkelijk is om lange en complexe paswoorden te verzinnen die gemakkelijk te onthouden zijn.
Voorbeeld: het zeer sterke wachtwoord VIP144woor& is de combinatie van mijn manier om te zeggen dat het een zeer belangrijk 'woord' is et tussenin 1 van mijn lievelingsgetallen en de laatset d vervangen door een symbool dat er wat op lijkt.
Vanaf dat de mensen een beetje gemotiveerd zijn (en ja dat is de grootste moeilijkheid) kan je hen gemakkelijk overtuigen dat het probleem niet zo groot is als ze van nature uit denken.

den Toon
08-06-2011, 15:41 door Anoniem
SirDice, je berekeningen kloppen niet met de mijne:

4 x [a-z] -> 26^4 = 456.976
5 x [a-z] -> 26^5 = 11.881.376
4 x [a-zA-Z] -> (26x2)^4 = 52^4 = 7.311.616
5 x [a-zA-Z] -> (26x2)^5 = 52^5 = 380.204.032
08-06-2011, 15:52 door N4ppy
Door DanielG: "wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn"
"Toch zijn korte wachtwoorden beter dan lange wachtwoorden"

wat? volgens mij is er iets mis gegaan in de vertaling, of we missen een groot stuk context die ik op de originele site ook niet kan vinden.
Als je na 5 pogingen een uur moet wachten dan kun je per dag 120 pogingen wagen.
Als het een account is die gebruikt wordt dan gaat het opvallen als je de hele dag geblokt wordt.
4chars is 475255 mogelijkheden = 3960 dagen zeg dat je mazel hebt en maar 1/10 hoeft te checken voor bingo dan ben je meer dan een jaar bezig.

Gedurende dat jaar is de account buiten gebruik dus dat gaat opvallen.
08-06-2011, 16:02 door Anoniem
Door N4ppy:
Door DanielG: "wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn"
"Toch zijn korte wachtwoorden beter dan lange wachtwoorden"

wat? volgens mij is er iets mis gegaan in de vertaling, of we missen een groot stuk context die ik op de originele site ook niet kan vinden.
Als je na 5 pogingen een uur moet wachten dan kun je per dag 120 pogingen wagen.
Als het een account is die gebruikt wordt dan gaat het opvallen als je de hele dag geblokt wordt.
4chars is 475255 mogelijkheden = 3960 dagen zeg dat je mazel hebt en maar 1/10 hoeft te checken voor bingo dan ben je meer dan een jaar bezig.

Gedurende dat jaar is de account buiten gebruik dus dat gaat opvallen.


Dit gaat niet over het brute-forcen van bijvoorbeeld een SSH sessie, maar om het ontcijferen van MD5 hashes in /etc/passwd (shadow) files. Inderdaad zal je bij een online brute force niet verder komen dan een paar honderd pogingen per dag. Maar als je eenmaal een passwd file hebt, dan kan je met dit tool snel de wachtwoorden van alle gebruikers op dat systeem achterhalen...
08-06-2011, 16:14 door RichieB
Door DanielG: "wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn"
"Toch zijn korte wachtwoorden beter dan lange wachtwoorden"

wat? volgens mij is er iets mis gegaan in de vertaling, of we missen een groot stuk context die ik op de originele site ook niet kan vinden.
De context is dat je brute force onmogelijk moet maken, bijvoorbeeld door het aantal pogingen te beperken. De oorspronkelijke tekst:

The solution is not to make passwords more complex. It’s making them less complex (so that users can actually remember them) and making sure brute force is impossible.
Er staat ook nergens dat korte wachtwoorden beter zijn dan lange wachtwoorden. Weer super triest vertaald van security.nl
08-06-2011, 16:32 door SirDice
Door Martijn2:
Door SirDice:
Door DanielG: "wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn"

wat??
Gek genoeg is een korter wachtwoord maar met meer 'basistekens' sterker. "Sterker" als in meer sleutels waar je je doorheen moet werken bij een brute-force.

Voor een maximaal 4 karakter wachtwoord van alleen kleine letters heb je 475255 mogelijkheden. Voor dezelfde maar dan met een max van 5 zijn het er 12356601. Als je echter hoofd en kleine letters gebruikt heb je 7454981 mogelijkheden voor een 4 karakter wachtwoord, en bij 5 is dat al 387659013.

Je ziet dat de lengte van een wachtwoord veel minder impact heeft dan het aantal verschillende 'basis' karakters.

Voor het beste effect kun je beter UTF-8/Unicode wachtwoorden accepteren ipv alleen ASCII.

Jouw voorbeeld laat toch echt zien dat een wachtwoord bestaande uit 5 kleine letters een factor 2 meer combinaties heeft dan een 4 karakter wachtwoord bestaande uit kleine en hoofdletters. Het kost je evenveel moeite om een extra karakter te tikken als een hoofdletter waarbij je je shift toets moet inhouden.
Het laat ook zien dat een wachtwoord van maximaal 5 karakters een factor 32 meer mogelijkheden heeft als je hoofdletters toevoegt. Het punt is dat meer basis karakters er voor zorgt dat het totale aantal mogelijke sleutels exponentieel oploopt. Veel meer nog dan alleen door de wachtwoord lengte.

En uiteindelijk gaat het niet om de moeite die het kost om een wachtwoord in te tikken maar om de moeite die het kost om alle mogelijke variaties te proberen (brute-force dus).
08-06-2011, 16:36 door SirDice
Door RichieB: De context is dat je brute force onmogelijk moet maken, bijvoorbeeld door het aantal pogingen te beperken.
Brute-force is ten alle tijden mogelijk. Het aantal pogingen beperken maakt een brute-force niet onmogelijk, het maakt het niet rendabel om het binnen een redelijke tijd te doen.
08-06-2011, 16:39 door SirDice
Door N4ppy:
Door DanielG: "wat volgens sommige experts aantoont dat korte wachtwoorden beter dan lange zijn"
"Toch zijn korte wachtwoorden beter dan lange wachtwoorden"

wat? volgens mij is er iets mis gegaan in de vertaling, of we missen een groot stuk context die ik op de originele site ook niet kan vinden.
Als je na 5 pogingen een uur moet wachten dan kun je per dag 120 pogingen wagen.
Als het een account is die gebruikt wordt dan gaat het opvallen als je de hele dag geblokt wordt.
4chars is 475255 mogelijkheden = 3960 dagen zeg dat je mazel hebt en maar 1/10 hoeft te checken voor bingo dan ben je meer dan een jaar bezig.

Men neemt meestal de helft van de totale tijd om alle sleutels te proberen als gemiddelde tijd. Je kunt bijv. mazzel hebben en bij de eerste poging gelijk raak te schieten of pech en dan moet je alle sleutels proberen.
08-06-2011, 16:45 door RichieB
Door SirDice:
Door RichieB: De context is dat je brute force onmogelijk moet maken, bijvoorbeeld door het aantal pogingen te beperken.
Brute-force is ten alle tijden mogelijk. Het aantal pogingen beperken maakt een brute-force niet onmogelijk, het maakt het niet rendabel om het binnen een redelijke tijd te doen.
Het woord "onmogelijk" is een vertaling van het woord "impossible" uit het originele artikel. Ik ben het met je opmerking eens, maar als je een ongebruikt account lockt na 3 foute login pogingen, en daarna nooit meer unlockt is brute force toch echt niet mogelijk. ;-)
08-06-2011, 16:50 door SirDice
Voor de wiskundige onder ons. Het is een sommatie van b^i waarbij b het aantal basis karakters is en i loopt van het minimale tot het maximale aantal karakters.

In LaTeX is het volgens mij: \sum_{i=m}^n b^i
Waarbij b het aantal basis karakters is, m de minimale wachtwoord lengte en n is de maximale wachtwoord lengte.
08-06-2011, 16:52 door SirDice
Door Anoniem: SirDice, je berekeningen kloppen niet met de mijne:

4 x [a-z] -> 26^4 = 456.976
5 x [a-z] -> 26^5 = 11.881.376
4 x [a-zA-Z] -> (26x2)^4 = 52^4 = 7.311.616
5 x [a-zA-Z] -> (26x2)^5 = 52^5 = 380.204.032

Dat komt omdat je geen rekening houdt met wachtwoorden die korter dan de maximale lengte zijn.
08-06-2011, 16:59 door JorgD
"Videokaart kraakt 33 miljard wachtwoorden per seconde" Dus als ik de kop en het artikel goed begrijp wordt in één keer het goede wachtwoord geraden, en dat 33 miljard keer per seconde??
En uit dit enkele feit trekken experts de conclusie dat korte wachtwoorden beter zijn dan lange??

Tip voor security.nl: Volgende keer iemand een artikel laten schrijven/vertalen die wél verstand van zaken heeft.
08-06-2011, 17:13 door WhizzMan
Dit gaat vast niet over alle mogelijke encryptiemethoden, maar over een specifieke? Wel onhandig dat dat er niet in staat. Overigens, 4 videokaarten is vier keer zoveel als een videokaart. Een kleine rekensom leert, dat je met 1 videokaart dus 8,25 miljard wachtwoorden per seconde kan kraken en niet 33 miljard, zoals in de kop gesuggereerd wordt.
08-06-2011, 17:15 door Anoniem
Door SirDice:
Door Anoniem: SirDice, je berekeningen kloppen niet met de mijne:

4 x [a-z] -> 26^4 = 456.976
5 x [a-z] -> 26^5 = 11.881.376
4 x [a-zA-Z] -> (26x2)^4 = 52^4 = 7.311.616
5 x [a-zA-Z] -> (26x2)^5 = 52^5 = 380.204.032

Dat komt omdat je geen rekening houdt met wachtwoorden die korter dan de maximale lengte zijn.

Mijn ogen doen hier pijn van! De meeste systemen leggen een minimumlengte op en dus moet je enkel rekenen met het aantal mogelijke combinaties voor wachtwoorden die die minimum lengte hebben, want korter gaat gewoon niet en langer is per definitie nog moeilijker te kraken!

Ik blijf het merkwaardig vinden dat er over 1 van de oudste securityonderwerpen nog altijd de wildste theorieën opduiken!

den Toon
08-06-2011, 17:23 door rodin
Wat dit soort artikelen vaak vergeten te vermelden is dat om een wachtwoord snel te brute forcen je toch echt eerst de hash nodig hebt. Als een aanvaller je password hash in handen heeft is het gewoon game over. Brute forcen via het inlog scherm is vrij simpel te voorkomen (vertraag de verbinding na een poging of 10).

Ofwel: beveilig je website goed, zodat hackers niet via iets stoms als SQL injection achter je hashes kunnen komen.
Ofwel: besef dat je het zelf niet veilig kan en haak in op services zoals OpenID die het voor je doen.
08-06-2011, 19:21 door Skizmo
Videokaart kraakt 33 miljard wachtwoorden per seconde
4 Videokaarten genereren 33 miljard wachtwoorden per seconde

FTFY.
08-06-2011, 20:38 door Anoniem
Het juiste wachtwoord ligt zit tussen het begin en het eind van het aantal combinaties. Het moet niet moeilijk zijn om ergens te beginnen met kraken waar het juiste wachtwoord in de buurt zit. Ik neem aan dat een wachtwoord niet bij de eerste of laatste duizend combinaties zit. Dus de tijd kan korter zijn dat een wachtwoord geraden wordt.
08-06-2011, 23:54 door Securitate
gelukkig is er vertraging in de opslag en is er een limiet aan het geheugen.
hoeveel characters is gemiddeld gebruik?
met een vol rack bereken je snel zat alle mogelijke opties.
daarna telkens 1 char extra.
het wachten is op een aanbieder die je in seconden een wachtwoord terug mailt.
vaste wachtwoorden zijn dus passe.
vaak wijzigen bijkans nutteloos.
zeker als je bedenkt dat een mens al veel nummers en codes moet onthouden, dan lukt een lange niet.
hoeveel verschillende kun je aan zonder hergebruik?
een zakelijke omgeving loopt nog meer risico, kopie backup, zeker in buitenland gestalde systemen.
restore ergens anders en geen spoor te vinden.
zodra iemand probeert misbruik te maken kan het wel opvallen, dit is je kans een foute interne te pakken.
je beveiliging is dus een combi van restricties plus het wachtwoord.
09-06-2011, 00:31 door Anoniem
Videokaart kraakt 33 miljard wachtwoorden per seconde

Who cares !
denken jullie nu echt dat andere wachtwoorden wel Veilig zijn
dacht het niet
het is beter om het wat moeilijker te maken maar of het nut heeft :P
maar als ze of men je moeten hebben krijgen ze je toch wel !!!!!

en laat staan je virus scanner er is er geen 1 die 100%
waarvan je 100% weet dat je geen trojan van heb
en dit lijkt wel het jaar van de hackers en virusen
de houd er maar rekening mee dat dit het begin pas is

Next
09-06-2011, 09:47 door Anoniem
Aviram wijst naar een zaak waarbij Russische spionnen een wachtwoord van 27 karakters gebruikten, maar dit op een papier hadden geschreven dat de FBI vond.

27 karakters is toch niet teveel gevraagd om te onthouden
09-06-2011, 10:06 door [Account Verwijderd]
[Verwijderd]
10-06-2011, 18:29 door spatieman
snel videokaarten verbieden dan maar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.