image

Gratis tool kraakt zwakke TrueCrypt-wachtwoorden

maandag 22 oktober 2012, 09:44 door Redactie, 16 reacties

Een gratis programma is in staat om zwakke Truecrypt-wachtwoorden te kraken en zo volledig versleutelde harde schijven te ontsleutelen. TrueCrypt is een populair open source programma voor het versleutelen van de gehele harde schijf of delen hiervan. Vorige week verscheen versie 0.5 van het programma TCHead. De eerste versie verscheen eind vorig jaar en maakt het mogelijk om TrueCrypt headers te verifiëren en ontsleutelen.

Wachtwoord
Naast 'brute-force', ondersteunt de nieuwste versie ook grote woordenlijsten. Aangezien TrueCrypt het wachtwoord versterkt, kost het kraken veel tijd. "Sterke wachtwoorden zijn niet te kraken. Het is onmogelijk", zo laten de ontwikkelaars van TCHead weten.

Naast het proberen van verschillende wachtwoorden, moet een aanvaller ook elk wachtwoord tegen een combinatie van hash en cipher uitvoeren. Dat is niet nodig in het geval van een volledige harde schijf, aangezien daar alleen één hash en cipher wordt gebruikt.

Kraken
Op dit moment is de tool alleen voor Linux beschikbaar, maar de ontwikkelaars stellen dat aan de hand van de broncode ook een versie voor Windows, Mac en BSD is te compileren.

Tevens kunnen geïnteresseerden TrueCrypt-headers van een systeem door de ontwikkelaars laten kraken. Hiervoor moet men de headers e-mailen, waarna het kraakproces begint. Vervolgens wordt het gekraakte wachtwoord online gepubliceerd. Op dit moment zijn er twee wachtwoorden gekraakt: Password123 en mysecret.

Reacties (16)
22-10-2012, 10:01 door Anoniem
best indrukwekkend, al 2 wachtwoorden gekraakt.
22-10-2012, 10:09 door Anoniem
Mooi dat dit naar boven komt, maar ik ben benieuwt hoe ze dit willen oplossen. Lijkt me dat je dit probleem zo kan laten.
22-10-2012, 10:14 door Anoniem
@Anoniem: Er is geen probleem; het algorithme is niet zwak.
22-10-2012, 10:53 door Anoniem
iemand die zo 'slim' is om truecrypt te gebruiken gaat volgens mij geen w8woord uit een woordenboek gaan gebruiken.

jan met de pet gebruikt truecrypt niet, iemand die iets te verbergen heeft daarintegen..
22-10-2012, 11:29 door Security Scene Team
Eigenlijk iets wat we al wisten, niks nieuws en het moraal van dit verhaaltje is: sterke wachtwoorden zijn niet te kraken, zwakke wachtwoorden wel... omfg
22-10-2012, 11:40 door Anoniem
De makers van TC zouden gewoon sterke wachtwoorden af moeten dwingen.
22-10-2012, 11:45 door Anoniem
Dus ze kunnen door middel van brute force en wachtwoordlijsten zwakke wachtwoorden kraken. Klinkt als een revolutionaire methode, had ik zelf nooit opgekomen.

Wel fijn dat ze tot de conclusie komen dat sterke wachtwoorden beter zijn dan zwakke. Dat geeft de burger weer moed.
22-10-2012, 11:58 door Anoniem
hmm en wat als naast het wachtwoord ook een file gebruikt wordt? Volgens mij is het systeem dan kansloos en blijft de veiligheid gewoon overeind.

Inderdaad is het bruteforce van TC nou niet bepaald nieuws. Het NFI probeert al jaren niets anders, maar slaagt daar nog steeds niet in.
22-10-2012, 13:10 door Anoniem
Echt baanbrekend dit tooltje. Volgens mij geeft TC bij het aanmaken van een TC partitie of het versleutelen van de HD ook al aan dat je een passphrase en niet een password moet gebruiken. Daarnaast is zoals al eerder gezegd de gemiddelde gebruiker van TC geen n00b maar iemand die wel weet wat hij doet. Overigens gebruiken de meeste mensen TC niet om iets te verbergen zoals een ander anoniempje suggereert maar om privé zaken te versleutelen. Ik heb bijvoorbeeld al mijn vakantiekiekjes in een TC file staan, omdat ik niet wil dat een ander die bekijkt, mocht mij PC gehackt/gejat worden.
22-10-2012, 13:17 door Anoniem
"Het NFI probeert al jaren niets anders, maar slaagt daar nog steeds niet in."

Hoe weet jij of het NFI daar wel/niet in slaagt ?
22-10-2012, 13:18 door Anoniem
jan met de pet gebruikt truecrypt niet

Nou, deze wel. En vanzelfsprekend geen 'logisch' ww en een met 30+ karakters.
Succes.

Mbt 'iets te verbergen': Mijn PC is MIJN PC dus...
22-10-2012, 14:56 door Anoniem
Door Anoniem:jan met de pet gebruikt truecrypt niet, iemand die iets te verbergen heeft daarintegen..[/quote]Mijn laptops zijn standaard encrypted, tevens mijn externe harde schijven. Ik denk niet dat mijn werkgever het leuk vindt dat wanneer mijn hardware gestolen wordt, bedrijfsinformatie op straat ligt. Ditzelfde geldt natuurlijk voor mijn privégegevens zoals inloggegevens, documenten en foto's.
22-10-2012, 15:22 door Anoniem
denk niet dat mijn werkgever het leuk vindt dat wanneer mijn hardware gestolen wordt, bedrijfsinformatie op straat ligt.

Dat bedoel ik.
Zou fijn zijn wanneer er meer aandacht wordt besteed aan het belang van encrypten, dat het niet slechts iets is dat criminelen hanteren maar daarin zal de (r)overheid het wel niet met mij mee eens zijn..

Zelf maak ik mensen in m'n omgeving attent op het belang van progjes als 'truecrypt' wat men er verder mee doet is aan hen :P
22-10-2012, 15:44 door Anoniem
Wat is naar aanleiding van deze tool een aanbeveling voor een minimale wachtwoordlengte?
22-10-2012, 16:34 door Anoniem
Door Anoniem: De makers van TC zouden gewoon sterke wachtwoorden af moeten dwingen.

Hier ben ik het gedeeltelijk mee eens, wat gaan mensen doen als het wachtwoord te idioot moeilijk wordt om te onthouden?
Juistem: gele post-its plakken tussen de laptop.
2 way factor vind ik eigenlijk dan veel interessanter.
22-10-2012, 17:05 door Anoniem
wat gaan mensen doen als het wachtwoord te idioot moeilijk wordt om te onthouden?

Een mens is tot meer in staat dan je denkt..!!

Zelf onthoud ik bv. prima 10 ww van elk gem. 30+ karakters
Dit lijkt overdreven maar probeer het zelf maar es..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.