image

ZX Spectrum kraakt 'wachtwoord' in 20 jaar

zondag 21 juli 2013, 14:15 door Redactie, 15 reacties

Wie wachtwoorden wil gaan kraken kan beter geen ZX Spectrum gebruiken, aangezien de populaire thuiscomputer uit de jaren 1980 over het woord 'wachtwoord' al ruim 20 jaar doet. Een doorsnee thuiscomputer van vandaag de dag zal het wachtwoord binnen 6 dagen hebben gekraakt. Dat beweert het Russische anti-virusbedrijf Kaspersky Lab. De virusbestrijder test tegenwoordig ook wachtwoorden.

Via een nieuwe website kunnen internetgebruikers zien hoe lang het duurt om een opgegeven woord op de ZX Spectrum, een Macbook Pro (2012), het Conficker-botnet en de Tianhe-2 supercomputer te kraken, de snelste supercomputer ter wereld.

Vervolgens verschijnt niet alleen de kraaktijd, maar ook wat voor afstand bijvoorbeeld een Ferrari of slak in deze tijd kan afleggen. De website is vooral bedoeld voor 'educatieve doeleinden' en gebruikers wordt dan ook geadviseerd niet hun eigen wachtwoord in te vullen.

Reacties (15)
21-07-2013, 14:42 door Anoniem
Na voorstellen tot structurele afbraak van privacy nu ook kwaadspreken over computerhistorie. Nouja zeg.
21-07-2013, 14:44 door _Peterr
Ik snap niet dat mensen hun wachtwoord hier in typen. Geen SSL en de site gebruikt Google Analytics.
21-07-2013, 15:44 door regenpijp
Wie wachtwoorden wil gaan kraken kan beter geen ZX Spectrum gebruiken, aangezien de populaire thuiscomputer uit de jaren 1980 over het woord 'wachtwoord' al ruim 20 jaar doet.
Ja, inderdaad. en het woord 'password' wordt binnen 1 seconde gekraakt. Een engels woord dat uit ook uit 10 tekens bestaat als: 'dictionary' wordt op een ZX Spectrum in 8 minuten gekraakt. Dus kan je wel stellen dat dit tooltje alleen rekening houdt met Engelse woorden en niet met Nederlandse woorden.

Dus vind ik het een beetje naief om te stellen dat een wachtwoord als 'wachtwoord' veiliger zou zijn dan een wachtwoord als 'password'. Gaat iemand passwords cracken en weet diegene dat de dump afkomstig is van een Nederlandse website dan zal er echt niet alleen maar een lijst van de meest voorkomende engelstalig wachtwoorden (als rockyou.txt) gebruikt worden, maar ook gewoon een Nederlands woordenboek met allerlei permutaties.
21-07-2013, 15:46 door Anoniem
zweetluchtverfisser duurt 22 jaar om te kraken met de Tianhe-2 Supercomputer en met de Mac Book Pro 10.000 eeuwen.
21-07-2013, 19:05 door johanw
Door _Peterr: Ik snap niet dat mensen hun wachtwoord hier in typen. Geen SSL en de site gebruikt Google Analytics.

Google Analytics wordt hier geblokkeerd door Ghostery, net als Adsense trouwens. Dat een van beide een password sniffer functie heeft wist ik trouwens niet, hoe kom je daarbij?
21-07-2013, 19:10 door Anoniem
Door regenpijp: Ja, inderdaad. en het woord 'password' wordt binnen 1 seconde gekraakt.
Interessant dat de site beweert dat "Your password will be bruteforced with an average home computer in approximately
1 second". Het wordt ongetwijfeld binnen 1 seconde gekraakt, maar mag je dat gebruteforcet noemen?
21-07-2013, 23:39 door WhizzMan
Het wordt ongetwijfeld binnen 1 seconde gekraakt, maar mag je dat gebruteforcet noemen?
Ja, want de kraakmethode is bruteforcen met behulp van rainbow tables. Er is geen intelligente kraakmethode gebruikt, alleen maar (vooraf) brute rekenkracht.
22-07-2013, 07:17 door N4ppy
Een egyptenaar was nu nog steeds aan het beitelen als hij in de tijd van Toetanchamon was begonnen........
22-07-2013, 09:01 door Anoniem
Als het met rainbow tables zou werken en de software was een beetje slim dan zou het heel wat sneller
gaan. Een waarde opzoeken in een ge-indexde tabel dat hoeft wat snelheid betreft niet afhankelijk te
zijn van de specifieke waarde, alleen van het aantal entries in de tabel.

Als je gebruik maakt van een dictionary dan is de tijd om te kraken niet te voorspellen, omdat dit niet
zozeer afhangt van het gekozen wachtwoord maar alleen van de volgorde van de wachtwoorden in de
dictionary. Een slimme dictionary bouwer zet de meest gebruikte wachtwoorden natuurlijk vooraan,
maar waar je wachtwoord precies staat weet je niet.

Dus of het voor een specifiek opgegeven wachtwoord nou 1 of 20 of 200000 uur is dat weet je nooit.
22-07-2013, 09:50 door RickDeckardt
spaties mensen, gebruik spaties in uw wachtwoorden.
Test maar met "qwerty12" en "q w e r t y 1 2", dat is 1sec vs 10000+years
22-07-2013, 10:17 door Anoniem
Hoezo kraken? Daarvoor moet het toch eerst versleuteld zijn. Ik lees nergens iets over het niveau van versleuteling en dat lijkt me toch wel relevant (evenals het kraakalgortime maar dat is nog een stap verder).

Als ik mijn wachtwoord op die site invoer dan kan het door elke computer binnen 1 seconde "gekraakt" worden want hij hoeft het alleen maar terug te geven zoals ik het intik...
Dat zal niet de bedoeling zijn maar nu staat het er wel zo in bovenstaand artikel.

Dat je met een engelse dictionary niet zo snel nederlandse woorden kraakt, dat is zo triest dat ik er geen woorden voor heb... maar hopen dat elke aanvaller een verkeerde dicionary heeft dus?
22-07-2013, 10:24 door spatieman
omg, snel die ZX spectrum verbieden voor het een succes gaat worden !
22-07-2013, 13:14 door Anoniem
Lang wachtwoord niet zonder meer veiliger!

Diverse testjes gedaan en dat levert de volgende aannames (inclusief open deuren) op :

- een heel lang wachtwoord alleen niet zonder meer veiliger is
- een wachtwoord van 5 tekens als te kort wordt beschouwd
- opvolgende toetsenbord sequenties vermeden moeten worden
- veelvoorkomende woorden of woordcombinaties vermeden dienen te worden
- in ieder geval het aantal unieke tekens in het wachtwoord de veiligheid verhoogt boven aanwezige dubbele tekens
- de taal van het wachtwoord doorslaggevend kan zijn behalve als het verschil in unieke tekens te groot is.
Vergelijk maar eens de woorden; y€@rm0nthd@y (conficker botnet : 2 days) , j@@rm@@ndd@g (j@@rm@@ndd@g).

- de test lijkt geen rekening houdt met de keyboard input source name ?

Dat idee had ik hier al eens geopperd oa onder :
https://www.security.nl/artikel/46782/1/Wachtwoordkraker_Hashcat_kraakt_Bcrypt_en_OS_X_10.8.html
26-06-2013, 21:46 door Anoniem


Keyboard input source test op de kasp-site gedaan, weet niet of security.nl site dergelijke exotische karakters aankan

* Nederlands keyboard input source name - taal Nederlands
Ingevoerd wachtwoord: !@#$%^&*()qwertyQWERTY

- macbook pro : 2 minutes
- conficker botnet : 1 second
- tianhe-2 supercomputer : 1 second
- ! There are keyboard sequences
- ! There are widely used combinations


* Tamil99 keyboard input source name - taal Tamil99
Ingevoerd wachtwoord: !@#$%^&*()?????????????????

(als er vraagtekens of blokjes in het ww hierboven voorkomen kon de security.nl site waarschijnlijk het exotische Tamil schrift niet aan, dan mag je het op de eigen pc uitproberen om te zien hoe dat eruit ziet. )

- macbook pro : 10.000 centuries
- conficker botnet : 10.000 centuries
- tianhe-2 supercomputer : 10.000 centuries
- ! There are keyboard sequences

p.s.,Tamil99 heeft niet voor alle tekens een hoofdletter beschikbaar, zoek je eigen alternatieve exotisch schrift maar uit!

Onder Mac Os X kan je de "input source name" optie makkelijk toevoegen aan je menu balk rechtsboven om talen te switchen. Onder voorkeuren kan je deze optie ook activeren voor je basis Os X inlogscherm.

Hoe één en ander makkelijk op de pc werkt laat ik aan de pc experts hier.
22-07-2013, 16:25 door Valheru
LOL
Maar goed dat alle 2 mijn ZX Spectrums in de kast staan, samen met de Apple uit 1984 en de IBM 'laptop' uit 1986.
Grappig dat iemand in deze tijd gaat kijken hoe je daar wachtwoorden mee kunt kraken.

Verder, mee eens, je kunt beter geen wachtwoorden op dat soort sites invoeren.
23-07-2013, 12:35 door Anoniem
Door WhizzMan: Ja, want de kraakmethode is bruteforcen met behulp van rainbow tables. Er is geen intelligente kraakmethode gebruikt, alleen maar (vooraf) brute rekenkracht.
Dan kan ik moeilijk geloven dat password in 1 seconde gekraakt kan worden, maar pissword in 11 uur. Dat enorme verschil zou alleen moeten kunnen als er wél een intelligentere kraakmethode wordt gebruikt, namelijk een dictionary.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.