Tja, iedere beheerder die zaken fatsoenlijk opzet met zaken als 2-factor authentication, die heeft weinig last van password cracking. Nu, als ook over 3 tot 5 jaar. In principe zou password cracking al achterhaald moeten zijn.

> Hoe snel kan een wachtwoord van 10 posities en 80 tekens gehacked worden?
Ligt aan de techniek die wordt gebruikt.

> Ik vraag dit omdat de cracktechnieken doorontwikkelen en een combinatie van 6 of 8 tekens vaak al snel te kraken is.
Ligt aan de techniek die wordt gebruikt.

>Er wordt gesproken over 1 miljard, 100 miljard of zelfs 1000 miljard brute force guesses PER SECONDE.
>welke computers kunnen dit?
Ligt aan de techniek die wordt gebruikt.

>Hoe makkelijk/moeilijk is het om een computer te bouwen met voldoende rekenkracht om een wachtwoord te cracken?
Ligt aan de techniek die wordt gebruikt.

> Kost dit veel geld (bijv meer of minder dan 5.000 Euro)?
Ligt aan de techniek die wordt gebruikt.

>Kost dit veel ruimte?
Ligt aan de techniek die wordt gebruikt.

>Kost dit veel specialistische uitzonderlijke kennis?
Ligt aan de techniek die wordt gebruikt.

Jammer dat je zo antwoord. Ik vraag juist naar de technieken. Ook als dit er meerdere zijn, het zou de discussie bevorderen als deze technieken hier gepost worden.

Jouw vraag is te generiek. Wat is het scenario en wat is jouw doel?
- Heb je een accountdatabase in handen en zo ja wat voor hashes (md5, sha-1, wel/geen salt, PBKDF2 met hoeveel iteraties etc)? Is je doel om van een specifiek account het ww te weten te komen, of van zoveel mogelijk willekeurige accounts?
- Heb je een gelockte iPhone in handen? Of een laptop met bitlocker of veracrypt?
- Probeer je via LAN een Windows drive te mounten zonder ww te kennen? Is account lockout geconfigureerd?
- Heb je een 7-Zip versleuteld bestand waar je het ww niet van kent?
- Heb je een gestolen bankpas waar je de pincode niet van kent?
- Probeer je in te loggen op mijn security.nl account?

Begin eens met in ieder geval niet de verkeerde terminologie te gebruiken. Je denkt in hollywoodtermen, waar de HACKER in een HACKER HOODIE enige HACKS over het TE HACKEN GADGET sprinkelt en de HACKING WOORDEN uitspreekt, bijvoorbeeld "security override", waarna het TE HACKEN GADGET openspringt en de HACKER uitroept I TOTALLY HACKED TEH SYSTEM!!1! waarnaa iedereen diep zucht en we kunnen verder met de volgende scene.

Wachtwoorden "kraak" je. Als dat je al te moeilijk is, heb je er niets te zoeken.

Begin eens met je huiswerk te doen. Bijvoorbeeld, verzamel een lijstje met veelgebruikte en historische methoden om wachtwoorden op te slaan. Hoe doen ze het? Waarom doen ze het zo?

En bekijk dan van iedere methode hoeveel moeite het kost om een wachtwoord te raden met, bijvoorbeeld, jouw desktopcomputertje, of met 5000 euro aan hardware, of met een miljoen euro aan hardware, of noem maar op.

Er spelen zoals gezegd gewoon veel te veel variabelen een rol om een eenduidig antwoord te geven, en je stelt de vraag als iemand die echt niet weet waar'ie het over heeft. Doe daar dus eerst wat aan.

Dat hangt helemaal van de details af.
Meestal heb je wachtwoordinvoer -> wachtwoordverwerking -> wachtwoordcheck.
Of soms is er geen check, maar na wachtwoordverwerking is er een mooie encryptiesleutel ontstaan die men gebruikt.

Wat je steeds vaker ziet is dat men de wachtwoordverwerking kunstmatig verlengt, bijv. het opgegeven wachtwoord
100.000 x SHA256 hashen. Dat vertraagd natuurlijk behoorlijk je aantal wachtwoordpogingen per seconde.
Wat je in zo'n geval kan doen, is de software onderzoeken en deze delay overslaan.
Dan heb je gewoon weer één SHA256 input met in de praktijk 2²?? mogelijkheden , maar dat is altijd nog heel veel lastiger dan 10 posities uitproberen waarbij 80 verschillende tekens mogelijk zijn. 80¹? tegenover 2²??, dat scheelt enorm.
Wat ook enorm veel kan uitmaken is of je online moet hacken (via internet naar je doel) of dat dit offline kan.
Als een hacker mazzel heeft (voldoende kennis bedoel ik) kan hij ook op de betreffende server een stukje software laten draaien dat ter plekke het brute force werk doet, maar je bent van heel veel dingen afhankelijk.

Kortom: het hangt af van de situatie en van de techniek die wordt gebruikt.
Een voorbeeld van hacken van wifi-encryptie: hier kan uit de ether een specifiek stukje wifi-communicatie uit de ether worden gevist door een aanvaller binnen wifibereik.
Met behulp van dat stukje communicatie kan het wifi-wachtwoord worden achterhaald.
Met soms wat vallen en opstaan is dat hier
https://www.security.nl/posting/458926/Is+WPA2+en+AES+nu+wel+veilig%2C+of+niet%3F al eens besproken.
Daar loop je er tegenaan dat je behalve met brute force ook nog met woordenboekaanvallen te maken kunt krijgen
die de hack kunnen bespoedigen. Lees het maar eens door, hier:
https://www.security.nl/posting/460653 is een aantal berekeningen gemaakt op grond van 95 tekens en
van 5 t/m 13 posities bij een brute-force -snelheid van 2 miljoen wachtwoorden per seconde. (zonder woordenboekaanval)
Met een distributed password recovery kan dat tegenwoordig nog vele malen sneller, 10.000 clients met GPU's is mogelijk.
Neem anders eens een kijkje op https://www.elcomsoft.com.

Maar bij brute forcing van wachtwoorden zal men dus per geval moeten kijken hoe de gewenste informatie het snelst boven water is te krijgen. Het hangt van de techniek af die er kan worden gebruikt en de snelheid.

Er is alleen geen discussie, enkel een redelijk luie vraag.

Okay, ik ben het met jullie eens dat er veel situaties mogelijk zijn en dat mijn vragen niet veel meer waren dan een schot voor de boeg.

Ik zal een iets meer specifieke situatie geven. Iemand ontwikkelt vnl web applicaties in php met daarbij een control panel waarvoor je moet inloggen. Hiervoor wordt gebruik gemaakt van SSL en mbv PHP wordt een login gedaan met BCRYPT.
Verouderde methodes zoals SHA en MD5 achterwege gelaten. De login moet verplicht minimaal 10 posities zijn (Lengte) , kies uit 80 chars (Symbool).

Dit is de minimale situatie die op dit moment wordt aanbevolen voor inloggen bij webapps.

De reden dat ik er vragen over post is dat de techniek niet stil blijft staan. Hewlett Packard is bezig met de ontwikkeling van een soort van super computer, genaamd The Machine, die razendsnel berekeningen kan uitvoeren en deze techniek gaat worden toegepast in oa smartphones. Als je je goed inleest in de mogelijkheden van deze nieuwe revolutionaire computer en de marktontwikkelen tot 2025 dan is er de komende jaren echt wel iets aan de hand.

Dat is de context waarbinnen ik me afvraag hoe lang ons password systeem nog stand houdt? Of zal in de toekomst het inloggen op websites niet veel meer gaan verschuiven naar 2 factor inlog authenticatie?

Er is al sinds voor de jaren 60 echt wel iets aan de hand, en iedere keer heeft iemand wel weer een nieuw ding dat "razendsnel berekeningen kan uitvoeren".

Toen leek crypt() een goed idee, en even later bleek dat niet het geval, dus maar md5, en even later sha-1, en zo verder.

Je hebt je dus een beetje op stang laten jagen door de buzzwords. Je kan beter een (zelfs bijvoorbeeld gratis en online) cursus cryptografie gaan doen, waar ze je vertellen wat ze verstaan onder "veiligheid" en welke afwegingen ze daarbij maken. Dan kun je zelf de berekeningen uitvoeren en heb je enig houvast om jezelf niet te laten meeslepen door marketeeringpraat. Kost je wel een dozijn weken een tiental uur per week ofzo.

Het hele wachtwoordkraakfeest kan pas beginnen als een aanvaller een lijst met hashes weet te pakken.

Overigens is er een groot verschil tussen een specifiek wachtwoord willen weten en gewoon een toegang op het systeem weten te vinden. In dat laatste geval is het grootste probleem niet het via brute kracht kraken van de wachtwoorden: Je laat er wat lijsten van veelgebruikte wachtwoorden op los en je hebt nogal snel de helft of meer te pakken. Dan kun je in ieder geval ergens mee naar binnen.

Twee-factor is ook geen panacea, zie het debacle met het bedrijf RSA security (dus niet het RSA algorithme), en de alternatieven die je zo regelmatig voorbij ziet komen hebben ook zo hun makken. Een wachtwoord is lekker simpel en als je een zwak wachtwoord kiest, tsja, daar kan de websitebouwer niet veel aan doen natuurlijk. Je kan wel lekker de pietlut gaan uithangen op de lettertjes, cijfertjes, en speciale tekentjes, maar dat zet vooral kwaad bloed. Zorg eerst maar dat je geen gaten in je eigen code meer kan vinden. Daarbij, het is ondertussen veel interessanter om wachtwoorden hier gevonden ook daar even te proberen, want mensen hergebruiken wachtwoorden. Daar kan je als websitebouwer niet op testen. Dat het maar nauwlijks allemaal te onthouden is... dan maar hopen dat al je klanten braaf hun wachtwoorden in een wachtwoordkluis opbergen.

"Snelle machines" kun je wat tegen doen door je verhaspelalgorithme op te leuken. Uiteindelijk is de mens toch de zwakste schakel. Ga je 'm controle afnemen (via biometrie of gadgets of wat ook), dan wordt het geheel nogal snel nog zwakker.


Ik zie overigens dat "de redactie" eens even een groot blik "hacking cyber hackers sophisticated hacks" opengetrokken heeft deze morgen. Toevallig of niet, tekenend is het wel.

Je haalt dingen door elkaar.

Een verkregen wachtwoord hash kraken is iets anders dan een wachtwoord brute-forcen op een website zelf.
Dit zijn twee totaal verschillende zaken.

Ik bedoel het cracken van encrypted wachtwoorden. Niet brute forcen.

Maar het is de vraag wat The Machine van Hewlett Packard gaat kunnen. Voor de 1 een uitdaging voor de ander misschien een nachtmerrie.

Het is niet makkelijk om concrete voorbeelden te geven. Het blijft fictief maar wat gaat deze The Machine doen op security gebied in de toekomst?

Graag serieuze reacties over dit onderwerp.