Pc kan 10 karakter wachtwoord niet kraken
Wachtwoorden van tien of meer karakters zijn niet met een desktopcomputer te kraken, aldus beveiligingsexpert Robert Graham. Als het een dag kost om alle wachtwoorden van 8 karakters te kraken, dan kost het honderd dagen om een wachtwoord van negen karakters te kraken en 27 jaar om een wachtwoord van tien karakters te kraken.
Graham baseert zich op alle mogelijke toetsen op het toetsenbord, hoofdletters, cijfers, letters en vreemde karakters, wat per positie in het wachtwoord zo'n honderd mogelijkheden biedt. Door het toevoegen van één karakter aan het wachtwoord, neemt de moeilijkheid om het wachtwoord te kraken met een factor honderd toe.
"Dat betekent dat er drie soorten wachtwoorden zijn: degene die we eenvoudig met een desktopcomputer kunnen kraken (acht karakters of minder), degene die we helemaal niet kunnen kraken (tien karakters of meer) en degene die we kunnen kraken als we duurdere computeronderdelen aanschaffen (negen karakters)."
Radeon
Daarbij levert het investeren in videokaarten meer op dan het investeren in processoren. Ook zijn Radeon videokaarten volgens Graham veel beter geschikt voor het kraken van wachtwoorden dan Nvidia videokaarten.
"Het kopen van een machine van drieduizend dollar kan het kraken met een factor 160 versnellen. Het kopen van een tweede machine van drieduizend dollar versnelt het kraken met slechts een factor twee." De expert merkt op dat mensen alleen één karakter aan hun wachtwoord moeten toevoegen om de complexiteit met een factor honderd te vergroten.
Hardware
In dit artikel gaat Graham in op het bouwen van een speciale computer voor het kraken van wachtwoorden, maar ook wat voor soort laptop security professionals en pentesters zouden moeten kiezen als ze wachtwoorden willen testen.
"Over het kopen van een videokaart van 250 dollar die het wachtwoord kraken met factor twintig versnelt hoef je niet na te denken. Het kopen van een notebook gebaseerd op een GPU is waarschijnlijk slim voor pentesters. Maar wachtwoorden zijn een beetje vreemd. Ze groeien exponentieel in complexiteit, wat betekent dat je minder terugkrijgt voor het kopen van meer hardware."
En met rainbow tables gaat het een stuk sneller, als deze eenmaal gemaakt zijn voor alle charactercombinaties en lengtes.
Het gaat om de brute kracht van een PC om het wachtwoord te kunnen kraken.
Wachtwoord van 20 tekens misschien moeilijk, dus wachtwoord-zin gebruiken.
Stukje tekst uit favoriet liedje ?
Als je kijkt naar de clipper chip die de US voorstelde om PGP te vervangen (skipjack), die was 80 bits. Begin jaren negentig vond de NSA dit genoeg voor (Amerikaanse) bedrijven.
Nu is 128 bits encryptie heel erg gangbaar. Dit geldt als veilig tegenwoordig, hoewel 256 bit AES ook tot de mogelijkheden behoort voor de paranoïde medemens.
Dus hoe ga je die 128 bits 'entropie' verkrijgen?
Nou, met hexadecimaal is het 16 mogelijkheden per teken. Dus 4 bits entropie per teken; 2log(16)
Alphanummeriek is 26+26+10 mogelijkheden per teken. Dus 2log(62) ~ 2log(64) ~ 6 bits entropie per teken.
Met alle tekens op het toetsenbord (26+26+10+10+11+11+spatie) = 2log(95) ~ 6,6 bits entropie per teken.
En voor de volledigheid, binair is 1 bit entropie per teken; 2log(2)
Dus hoe zit het met dat wachtwoord van Robert Graham? Nou 2log(95) * 10 ~ 66 bits entropie. Ofwel tussen 40 bits van vroeger en de 80 bits van skipjack in. Met de wet van Moore moet hier elke 18 maanden een bitje bij. Als je wilt dat het over 18 maanden nog veilig is, moet je nu al deze bit toevoegen!
Als je wachtwoord meer entropie heeft als AES, dan wordt het interessant om AES te kraken met brute force in plaats van je wachtwoord. Maar zover men weet kan niemand dat op dit moment nog.
Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.
Peter
Maar of het er nou 5, 10 of 100 zijn als je per uur maar 5 keer mag proberen dan duurt het langer dan 27 jaar (en gaat opvallen als een account niet bruikbaar is)
@12:24 alleen als er geen salt gebruikt is
@12:25 bij een stuk van een liedje heb je weer een beperktere char set dus ga je potentieel makelijker te kraken password krijgen. "I can see clearly now the %@*))!^^^@*@( has gone" is zo lastig te zingen ;)
Als we dat doortrekken dan kraken we het wachtwoord in ongeveer 25 jaar :)
Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.
Peter
of je bouwt een brute bak met SSD's in RAID en laatst ze dan aansturen met verschillende GPU's van verschillende videokaarten ;)
http://en.wikipedia.org/wiki/Moore%27s_law#Transistor_count_versus_computing_performance
Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.
Peter
of je bouwt een brute bak met SSD's in RAID en laatst ze dan aansturen met verschillende GPU's van verschillende videokaarten ;)
http://en.wikipedia.org/wiki/Moore%27s_law#Transistor_count_versus_computing_performance
Maar het kraken van een wachtwoord is prima te threaden. Dus het inzetten van meerdere chips is geen probleem. Waar het om gaat is de betaalbaarheid van die performance voor de gewone consument.
Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.
Peter
of je bouwt een brute bak met SSD's in RAID en laatst ze dan aansturen met verschillende GPU's van verschillende videokaarten ;)
Hier kan je zien wat een verschil van lengte van wachtwoord of je nu 8, 9, 10 of langere neemt.
Het kijkt niet of je een sterk of zwak wachtwoord hebt maar laat zien als je bv. 2 puntjes achter je wachtwoord zet en dus van een 8 naar een 10 lengte gaat. Dat het langer duurt voor dat je wachtwoord gevonden wordt via bruteforce.
tijd en mogelijke wachtwoorden :)
8 = 18.62 uur (6,704,780,954,517,120)
9 = 2.43 maanden (636,954,190,679,126,495)
10 = 19.24 jaar (60,510,648,114,517,017,120)
en het maakt uit of het een MD5, crypt of SHA256 of andere cypher is met of zonder salt. Hoeveel c/s's je kan halen met je crack tool.
Het mooste zou via een FPGA het te gaan doen of een opstelling van 8 ATI/NVIDIA GPU of meer.
John the Ripper en Hashcat zijn goede tools om dit te doen. Beide kunnen het via een multi-core en/of GPU doen.
En een goede wordenboek is ook goed om te hebben. Want me moet het wachtwoord zelf ook kunnen onthouden.
Leef je hier maar eens op uit.
https://contest.korelogic.com/defcon_contest_hashes.txt
Dan moet je wel voldoende geheugen hebben om die tables in geheugen te kunnen houden. Als je ze steeds de harde schijf moet laden, duurt het alsnog ontzettend lang.
Maar, let wel dat de '27 jaar' gaat over kraken mbv 1 desktop PC. Als 'n hacker moeite wil doen, knalt 'ie er gewoon een botnet tegenaan en duurt 't ineens 10.000 (of hoeveel zombies hij/zij ook ter beschikking heeft) keer korter, en dan is 't "niet te kraken" wachtwoord toch binnen 'n dag gekraakt..
Of je wordt gephished, ge-keylog'd, ge-social-engineerd, whatever.. er zijn meer mogelijkheden dan brute-force...
Waar moet ik beginnen :;!
OF gewoon een wacht woord van 15 cijfers en letters nemen .
Je kunt zo gemakkelijk een wachtwoord van 12 of meer tekens onthouden.
De kernboodschap richting gewone gebruikers is dus: gebruik een lang wachtwoord, dan hoef je het de komende 10 jaar niet te veranderen. Dat is meteen een mooi antwoord op dit artikel: http://www.security.nl/artikel/37556/1/33%25_wijzigt_nooit_Facebook-wachtwoord.html
Als je de adviezen van Graham volgt, is het namelijk helemaal niet erg dat je je Facebook wachtwoord nooit verandert. Pas als de Facebook password-hash database wordt gecompromitteerd of je bericht krijgt dat er binnen korte tijd heel vaak een verkeerd password is ingevoerd, hoef je actie te ondernemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.