Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Brute force per seconden
Ik vroeg mij af wat een op de markt desktop of laptop, aantal combinaties (brute force)kunnen uitvoeren op een form per seconden.Zowel op een http inlog form als een bijvoorbeeld windows 7 password crack.
Mijn laptop kon op windows 7,| 5 miljoen combinatie maken per seconden. het gaat hier dan om een brute force op een windows 7 wachtwoord. Nu heb ik niets te klagen over mijn laptop maar er zijn zeker betere te vinden. Vandaar mijn vraag hoeveel combinatie deze zouden kunnen maken.
En waar dit aanligt.
Mijn laptop kon op windows 7,| 5 miljoen combinatie maken per seconden. het gaat hier dan om een brute force op een windows 7 wachtwoord. Nu heb ik niets te klagen over mijn laptop maar er zijn zeker betere te vinden. Vandaar mijn vraag hoeveel combinatie deze zouden kunnen maken.
En waar dit aanligt.
Reacties (17)
14-06-2012, 11:52 door
regenpijp
De hoeveelheid wachtwoorden (met offline hashes) die je kunt brute-forcen is afhankelijk van het soort hash, een MD5 hash is sneller te brute forcen dan een SHA512 hash, verder speelt natuurlijk ook de snelheid van je pc een rol, hierbij zorgt vooral het gebruik van een videokaart voor veel meer pogingen per seconde.
Over een netwerk brute-forcen haal je hoog uit een paar duizend aanvragen per seconde als je snelle pc hebt met een goede internetverbinding en vooral belangrijk, de kracht van een webserver, aangezien deze niet oneindig veel aanvragen per seconde aan kan. Ook al hebben veel systeembeheerders op hun firewall ingesteld dat de verbinding wordt afgeknepen als een gebruiker in bijvoorbeeld 10 seconden meer dan 500 pakketten heeft verstuurd.
Er is niet 1 vaste waarde voor één laptop, dit hangt samen met veel meer andere zaken.
Over een netwerk brute-forcen haal je hoog uit een paar duizend aanvragen per seconde als je snelle pc hebt met een goede internetverbinding en vooral belangrijk, de kracht van een webserver, aangezien deze niet oneindig veel aanvragen per seconde aan kan. Ook al hebben veel systeembeheerders op hun firewall ingesteld dat de verbinding wordt afgeknepen als een gebruiker in bijvoorbeeld 10 seconden meer dan 500 pakketten heeft verstuurd.
Er is niet 1 vaste waarde voor één laptop, dit hangt samen met veel meer andere zaken.
Ik sluit me aan bij regenpijp, het is afhankelijk van vele zaken. Bruteforcing met je GPU is overigens vele malen sneller dan via de CPU.
14-06-2012, 12:21 door
Brebent
Bedankt voor je reactie. Stel ik heb een wachtwoord hoihoi(http als windows) en het word geencrypt. Dan kan ik het niet onderscheppen. maar als ik een brute force er opgooi dan komt uit de brute force van zelf wel hoihoi rollen. Dus wat is dan de rol van Hashes bij brute force
14-06-2012, 12:56 door
SirDice
Door Brebent: Bedankt voor je reactie. Stel ik heb een wachtwoord hoihoi(http als windows) en het word geencrypt. Dan kan ik het niet onderscheppen. maar als ik een brute force er opgooi dan komt uit de brute force van zelf wel hoihoi rollen. Dus wat is dan de rol van Hashes bij brute force
Normaal gesproken krijg je de kans niet om zoveel pogingen te doen online. Het account zou geblokkeerd moeten worden na een X aantal foute pogingen. Voor HTTP basic authenticatie werkt dat helaas niet maar voor bijv. SSH wel. Bij een web applicatie kun je eigenlijk beter een custom login maken, dan kun je wel een account blokkeren na een aantal foute pogingen.
14-06-2012, 14:16 door
Brebent
Door Brebent: Bedankt voor je reactie. Stel ik heb een wachtwoord hoihoi(http als windows) en het word geencrypt. Dan kan ik het niet onderscheppen. maar als ik een brute force er opgooi dan komt uit de brute force van zelf wel hoihoi rollen. Dus wat is dan de rol van Hashes bij brute force
Of word de hashes(md5) geprobeerd te kraken met brute force dus: hoihoi = 4124bc0a9335c27f086f24ba207a4912 waarom (kan je) dan niet een brute force uitvoeren op de inlog form. dus tot je uit eindelijke hoihoi hebt?
(Goeie links over brute force en hashes zijn welkom)
14-06-2012, 14:54 door
didrix
Door Brebent: waarom (kan je) dan niet een brute force uitvoeren op de inlog form. dus tot je uit eindelijke hoihoi hebt?
Je praat hier in feite over twee methoden van brute force:-offline, waarbij je de hash nodig hebt
-online, bijv via http of ssh
Hierbij moet gezegd worden dat offline vele malen sneller is dan online. Bij brute force over het netwerk kan een limiet zijn ingesteld voor hoe vaak je een password mag proberen.
14-06-2012, 15:14 door
Brebent
En hoe zit het bij brute force attack op een draadloos netwerk?
14-06-2012, 15:26 door
didrix
Als je over WPA (1 of 2) praat is het vergelijkbaar met een online attack (dus zo langzaam dat het in de praktijk niet werkt). WEP is wel gebroken.
Ik kan je ook nog een goede site aanraden:
http://www.google.nl
Ik kan je ook nog een goede site aanraden:
http://www.google.nl
Wil je meer weten of draadloos netwerken en de beveiliging etc. daarvan zijn hier goede video's: http://www.securitytube.net/groups?operation=view&groupId=9
Ik wil ook iemands wachtwoord weten. Het gaat om iemand die er niet meer is. Hoe kan ik aan dat wachtwoord komen en die bruce force kan je dat downloaden ofso ?
25-06-2012, 09:18 door
regenpijp
Door Anoniem: Ik wil ook iemands wachtwoord weten. Het gaat om iemand die er niet meer is. Hoe kan ik aan dat wachtwoord komen en die bruce force kan je dat downloaden ofso ?
Het antwoord is niet als het Gmail, hotmail, security.nl ofzo betreft, tenzij je met de klantenservice aan de gang gaat.
Bij een pc kan de hash wel opgehaald worden en om bij de bestanden te komen kan je het beste een Linux live CD booten om buiten windows om op die pc te komen.
02-07-2012, 17:11 door
WhizzMan
Ik denk niet dat je lang van je nieuwe computer kan genieten als je bruteforce webformpjes gaat hacken. De kans dat er iemand klaagt en de 4chan-partyvan bij jou voor komt rijden om je nieuwe PC in beslag te nemen is tegenwoordig niet heel klein meer.
02-07-2012, 19:07 door
regenpijp
Door WhizzMan: Ik denk niet dat je lang van je nieuwe computer kan genieten als je bruteforce webformpjes gaat hacken. De kans dat er iemand klaagt en de 4chan-partyvan bij jou voor komt rijden om je nieuwe PC in beslag te nemen is tegenwoordig niet heel klein meer.
Daarvoor hebben we IPtables die de verbinding afknijpt als iemand over een langere periode heel wat tcp pakketten verstuurd en web applicaties die automatisch blokkeren na 5 verkeerde inlogpogingen. :)
Nu zal een webmaster denk ik niet wakker liggen van iemand die een simpele brute force uitvoerd, de boel zal toch af geknepen worden, maar een grootschalige, langdurige aanval, nee dat niet.
Online brute-force heeft alleen zin als iemand een heel erg simpel wachtwoord heeft als 123456, qwerty of password. Password12345 zal al te veel zijn over het internet om te kunnen brute forcen.
Maar die partyvan zal dan niet alleen je pc meenemen :p
05-07-2012, 10:38 door
WhizzMan
De hoeveelheid webmasters die geen IPtables, WAF, IDS of andere hippe techniek hebben is nog best groot, zeker in organisaties waar het een stapel formulieren en iets van het formaat van een Europese aanbesteding vereist om zoiets geimplementeerd te krijgen. Dat soort beheerders bellen gewoon GOVCERT, Fox-IT of ander clubje en dan volgt er vaak ook wel een aangifte.
Dat ze meer meenemen dan je nieuwe PC lijkt me wel voor de hand liggen, maar ik geloof dat de vraagsteller vooral graag een mooie nieuwe PC wilde hebben met een uitmuntende capaciteit in het doen van allerlei niet altijd volledig legale dingen. Daar heb ik dus maar even de nadruk op gelegd.
Dat ze meer meenemen dan je nieuwe PC lijkt me wel voor de hand liggen, maar ik geloof dat de vraagsteller vooral graag een mooie nieuwe PC wilde hebben met een uitmuntende capaciteit in het doen van allerlei niet altijd volledig legale dingen. Daar heb ik dus maar even de nadruk op gelegd.
05-07-2012, 10:56 door
regenpijp
sarcasme mode aan:
Nieuwe pc met dual xenon en een 54kbit inbellijn :)
Nieuwe pc met dual xenon en een 54kbit inbellijn :)
06-07-2012, 10:05 door
WhizzMan
En een CUDA videokaart voor de brute force op de websites? ;)
06-07-2012, 10:47 door
regenpijp
CUDA videokaarten of quad SLI/CFX heeft geen zin, dan is een botnet beter xD
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.