Qualität von Passwörtern / GPUs knacken in 3 Tagen, A real-world example - wie sieht's bei euch aus? Einstellungen

[Manu]

Hallo zusammen,

ich finde alle Entwicklungen und Verfahren rund um Passwörter immer sehr spannend. So verfolge ich nicht nur Möglichkeiten, sich sicher zu authentifizieren (beispielsweise One-Time Passwords für SSH), sondern informiere mich auch ebenso über die Neuigkeiten und Techniken, die im Bereich des Knacken von Passwörtern aufkommen.

Bei condinghorror.com lese ich heute Morgen von dem massiven Geschwindigkeitszuwachs [1], wenn man GPUs für das Knacken von Passwörtern verwendet. Im Prinzip ist das nichts neues, weiß doch jeder um das große Potential, das in der Parallelarbeit steckt. Im Allgemeinen nennt man das auch GPGPU, "General Purpose Computation on Graphics Processing Unit".
Aber nun zu ein bisschen Mathe:

How many passwords can we attempt per second?
Dual Core CPU 10,000,000
GPU 200,000,000

Nehmen wir an, unser Passwort besteht aus acht Buchstaben, ohne Sonderzeichen und Ziffern. Dann ergibt das:

53,459,728,531,456 / 10,000,000 pps / 60 / 60 / 24 = 61.9 days
53,459,728,531,456 / 200,000,000 pps / 60 / 60 / 24 = 3.1 days

Eine GPU braucht also höchstens 3 Tage bis ein solches Passwort geknackt ist. Beeindruckend, aber ich werde das später nochmal aufgreifen. Erweitert man an dieser Stelle den für das Passwort verwendete Zeichensatz steigt die Dauer zum Knacken natürlich an - aber ein absehbarer Zeitraum bleibt das dennoch. Nimmt man 62 Zeichen als Zeichensatz an und verwendet wie zuvor 8 Stellen, so darf man sich höchstens 13 Tage sicher fühlen.

Da die Anzahl an Stellen des Passworts in der Potenz steht, ist sofort ersichtlich, dass ein Verlängern der Passphrase diese erschreckende Erkenntnis sogleich wieder etwas verharmlost. Schon mit 12 Stellen würde ein GPU bis zu 22.620.197 Tage benötigen.

Aber gut, wie sieht das nun in der Praxis aus? Was verwenden User für Passwörter?

Bruce Schneier hat 34.000 Kombinationen von Usernamen und Passwörtern von MySpace analysiert [2]. Die Daten wurden - nicht von ihm - über eine einfache gefälschte Login-Seite gesammelt.
Über die Länge der Passwörter schreibt er:

Password Length: While 65 percent of passwords contain eight characters or less, 17 percent are made up of six characters or less. The average password is eight characters long.

Aha, sieht also mit den oben gemachten Annahmen gar nicht so übel aus, für den Cracker, versteht sich.
Schauen wir uns an, welche Zeichen verwendet werden:

Character Mix: While 81 percent of passwords are alphanumeric, 28 percent are just lowercase letters plus a single final digit -- and two-thirds of those have the single digit 1. Only 3.8 percent of passwords are a single dictionary word, and another 12 percent are a single dictionary word plus a final digit -- once again, two-thirds of the time that digit is 1.

81 Prozent der Passwörter bestehen also aus alphanumerischen Zeichen (was bei case-sensitive 62 ergibt), 28 Prozent werden aus einem noch kleineren Kreis von Ziffern geschöpft.
Wir fassen zusammen: 82 Prozent der Passwörter sind höchstens 8 Zeichen lang. 81 Prozent der Passwörter bestehen aus alphanumerischen Zeichen. Eine GPU benötigt heute (!) für das Knacken eines 8 Zeichen langen Passworts aus alphanumerischen Zeichen höchstens 13 Tage. Und diese Betrachtung bezieht sich auf die eher besseren Passwörter!
Schneier beobachtet:

AccessData's Password Recovery Toolkit -- at 200,000 guesses per second -- would have been able to crack 23 percent of the MySpace passwords in 30 minutes, 55 percent in 8 hours.

Wie ist's um eure Passwörter bestellt?

[1] Jeff Atwood: Hardware Assisted Brute Force Attacks: Still For Dummies, http://www.codinghorror.com/blog/archives/000986.html
[2] Bruce Schneier: Real-World Passwords, http://www.schneier.com/blog/archives/2006...orld_passw.html

[Domino]

Mein wirklich wichtiges Passwort hat mehr als 32 Zeichen und Buchstaben.
Das nächste wichtige mehr als 12.

Dann folgen einige mit 8.

Für Blödsinn, nehme ich auch durchaus mal "123"

Du bist nicht auf Groß-und Kleinschreibung eingegangen. Nutzt das nix ?



Domino

[Manu]

Du bist nicht auf Groß-und Kleinschreibung eingegangen. Nutzt das nix ?

81 Prozent der Passwörter bestehen also aus alphanumerischen Zeichen (was bei case-sensitive 62 ergibt)

26 (A-Z) + 26 (a-z) + 10 (0-9) = 62

[Domino]

Wie ist es denn um deine bestellt ?

32 kannst du wahrscheinlich nicht toppen.


Um das Passwort in wenigen Tagen zu knacken bräuchte man doch aber eine Passwortabfrage die das zulässt, oder ?

Ich habe übrigens mal eine Passwortabfrage geknackt indem ich versehentlich ein jpg statt meines Passwortes hineinkopiert habe. Irgendwie ist die Passwortabfrage dabei kollabiert, eingeloggt war ich trotzdem.



Domino

[StormRider]

Wie ist's um eure Passwörter bestellt?

Hier gabs auch Meldungen in dieser Richtung:
http://www.golem.de/0710/55574.html
http://www.heise.de/newsticker/meldung/97833

Bei den Paßwörtern muß man unterscheiden, wofür sie denn gebraucht werden - aber da liegt erhebliches Fehleinschätzungspotential. So habe ich meine Webseite mit mehr als 8 alphanumerischen Zeichen abgesichert, jedoch gibt es bei manchen Dingen keine Möglichkeit, eine festgelegte PW-Länge zu überschreiten, so z.B. bei meiner Datenbank.
Mein Rechner ist zwar auch mit PW abgesichert, doch sind die eher Proforma, denn wenn jemand das Ding in unbefugten Händen hält, gebe ich auf den Datenschutz keinen Pfifferling. Da müßte schon die ganze Platte vernünftig verschlüsselt sein, aber ist mir das Prozedere zu umständlich bzw. traue ich mich auch nicht wirklich, weil ich doch einige Daten problemlos weiterverwenden möchte.
Auf meiner Arbeit ist das ganze wiederum anders, dort gibts zwar etliche Paßwörter, welche auch regelmäßig geändert werden müssen. aber an die dort lagernden Daten müssen im Notfall halt auch andere Mitarbeiter ran, also wird der Admin sich im normalfall darüberhinwegsetzen können. Ich habe aber dort auch virt. Laufwerke, wo das Passwort recht lang ist - dort kann dann wirklich keiner mehr so einfach ran.

Ich sehe eine große Problematik mit dem ganzen Paßwortkram: man muß sich immer mehr PW merken, wie z.B. Bankkarten, Rechner und Anwendungen auf dem Arbeitsplatz, dasselbe auch zu Hause, darüberhinaus noch PW für das Internetz, eine evtl. Webseite, div. Mailkonten, das PW für Rokop usw. usf. Irgendwann mit fortschreitender Demenz bekommt man den Datterich, verwechselt nach einem Urlaub die Dinger und steht dann vor lauter verschlossenen Türen. Vor dem Einsatz von biometrischen Verfahren zur Authentifizierung wird afaik allenthalben gewart, Chips möchte man nicht eingebaut bekommen bzw. mit sich rumschleppen, weil das Mibrauchspotential hoch ist. Diese Dinger, wo man seine PW sammelt und mit einem einzigen PW sichert, betrachte ich als gefährlich ...

Wie geht man mit dem ganzen Brimborium denn nun vernünftig um? Evtl. sollte man sich doch alles auf einen Zettel schreiben und unter die Tastatur kleben?


mfg
StormRider, überlegend, ob man auf Rokop mal eine größere Umfrage in Puncto Paßwörtern starten sollte?

[Voyager]

Sind wir also jetzt an der Stelle angelangt wo Passwörter keinen Schutz mehr bieten können wenn das die Russen in 3 Tagen knacken. Wird nicht lange dauern wenn dann in den Tuningtools ein neuer Absatz mit eingepflegt wird der besagt sämtlichen Passwortschutz im System und Anwendungen abzuschalten, weil es eben dann nurnoch ein bedingter Schutz ist und sowas über die Tools abgeschaltet gehört . Um das dem User besser und glaubwürdiger zu verkaufen schreibt man einfach dazu das es den PC beschleunigt
Ihr lacht? Das ist doch die Regel ...

[Caimbeul]

Um das Passwort in wenigen Tagen zu knacken bräuchte man doch aber eine Passwortabfrage die das zulässt, oder ?

Das denke ich aber auch, wir sprechen hier ja von BruteForce Angriffen, daher müsste das Programm auch ohne Verzögerung eine hohe Anzahl an Login-Möglichkeiten bieten, eine sehr hohe.

Als Beispiel wo es m.E. nicht funktioniert könnte man Utimaco - Safe Guard Easy anführen. Ein Pre-Boot-Verschlüsselungssystem, welches mit verschiedenen Algorythmen arbeitet (AES, Blowfish etc.) und welches nach jeder falschen Passworteingabe die Eingabe verzögert. Das kann dann nach Versuch 20 schon mal ein Tag sein. Soweit mir bekannt ist, kann diese Abfrageverzögerung auch nicht umgangen oder durch ein Masterpasswort ausgeschaltet werden.

Damit wäre zumindest diese Aussage

Sind wir also jetzt an der Stelle angelangt wo Passwörter keinen Schutz mehr bieten können wenn das die Russen in 3 Tagen knacken.

nicht auf jede Software sondern erstmal nur auf simple Passworteingabe Systeme anwendbar, welche keine Zeitverzögerund als Schutzmechanismus aufweisen.

[Manu]

Wie ist es denn um deine bestellt ? [..]Um das Passwort in wenigen Tagen zu knacken bräuchte man doch aber eine Passwortabfrage die das zulässt, oder ?

Mir scheint, als würden wir hier alle ähnlich hantieren. Ich habe zwei richtig wichtige - und dementsprechend "gute" - Passwörter: Eines für GPG und meine Festplattenverschlüsselung (20 Zeichen mit allem drum und dran) und das Root-Passwort für meinen Server.
Der Rest bewegt sich dann bei Längen zwischen 8 und 10, jeweils alphanumerisch oder eben noch mit dem ein oder anderen Sonderzeichen versehen. Mal schauen, wie lang da mein Gedächtnis noch mitmacht.

Du hast natürlich Recht, das kommt auch stark auf die dahintersteckende Passwortabfrage an. Maximal x Versuche innerhalb von 10 Minuten, Sperren nach IP, Account sperren, etc.
Allerdings (und hier nehme ich Bezug auf Caimbeuls Antwort): Die Datenbank muss notgedrungen irgendwo auf der Platte herumliegen. Und irgendwie kommt man auch ohne die Loginmaske daran. Wenn man nun noch Verschlüsselungsalgorithmus (eher weniger schwierig) und Salt ausfindig machen kann, kann man loslegen. Das hingegen bezieht sich dann wiederum eher auf gezielte Angriffe.

Vor dem Einsatz von biometrischen Verfahren zur Authentifizierung wird afaik allenthalben gewart [..] Evtl. sollte man sich doch alles auf einen Zettel schreiben und unter die Tastatur kleben? [..] , überlegend, ob man auf Rokop mal eine größere Umfrage in Puncto Paßwörtern starten sollte?

Kürzlich habe ich einen Test über die Authentifizierung mit Fingerabdruck an Laptops gelesen. Es ist erstaunlich einfach, einen Fingerabdruck von der Tastatur zu "extrahieren" und ihn dann dem Fingerabdruckscanner hinzuhalten.
Das mit den Zetteln habe ich die letzten Wochen grinsend begutachten können. Ich war bei einem Automobilhersteller um eine Datensicherungslösung zu präsentieren. Bei einer Sekretärin klebte auf dem TFT ein Zettel mit folgender sinngemäßer Aufschrift: Bank: xxx, ProgrammA: yyy, ProgrammB: zzz

Auf deine Umfrage freu' ich mich. Leg los.

[Domino]

Fingerprintsensor:

Das finde ich richtig gut. Das spart die lästige Tipperei und Merkerei. Natürlich, man kann auch das knacken aber das ist doch erheblich aufwendiger als einfach jemanden über die Schulter zu gucken.

Zettel:

Ich habe schon mehrfach gelesen, dass Firmen dazu übergehen einfache Passwörter zu erlauben. Den komplexe Passwörter werden eben doch irgendwo aufgeschrieben. Dann also lieber ein einfaches als einen Zettel am Monitor oder unter der Tastatur.


Domino

[StormRider]

Auf deine Umfrage freu' ich mich. Leg los.

Öhm... zur Zeit stehle ich mir ein paar Minuten von meinem Arbeitgeber - lasse also Rokop etwas sponsorn , heute Mittag gehts es zu einer Beerdigung, anschließend muß ich in die Kreistadt ins Krankenhaus (nur zu Besuch) und dann ist es bereits Nacht. Eine Umfrage würde also schon noch etwas dauern, wenn sie denn ein Minimum an Inhalt haben sollte (kann man mehrere Antwortmöglichkeiten pro User vorsehen, also sowas wie eine verschachtelte Umfrage, wo ein User mehrere Antworten geben kann? Irgendwo hatte ich mal einen Link zu einer Seite, wo man richtige™ Umfragen basteln konnte, ob ich den wiederfinde?).
Vielleicht könnte man aber die Bastelarbeit auch delegieren; Freiwillige vor 

mfg
StormRider

[Heike]

ich benutze zum Passwort generieren: Webmaster Password Generator

meine Passwörter sind zwischen 8 und 16 Stellen lang und beinhalten Sonderzeichen. Ich benutze fast kein Passwort mehrfach, außer Passwörter, wo auch "123" gehen würde.

bloß, jetzt werdet Ihr die Hände über dem Kopf zusammen schlagen: alle meine Passwörter sind auf dem PC gespeichert.

Folgende Gründe haben mich so entscheiden lassen:
1) vor natürlichem Zugriff halte ich meinen PC für sicher, mein Mann geht nicht an meinen PC und falls wir mal beide nicht zu Hause sein sollten paßt unser Hund auf die Sachen seines Rudels auf

2) uneingeladene Besucher über das Internet, da gilt für mich: "geownt ist geownt"
a) wenn man einen Server laufen hat, ist davon auszugehen, dass auch ein Keylogger läuft, alle über die Tastatur eingegebenen Passwörter werden so erreicht.
b) nicht alle Keylogger sind in der Lage, "copy and paste" zu loggen, hier könnte eine kleine Chance bestehen, aber nur ne winzig kleine
3) natürlich ist die Datei mit den Passwörtern ratz-fatz auf einem anderen PC

wie gesagt: "geownt ist geownt" und wenn das passiert ist eh alles klar.

ich habe auch zuweilen festgestellt, was für unsichere Passwörter Leute verwenden, von denen man eigentlich ein ganz anderes Verhalten vermuten würde.
als Oper von einen kleinen IRC-Server habe ich Zugriff auf die Passwörter der User, die dort gereggt sind. Es kommt schon mal vor, dass jemand sein Passwort verschluselt hat und die Mail-Adresse, die hinterlegt ist, nicht mehr existiert. Dann muß er also nach seinem Passwort fragen.
Erschreckend, manche Passwörter.
Der Aufwand, mir glaubhaft zu machen, das "er" der richtige und keiner ist, der ein Passwort unberechtigt erhalten will ist wohl höher als das Passwort zu knacken.

[KaTe]

ich suche mir mein Passwort so aus:
ich nehme mir meist einen kleinen Satz (DonnerstagschiendieSonne - oder so ähnlich ) und ersetze diverse Buchstaben durch Zahlen - D wäre die 4 - o ist die 15. Halt die Stelle im Alphabet. Dann lässt sich das Passwort eigentlich ganz gut merken.

Und dieses Passwort nehme ich dann für ALLE wichtigen Dinge.
Gewechselt wird konsequent jeden Monat.

Gruss
KaTe

[Voyager]

Passwortmässig nutze ich seit Anbeginn an technische Beschriftungen von Geräten oder MicroChips (minimum 6-stellig) die ich mir immer gut merken konnte und kombiniere das dann auch zu längeren Passwörtern . Alle 75 Passwörter die ich bis dato erstellt habe tragen zum größten Teil derartige Kombinationen , ich geb die aber nicht selbst ein dafür gibts das AI Roboform.

[Heike]

Und dieses Passwort nehme ich dann für ALLE wichtigen Dinge.
Gewechselt wird konsequent jeden Monat.

nicht wirklich gut

lazers1:cameron
lazers1:mememe
c0ut:w0rses
gerdtur:yScovap659
theeye3:fucked
xxsam:skater
deluxxx:access
supra:password1
supraz:password1
uru:mondmond
tamidi:23638293
k0st0n:england05
nilaixtreme:xnilaix
santasdad:chicken
steve10120:beatles
ntaryl:12345r
funtu$h:p@ssw0rd_
aniityberg:Pad2hX1149
daniellage18:danielfoda
jura:XeroX
qwertybb:VQsaBLPzLa
pretendo:ddcody1212
smiley:snowball
m3r0:vetalboin1
daniellage18:danielfoda
recruiterusa:rgrnqOC988
oHawko:WySys8duM%1$8

solche Passwort-Listen von geownten Servern gibt es schon mal im Internet.
Quelle: thereisanexithere.com/forums/index.php?showtopic=71

es sind "tolle" Passwörter dabei, die zudem auch noch bei Kaotix und bei ChaseNET gleich waren.

[Gast_rock_*]

Wie ist's um eure Passwörter bestellt?

jedenfalls mit sonderzeichen und so lang was geht...manche foren oder webseiten mit registrierung lassen jedoch meistens nur ein paar stellige ohne sonderzeichen und schnickschnack durch.... also die sind leider sicher rasch knackbar.... aber da leg ich kaum was "wertvolles" an wo man von vorherein gar keine möglcihekit hat gut zu verschlüsseln/sichern...



Der Beitrag wurde von rock bearbeitet: 25.10.2007, 13:04

[Denny]

Fingerprintsensor:

Natürlich, man kann auch das knacken aber das ist doch erheblich aufwendiger als einfach jemanden über die Schulter zu gucken.

Ich finde das radikal "MafiaMethoden" ala Fingerabhacken fällt mir da spontan immer ein

[Heike]

etwas off-topic

Habt Ihr Euch eigentlich mal angesehen, wo und wie Eure Passwörter teilweise auf dem PC gespeichert werden?
oft genügt es einfach bestimmte Dateien auf einem anderen PC einzufügen, und schwups sind die ganzen sicheren Passwörter nutzbar.
da nutzt dann auch das noch so sichere Passwort herzlich wenig.

geht als Beispiel mit Trillian und einigen FTP-Programmen

[Gast_rock_*]

Habt Ihr Euch eigentlich mal angesehen, wo und wie Eure Passwörter teilweise auf dem PC gespeichert werden?

vielleicht in den cookies? es gibt ein secure forum eines schutzprogrammherstellers das hat nickname, passwort, und nutzername schön leserlich im cookie angeführt! jahrelang....ich habs irgendwann mal gerafft!
(Ob sie das heute noch tun weis ich nicht!)

ansonsten.....keine ahnung wo die am PC sind....

[maxos]

Ich verwende für die Vielzahl meiner Passwörter einfach

http://www.password-depot.de/

Kann im tray warten od. alles voll auswählbar oben am Bildschirm auf Einsatz warten, wenn es von mir mittels Masterpasswort gestartet wurde.

Mit der Lizenz noch auf USB Stick übertragbar u. damit am Arbeitsplatz ebenso einsetzbar.

[StormRider]

Auf deine Umfrage freu' ich mich. Leg los.

Done...