News | Grafikkarten knacken Passwörter

Hier könnt ihr unsere News und Artikel kommentieren.
Die News werden laufend aktualisiert ins Forum geschrieben.
Benutzeravatar
Newsbot
Hartware.net
Beiträge: 8621
Registriert: 06.07.2009, 04:02
Kontaktdaten:

News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Newsbot » 06.06.2011, 14:12

Mittlerweile verfügen Grafikkarten über derart massive Leistung, dass sie teilweise für Aufgaben eingesetzt werden, die früher CPUs vorbehalten blieben - etwa die Physikberechnung. Jene Leistung lässt sich allerdings zweckentfremden: So machen moderne GPUs das Knacken von sehr komplizierten Passwörtern möglich. Beispielsweise genügen eine Mittelklasse-Grafikkarte wie die AMD Radeon HD 5770 und das Tool "Ighashgpu" um aggressiv Passwörter zu knacken. Wo eine CPU für ein NTML-Login-Passwort wie "fjR8n" im Programm "Cain & Abel" 24 Sekunden benötigt, braucht die GPU weniger als eine Sekunde.


http://www.hartware.net/news_51901.html

Benutzeravatar
PatkIllA
Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 14626
Registriert: 08.03.2004, 11:07
Wohnort: Dortmund

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von PatkIllA » 06.06.2011, 14:30

Eine 5770 schafft sicher keine Milliarden Passwörter.
Außerdem ist das schon seit Jahren möglich, dass Grafikkarten für Brute Force Angriffe auf Passwörter setzen.
Bei halbwegs langen Passwörtern ist es auch immer noch unrealistisch die per BruteForce zu knacken. Bei Verwendung von Salts geht auch vorberechnen nicht mehr so einfach.

Benutzeravatar
Luzifer
Vice Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 4381
Registriert: 12.03.2005, 08:24
Wohnort: kurz vorm Wasser
Kontaktdaten:

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Luzifer » 06.06.2011, 14:42

Habe es gerade mal mit meiner 5770 getestet und komme auf 1,22 Milliarden Passwörter pro Sekunde.

Benutzeravatar
Uncle Doc
Vice Admiral
Turtleboard Veteran
Turtleboard Veteran
Beiträge: 4530
Registriert: 08.03.2004, 13:29
Wohnort: Die heimliche Hauptstadt

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Uncle Doc » 06.06.2011, 15:10

Ob's bei TrueCrypt bald mehr als 64 mögliche Stellen für die Passwortlänge gibt...? ;)
Zuletzt geändert von Uncle Doc am 06.06.2011, 15:11, insgesamt 1-mal geändert.
"Illusion!
- A trick is something a whore does for money - or candy."
Development to be continued 5/26/2013

Benutzeravatar
Maegede
Hartware.net
Beiträge: 1971
Registriert: 23.07.2008, 11:25
Wohnort: siehe Karte
Kontaktdaten:

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Maegede » 06.06.2011, 15:14

Hmm, meine GTX480 kommt bei 850Mhz Takt auf gerademal 1 762 139 727 Passwörter pro Sekunde, also 1,76 Milliarden.
Die Geforce 210 kommt auf 0,56 Mrd Passwörter pro Sekunde in der aktuellen Beta mit Example 3.
Ein schnelles System bemerken wenige - ein langsames dafür um so mehr

Iruwen
Vice Admiral
Beiträge: 5040
Registriert: 02.02.2010, 10:08
Wohnort: Bremen

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Iruwen » 06.06.2011, 15:18

Dann rechnet mal hoch was Tianhe 1A schafft ;) Von wegen "Forschungszwecke".

Gast

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Gast » 06.06.2011, 15:42

Na zum Glück habe ich sehr lange Passwörter überall (etwa 400-bit) da kann es ne weile dauern^^

Gast

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Gast » 06.06.2011, 16:06

ihr könnt ja mal mein passwort meines anonymren acc knacken^^

die rätzel unter der antwortsparte find ich cool, ich lag noch nie falsch XD

Benutzeravatar
Snooty
Captain
Beiträge: 871
Registriert: 30.03.2004, 17:11
Wohnort: Dresden
Kontaktdaten:

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Snooty » 06.06.2011, 16:36

Einfach verbieten, dass innerhalb von x Sekunden y Loginversuche stattfinden und den Zugang nach einer bestimmten Anzahl von Fehlversuchen für mehrere Minuten sperren.

Gast

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Gast » 06.06.2011, 16:42

Kann es sein das im Artikel ein bisschen etwas fehlt?
Was ist den mit gesalzenen Passwörtern? Oder gar verstecken Hashes im Cryptocontainer?
Letzteres dürfte spätestens dann zum Problem werden wenn der Container grösser ist als der Ram der Grafikkarte...

Gast

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Gast » 06.06.2011, 16:44

Gauder hat geschrieben:Einfach verbieten, dass innerhalb von x Sekunden y Loginversuche stattfinden und den Zugang nach einer bestimmten Anzahl von Fehlversuchen für mehrere Minuten sperren.
Wenn ich den Hash hab kann ich so viel und so oft probieren wie ich will. Dein Vorschlag bringt also keine echte Sicherheit.

thomas003
Lieutenant
Beiträge: 64
Registriert: 29.12.2009, 14:32

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von thomas003 » 06.06.2011, 16:49

ich empfehle folgenden artikel zum thema:
http://www.heise.de/security/artikel/Pa ... 53931.html

außerdem ist im text ein fehler. es heißt nicht NTML sondern NTLM
siehe http://en.wikipedia.org/wiki/NTLM


mfg thomas

Gast

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Gast » 06.06.2011, 16:51

Mit Hashing-Algorithmen kann man da einiges machen, bringt allerdings nicht immer was. Aber wenn zb. jemand eine DB mit Passwörtern in die Hand kriegt, die hoffentlich gehashed gespeichert sind, kommts auf den Algorithmus an, wie lange das Knacken daurt. SHA (und all seine Varianten) wird sehr gerne benutzt, was aber eigentlich nicht gut ist, da der für das Hashen von großen Datenmengen (so wie MD5 für CD-Images benutzt wird zb.) gedacht ist. Deshalb ist eine Anforderung, dass er schnell rechnet. BCrypt zb. ist ein Ableger von Blowfish. Der ist sehr langsam, und man kann mit einem Parameter, der in den Algorithmus einfließt sogar bestimmen, wie langsam er sein soll, damit ist er auch zukunftssicher (vorausgesetzt, er hat keine anderen Schwachstellen, die man ausnutzen kann). Aber wenn man den so festlegt, dass zb. der Server, auf dem die DB lauft 0,3 Sekunden für einen Hash braucht, kann man sich denke ich recht sicher sein, dass selbst mit GPUs da kaum jemand an die PWs kommt, selbst bei kürzeren nicht. Nachteil, und deshalb ist das eben nur bedingt einsetzbar: Auch für mich arbeitet das Ding dann sehr langsam, und bei steigendem Useraufkommen kanns kritisch werden, wogegen ein Hacker einfach 100% seiner Leistung benutzt und aber keine Mindestanforderung erfüllen muss. Ist dennoch zu überlegen.

Gast

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Gast » 06.06.2011, 17:09

ah, thomas003 hat das eh in seinem ersten link eh schon gepostet, hab ich erst jetzt gesehen. der artikel ist natürlich viel ausführlicher, danke!

bibi

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von bibi » 06.06.2011, 17:11

hmm mich fragen machmal welche ob sie nicht ein kuertzeres passwort benutzen koennen. wenn ich ihnen dann sage, dass es eher laenger sein sollte schauen die mich immer bloed an :D

@gast

falls jemand an die hash werte kommt und die per brutforce bearbeitet, ist eh schon was falsch gelaufen aber leider gibt es ja immer mal mitarbeiter die komische sachen machen. den login cash deaktivieren waere da was (registryeintrag CachedLogonsCount auf "0" oder sowas) bei systemen bei denen man von aussen ran kommt, ist ne verzoegerung ne nette sache. da ist es egal wenn die graka x miliarden passwoerter testen kann.

Gast

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Gast » 06.06.2011, 17:30

bibi hat geschrieben:falls jemand an die hash werte kommt und die per brutforce bearbeitet [...]
Darum geht es hier aber doch. Anderenfalls kannst du auch einfach ein fail2ban installieren und die Angreifer IP mal einen Tag sperren. Aber dadurch hast du noch kein sicheres Passwort.

NeoGast ehem. Gast #13f

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von NeoGast ehem. Gast #13f » 06.06.2011, 18:15

@bibi: stimmt schon, eine verzögerung kann helfen. aber wie Gast schreibt: das bringt kein mehr an sicherheit. außer eben, die verzögerung basiert wie beim hash auf der rechenleistung und nicht auf IPs oder sessions oder sowas. stell dir vor, jemand brute forced einen webserver über einen proxy, der die IP verschleiert... sperrst du dann alle user aus, die über den proxy arbeiten? und was ist mit clouds? da könnten solche anfragen von 1000den IPs kommen. schmalspur-hacker wird man mit einer IP-sperre abfangen, aber das kann nicht das ziel sein.

aber etwas wahres ist schon dran: das mit rechenaufwändigen algorithmen hat, wie oben geschrieben, den nachteil, dass eventuell der server selbst in die knie gehen kann. wie verhindert man das nun also (hat nix mit sicherheit zu tun, da gehts nur darum, den server am leben zu halten)? ip-blocking halte ich grundsätzlich für keinen guten weg, ist aber nur eine meinung, keine tatsache. auf session-basis die anzahl an zugriffen zu sperren könnte vielleicht funktionieren, wenn man sich da etwas einfallen lässt (man muss ja irgendwie überbrücken können, dass der hacker einfach die session selbst über bord wirft, sobald er blockiert wird). hab noch nicht drüber nachgedacht, aber da wird sich sicher schon jemand gedanken gemacht haben, was man da tun könnte. den user (den in der DB), der das ziel des angriffs ist, vorübergehend zu sperren ist eine ganz simple variante, die meistens gut funktioniert und auch sehr oft benutzt wird. problematisch kann das werden, wenn es um ein system geht, in dem die usernames sowieso irgendwo für jeden sichtbar aufscheinen (in foren zb., bei denen der username gleich dem nickname sein muss). je mehr user es dann gibt, desto weniger bringt das aussperren bzw. müsste man die zeit der sperre dynamisch daran anpassen und mit steigender anzahl an usern erhöhen.

faszinierendes thema das ganze.

Benutzeravatar
JanusPSY
Hartware.net
Beiträge: 1571
Registriert: 06.06.2004, 18:30

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von JanusPSY » 06.06.2011, 18:39

Fehler ist korrigiert, danke für den Hinweis! Da war ich gedanklich wohl noch bei "HTML" :-).

Juser

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Juser » 06.06.2011, 19:13

Was ist an einem Passwort wie "Dieses+Passwort+ist+total+sicher" besonders schwer zu merken?

Benutzeravatar
DrCarsonBeckett
Cadet
Beiträge: 8
Registriert: 14.05.2011, 00:24
Kontaktdaten:

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von DrCarsonBeckett » 06.06.2011, 21:29

Sehr schöner Beitrag,

zwar war es schon früher möglich jedoch ist es jetzt durch die extreme Leistung der GPUs interessant geworden.
. :)

Iruwen
Vice Admiral
Beiträge: 5040
Registriert: 02.02.2010, 10:08
Wohnort: Bremen

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von Iruwen » 07.06.2011, 09:44

NeoGast ehem. Gast #13f hat geschrieben:problematisch kann das werden, wenn es um ein system geht, in dem die usernames sowieso irgendwo für jeden sichtbar aufscheinen (in foren zb., bei denen der username gleich dem nickname sein muss).
In dem Zusammenhang finde ich auch Steams "Two Factor Authentication" (imo ist das keine) lächerlich. Die meisten "gehackten" Accounts dürften durf kompromittierte Mailkonten zustande kommen und da netterweise die Mailadresse der Username ist, viele dasselbe Passwort für Mailkonto und Steam verwenden dürften und man sich über den Account auch gleich selbst authentifizieren kann sehe ich da kaum einen Mehrwert.

ResidentX4
Cadet
Beiträge: 13
Registriert: 12.05.2010, 15:26

Re: News | Grafikkarten knacken Passwörter

Ungelesener Beitrag von ResidentX4 » 07.06.2011, 12:58

Habe gerade meine 2x HD5870 ( CrossFire) getestet, im Standard-Takt, also 2x850MHz. Ich komme auf 5,11 Milliarden Passwörter pro Sekunde. Wahnsinn so eine derbe Leistung hätte ich nicht erwartet!

RX4


Edit: Mit der Beta-Version von IGHASHGPU komme ich gar auf 5,65 Milliarden.
Zuletzt geändert von ResidentX4 am 07.06.2011, 13:07, insgesamt 1-mal geändert.

Antworten