Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
 |
13.10.19, 18:10
|
#1
|
|
Profi
Registriert seit: Aug 2016
Beiträge: 1.857
Bedankt: 6.242
|
UNIX-Prominenz wählte Schach-Eröffnung: 39 Jahre alte BSD-Passwörter geknackt
Zitat:
UNIX-Prominenz wählte Schach-Eröffnung
39 Jahre alte BSD-Passwörter geknackt
Gute Passwörter halten lange, aber nicht ewig. Ein paar Relikte aus der UNIX-Geschichte wurden jetzt geknackt.
Lesezeit: 1 Min.
Diese VAX ist nicht mehr sicher, zumindest wenn sie noch mit BSD3 läuft.
(Bild: Takuya Oikawa [CC BY-SA 2.0], via Wikimedia Commons)
12.10.2019 - 17:28 Uhr
Von Sylvester Tremmel
Schon 2014 fiel der Entwicklerin Leah Neukirchen eine uralte /etc/passwd-Datei in die Hände, [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. Darin befanden sich — gehasht — die ehemaligen Passwörter diverser Unix- und IT-Größen, von Dennis Ritchie über Stephen R. Bourne zu Eric Schmidt. Die Passwörter waren damals auf acht Zeichen beschränkt (beziehungsweise genau genommen auf 64 Bit) und mit crypt(3) verschlüsselt, welches auf DES-basiert. DES gilt schon seit langem als unsicher und entsprechend schnell konnte Neukirchen mit modernen Tools wie [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] auch auf moderater Hardware die meisten Passwort-Hashes brechen. Einige widersetzen sich allerdings hartnäckig und widerstanden auch dem erschöpfenden Ausprobieren aller möglichen Passwörter, die aus Kleinbuchstaben und Ziffern bestanden – [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
In einem [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] kam das Ganze wieder auf und bald waren auch vier der fünf verbleibenden Passwörter geknackt. Noch länger gedauert hat es nur beim Passwort von Ken Thompson, unter anderem Co-Erfinder von Unix, sowie der Sprachen B (Vorgänger von C) und Go. Dessen Passwort brach schließlich Nigel Williams, indem er eine AMD Radeon Vega64 darauf ansetzte. Die Grafikkarte schaffte zwar ungefähr 930 Millionen Hashes pro Sekunde, brauchte damit aber immer noch über vier Tage, um das Passwort zu knacken.
Das Ergebnis ist "p/q2-q4!". Was nach zufälligem Kauderwelsch aussieht, ist eine gängige Schach-Eröffnung in einer mittlerweile [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. Das ist im Rückblick einleuchtend, weil Thompson bekannter Schach-Enthusiast ist – Social-Engineering-Attacken waren damals wohl kein Problem. Thompson hat kurz darauf in der Mailingliste zur Entschlüsselung gratuliert.
Lernen kann man aus der Geschichte mindestens zweierlei: Zum einen machen gute Passwörter auch nach fast 40 Jahren noch einen großen Unterschied. Zum anderen vergisst das Internet wirklich nichts, nicht mal Dinge die älter sind als das (moderne) Internet.
|
Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Gutes Passwort für die damailige Zeit - eine Schacheröffnung und dann 39 Jahre bis das wer knacken konnte.
Heutzutage stehen die Hashes eh nicht mehr direkt in /etc/passwd und der Schutz ist da auch stärker geworden was die Kryptographie angeht. Trotzdem zeigt auch dieser "Spass" das selbst Sonderzeichen alleine nicht ausreichen sondern die Passwortlänge gegen BruteForce-Angriffe wichtig ist.
Wie lange Rechensysteme für solche Angriffe brauchen dazu ein paar Tabellen und Zahlen findet man hier:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Daraus als Hilfestellung für das "optimale Passwort" *hust* ....
Zitat:
[...]
Das optimale Passwort
Um es vorweg zu nehmen, ein optimales Passwort gibt es nicht. Da bei einer Brute-Force-Attacke viel Zufall im Spiel ist, wann eine bestimmte Kombination ausprobiert wird, gibt es keine 100%ige Sicherheit! Schon der erste Versuch könnte ein Treffer sein. Aber die Chancen stehen dabei bei 1:Kombinationsmöglichkeiten. Bei einem Passwort von ca. 13 Zeichen Länge ist die Ziehung von 6 Richtigen mit Superzahl bei der wöchentlichen Lotto-Sendung dagegen eine fast 100%ige Sache. Aber wann hatten Sie das letzte mal den Jackpot geknackt? Vermutlich noch nie!
Dies bedeutet, je höher die Passwortlänge, desto geringer die Chance, ein Passwort zu entschlüsseln!
Welche minimale Länge ist ausreichend?
Schwer zu sagen: Meine Meinung ist, und darüber lässt sich streiten, dass eine Passwortlänge dann ausreichend ist, wenn das Entschlüsseln länger als die durchschnittliche Lebensdauer eines Menschen dauern würde. Damit der Zufall des Auffindens des passenden Passworts so gering wie möglich ist, sollte man diesen Wert zusätzlich mit dem Wert 1.000 multiplizieren.
Ein Blick in die Tabelle verrät da schon einiges: Um ein 13-stelliges Passwort zu knacken - vorausgesetzt Sie nutzen ein Passwort, das aus Ziffern, Klein- und Großbuchstaben besteht - bräuchte man eine prognostizierte Zeit von 2.953.626 Jahren. Dieser Wert dividiert durch 1.000 ergibt knapp 2.954 Jahre und überschreitet somit bei weitem die durchschnittliche Lebensdauer eines Menschen ;-)
[...]
|
__________________
"Mitleid und Erbarmen hielten Bilbos Hand zurück. Viele, die leben, verdienen den Tod und manche, die sterben, verdienen das Leben. Kannst du es ihnen geben, Frodo? Dann sei nicht so rasch mit einem Todesurteil bei der Hand. Selbst die ganz Weisen erkennen nicht alle Absichten. Mein Herz sagt mir, dass Gollum noch eine Rolle zu spielen hat, zum Guten oder zum Bösen, ehe das Ende kommt." (Gandalf zu Frodo)
|
|
|
|
Folgendes Mitglied bedankte sich bei Wornat1959:
|
|
|
13.10.19, 18:39
|
#2
|
|
Chuck Norris sein Vater
Registriert seit: Apr 2009
Beiträge: 5.075
Bedankt: 12.641
|
Moin,
meine Erfahrungen mit sicheren Passwörtern sehen etwa so aus:
Ein sicheres Passwort
Bitte gebe Dein Passwort ein.
ananas
Entschuldigung, Dein Passwort ist zu kurz!
geschaelte ananas
Entschuldigung, Dein Passwort muss mindestens 1 Nummer enthalten
1 geschaelte ananas
Entschuldigung, Dein Passwort darf keine Leerzeichen enthalten.
50verficktegeschaelteananas
Entschuldigung, Dein Passwort muss Grossbuchstaben enthalten.
50VERFICKTEgeschaelteananas
Entschuldigung, Dein Passwort darf nur Grossbuchstaben enthalten, die nicht aufeinanderfolgend sind.
50VerfickteGeschaelteAnanas DieIchDirInDenArschSchiebe, WennDuNichtEndlichDas VerficktePasswortNimmst!!!
Entschuldigung, Dein Passwort darf keine Satzzeiten enthalten.
JetztWerdIchLangsamRichtigSauer 50VerfickteGeschaelteAnanas DieIchDirInDenArschSchiebe WennDuNichtEndlichDas VerficktePasswortNimmst
Entschuldigung, das Passwort ist schon in Benutzung. Wähle ein anderes!
__________________
Wenn Kik den Preis pro Shirt um einen Euro erhöht um seinen Mitarbeitern ein besseres Gehalt zu zahlen, dann finden wir das alle gut.
Und dann gehen wir zu Takko einkaufen ...
|
|
|
|
|
Die folgenden 9 Mitglieder haben sich bei Melvin van Horne bedankt:
|
|
|
14.10.19, 13:50
|
#3
|
|
Mitglied
Registriert seit: Jul 2014
Beiträge: 326
Bedankt: 404
|
Zitat:
Zitat von Melvin van Horne
Entschuldigung, das Passwort ist schon in Benutzung. Wähle ein anderes!
|
der ist nur herrlich, kannte ich noch nicht :-))))
|
|
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:14 Uhr.
().
|
Linear-Darstellung
