Jump to content

Passwortsicherheit und passwörter pro sekunde


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo allerseits!

 

Ich habe ein Anliegen bezüglich Passwortsicherheit. Ich muß nachweisen, wie lange ein Hacker statistisch brauchen würde, um mit Brute-Force an ein ideales Benutzerpasswort eines Domänenbenutzer zu kommen (also im Idealfall die letzte Kombination die er testet).

Als Richtlinie gelten 7-zeichen lange Passwörter mit einem Zeichenschatz von 62 verschiedenen Zwichen (groß, klein, Sonderzeichen, Zahlen). Ich habe mich auch schon auf diversen Seiten zum Thema Brute-froce Attacken umgesehen. Leider schweigen sich die meisten Seiten über die Hintergründe ihrer Empfehlungen aus. Insebesondere eine Frage wird nirgends schlüssig beleuchtet: Wieviele Kombinationen kann ein Angreifer (mit einem aktuellen PC) pro Sekunde überhaupt testen? Ich habe oft Schätzungen von 500 000 Proben pro Sekunde und mehr gelesen, halte das aber (zumindest per 100MBit Ethernet) für unmöglich. Vermutlich sind damit große Server gemeint. Ich bin mir auch nicht sicher, ob eine Brute-Force Passwort-Attacke immer in Form von Millionen Proben übers Netzwerk laufen muß, oder ob ein durchschnittlicher Angreiffer keine Möglichkeiten hat, eine Suche (vielleicht anhand von mitgeschnittenen Benutzeranmeldungen) sowas nicht auf dem lokalen Rechner laufen lassen könnte... was natürlich sehr viel schneller ablaufen könnte.

Link zu diesem Kommentar

moin moin,

 

unsere truppe (hosting + dom admins) hat ein 13 stelliges pw.

es ist zwar ätzend sowas einzugeben weil gross klein zahl sonderzeichen darin sind aber das ist sicher.

...

wir arbeiten im einen abgeschlossenen rechenzentrum, da kann keiner mal eben platten klauen oder mit einer knoppix cd booten.

das ist finde ich auch ein grosser sicherheitsaspekt.

...

logon failure wird auf unseren kisten im eventlog mitverfolgt.

...

7 stellen sind bei uns lt security richtlinie zu kurz minimum 8.

...

da ich nicht mit den boardregeln kollidieren möchte vielleicht ein grober hinweis.

bei 7 zeichen maximal 66 tage, alle möglichen zeichen.

...

 

gruss

d.k.

Link zu diesem Kommentar

Hi Jordy,

 

ich habe mich auch mal irgendwann mit dieser Frage beschäftigen müssen. Damals habe ich auch keinerlei schlüssige Informationen erhalten, wieviele Anmeldeversuche pro Sekunde realistisch sind. Insofern macht es natürlich Sinn, diese Zahl so hoch zu wählen, dass sie höchstens theroetisch erreicht werden kann. Ich stimme aber Deiner Meinung zu, dass 500.000 Versuche/s über Ethernet eine sehr optimistische Annahme sind.

 

Hedgehog

 

P.S.: @diekriese: Es freut mich, dass Du bei Deinem Posting die Boardregeln im Hinterkopf hast. Da es hier allerdings nicht um konkrete Hilfestellungen zum Passwortknacken, sondern eher um eine theoretische Diskussion ohne irgendwelche Hinweise auf eine entsprechende Umsetzung geht, denke ich, dass auch meine Moderatoren-Kollegen diese Diskussion für unbedenklich halten.

Link zu diesem Kommentar
Wieviele Kombinationen kann ein Angreifer (mit einem aktuellen PC) pro Sekunde überhaupt testen? Ich habe oft Schätzungen von 500 000 Proben pro Sekunde und mehr gelesen, halte das aber (zumindest per 100MBit Ethernet) für unmöglich.

Bei solchen Zahlenangaben, und die darfst du noch nach oben korrigieren ;) , ist eigentlich immer ein "lokales" Austesten gemeint, also, man hat ein Anmeldepaket abgefangen und nun lokal auf dem Rechner oder man hat die Benutzerdatenbank lokal vor sich auf dem Rechner. Es sind hier weniger automatisierte netzanmeldungen gemeint ;)

 

 

grizzly999

Link zu diesem Kommentar
Original geschrieben von blub

eine ganz andere Herangehensweise

http://www.microsoft.com/germany/ms/security/newsletter/artikel/kennwoerter.mspx

 

Ja, ist interessant.

 

Ich versuche nachzuweisen, warum bestimmte Passwortrichtlinien notwendig sind. Im Falle der Sonderzeichen ist das kein Problem (also ganz allgemein was den Zeichensatz anbetrifft). Der Effekt ist rechnerisch leicht nachzuweisen. Was mir halt Probleme macht, ist das Zusammenspiel aus Passwortlänge und max. Passwortalter.

 

Wenn 7 Zeichen mit 66 Tagen (bei vollem Zeichensatz) korellieren, wären es 8 Zeichen mit 4092 Tagen. Das wäre natürlich schon eine sehr gute Info.

 

grizzly999: Du hast geschrieben es sei immer ein lokales Austesten gemeint. Ich meine, mir ist klar, daß unter Windows eine Kerberosanmeldung abläuft. Eine solche Anmeldung muß irgendeinen Schlüssel austauschen, der vom Server überprüft wird. Wenn also ein Angreifer diesen Hash abfängt, kann er ihn lokal austesten.

 

Wenn ich den Artikel richtig verstanden habe, kann man mit einem Hash auch das Passwort erraten. Das ist kein Problem. Der Artikel sagt ja eindeutig daß bis zu 3000000 Passwörter pro Sekunde mit einem geklauten Hash abgeglichen werden können. Das reicht mir als Info, genauer brauche ich es da nicht.

 

Offensichtlich kann man mit einem Hash ja aber auch schon Zugriff erlangen, ohne das Passwort zu knacken. Muß er erst das Passwort zu dem Hash finden, um Zugriff auf das Konto des ausgespähten Opfers zu bekommen? Ich hoffe nicht daß er mit dem Hash schon Vollzugriff hat?! Bzw. hat er mit dem Hash alleine tatsächlich "nur" 600 Min. lang vollen Zugriff?

Da ihr mir die vorigen Fragen vielleicht nicht beantworten dürft (Boardregeln), scheint mir dann der entscheidende Punkt zu sein: Wie lange braucht ein Angreifer um mit Hilfe eines Hashes Zugriff zu bekommen? Leider habe ich den Hashmechanismus nicht richtig verstanden und tiefer darf ich nicht bohren, ohne die Boardrichtlinien zu verletzen :-)

 

Dann bleibt aber noch die Frage: Wie siehts tatsächlich mit automatisierter Anmeldung aus? In dem Artikel wird ein Beispiel gebracht, aber ohne jegliche Hintergründe. Ist das Austesten wirklich so langsam?

 

P.S.: Sorry daß ich mich erst jetzt melde. War nicht ganz auf dem Damm.

Link zu diesem Kommentar
Offensichtlich kann man mit einem Hash ja aber auch schon Zugriff erlangen, ohne das Passwort zu knacken

Jaein, bei NT war sowas mit entsprechenden Tools und Know How theoretisch (und auch praktisch?) möglich, in dem man einen neuen Zugriff initiiert und auf dengesendeten Challenge den abgefangenen Hash neu einspielt. Bei Kerberos sind solche Replay-Attacken so gut wie ausgeschlossen.

 

Ich hoffe nicht daß er mit dem Hash schon Vollzugriff hat?! Bzw. hat er mit dem Hash alleine tatsächlich "nur" 600 Min. lang vollen Zugriff?

Wie gesagt, bei Kerberos nein, weder gleich noch 600 Minuten lang.

 

Wer wissen will, wie Kerberos funktioniert, dem empfehle ich dieses ausführliche White Paper: http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp

 

 

grizzly999

Link zu diesem Kommentar
Original geschrieben von grizzly999

Wie gesagt, bei Kerberos nein, weder gleich noch 600 Minuten lang.

 

Wer wissen will, wie Kerberos funktioniert, dem empfehle ich dieses ausführliche White Paper: http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp

 

 

grizzly999

 

Ok. Letztendlich bleibt als Hauptrisikio also wirklich das lokale Knacken des Passwortes. Und dazu gab es ja den Richtwert von 3000000 Proben/s, der mir auch realistisch erscheint. Damit habe ich meine Frage eigentlich geklärt und wieder einiges gelernt :-)

 

Den Kerberos Artikel werde ich mir auch mal anschauen.

 

Danke an Alle!

Link zu diesem Kommentar

Hallo,

 

ich möchte auch kurz was dazu sagen :) also Sicherhit ist immer eine Kostenfrage, aber wenn du auf ganz nummer sicher gehen willst solltest du dich hier informieren:

 

Achtung Link

http://www.rsasecurity.com/

 

mit einer SecurID können deine Benutzer theoretisch passwörter wie 12345678 nutzen ein Hacker hat nahezu keine Chance.

 

Gruß

Jens

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...