Ich habe mal eine Frage, es kann ja Jahre dauern, wenn man z.B. die HDD mit TrueCrypt oder Veracrypt verschlüsselt und ein PW mit > 20 Stellen hat. Aber warum? Also laut Seiten im Netz (1pw oder so ähnlich), steht, wie wviele Passwörter ein CPU pro Sekunde berechnen kann. Wenn dies 2000 sind, wieso dauter es dann soviele Jahre, auch wenn es Milliarden von Möglichkeiten gibt?
-
Hallo liebe Userinnen und User,
nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.
Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.
Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.
Frage zur Dauer eines Brute-force Angriffes
- Ersteller R.Carlos
- Erstellt am
Ich finde hier wird es ganz gut erklärt.
http://www.password-depot.de/know-how/brute_force_angriffe.htm
http://www.password-depot.de/know-how/brute_force_angriffe.htm
alter_Bekannter
N.A.C.J.A.C.
Ich verstehe die Fragestellung nicht ganz. Ist doch simple Mathematik.
Wenn man nur 5 Versuche pro Tag schafft und es 50.000 Möglichkeiten gibt dauerts 10.000 Tage.
Die Zahlen sind halt ganz erheblich größer aber das Konzept bleibt genau so einfach.
Bei nur Buchstaben a-z Groß/Klein sind das 52 Möglichkeiten pro Stelle in deinem Beispiel(20 Stellen) also exakt: 52 hoch 20 = 208.96.178.655.943.101.411.324.274.803.736.576 Möglichkeiten.
Wenn man nur 5 Versuche pro Tag schafft und es 50.000 Möglichkeiten gibt dauerts 10.000 Tage.
Die Zahlen sind halt ganz erheblich größer aber das Konzept bleibt genau so einfach.
Bei nur Buchstaben a-z Groß/Klein sind das 52 Möglichkeiten pro Stelle in deinem Beispiel(20 Stellen) also exakt: 52 hoch 20 = 208.96.178.655.943.101.411.324.274.803.736.576 Möglichkeiten.
Zuletzt bearbeitet:
virtus
Gehasst
Das, was alter_Bekannter sagt.
Jedes Passwort muss ausprobiert werden.
Bei Verschlüsselung werden die Algorithmen in der Regel so designed, dass das Ausprobieren von Passwörtern eine extrem teure Operation ist. Also nur verhältnismäßig wenige Passwörter innerhalb einer bestimmten Zeit ausprobiert werden können. Außerdem hast du eine riesige Menge an Passwörtern.
Wenn viele Passwörter möglich sind, du aber nur sehr wenige pro Zeiteinheit ausprobieren kannst, dann wird es logischer Weise sehr lange dauern, alle auszuprobieren.
Jedes Passwort muss ausprobiert werden.
Bei Verschlüsselung werden die Algorithmen in der Regel so designed, dass das Ausprobieren von Passwörtern eine extrem teure Operation ist. Also nur verhältnismäßig wenige Passwörter innerhalb einer bestimmten Zeit ausprobiert werden können. Außerdem hast du eine riesige Menge an Passwörtern.
Wenn viele Passwörter möglich sind, du aber nur sehr wenige pro Zeiteinheit ausprobieren kannst, dann wird es logischer Weise sehr lange dauern, alle auszuprobieren.
n87
Gelöschter Nutzer3
Gibt es eigentlich ein Verfahren, bei dem die zu knackende Festplatte mehrmals geklont wird,
physisch oder virtuell als image mehrmals auf einem Rechner eingebunden wird, und dort das Programm dann auf jeder dieser Versionen gleichzeitig zu entschlüsseln versucht?
Würde so doch die künstliche Beschränkung (nur X Passwörter / Minute) aufheben, beziehungsweise stark abschwächen.
physisch oder virtuell als image mehrmals auf einem Rechner eingebunden wird, und dort das Programm dann auf jeder dieser Versionen gleichzeitig zu entschlüsseln versucht?
Würde so doch die künstliche Beschränkung (nur X Passwörter / Minute) aufheben, beziehungsweise stark abschwächen.
alter_Bekannter
N.A.C.J.A.C.
Natürlich, nur hilft das in den Dimensionen nichts.
Ob man jetzt 50 Trilliarden Jahre oder nur 200 Milliarden braucht...
Gewinnst ja jedes mal nur 100% Performance.
Ob man jetzt 50 Trilliarden Jahre oder nur 200 Milliarden braucht...
Gewinnst ja jedes mal nur 100% Performance.
virtus
Gehasst
Die Beschränkung ist nicht künstlich, sie ist rein technisch bedingt. Der Computer KANN nicht schneller arbeiten.
Das stimmt natürlich nur halb. Speziell für bestimmte Algorithmen entworfene Hardware kann durchaus schneller arbeiten und mit mehreren solchen Systemen gleichzeitig kannst du die "Suchzeit" drastisch verkürzen. Allerdings, trifft dann immer noch genau das zu, was alter_Bekannter sagte: Ob du nun 12 Mrd. Jahre oder 100 Mio. Jahre suchen musst, macht in der Praxis keinen Unterschied.
Gute Crypto wird eben genau so entworfen, dass du mit "mehr Hardware" dem Entschlüsselungsproblem nicht Herr werden kannst.
Natürlich könntest du mehrere Mrd Supercomputer anschaffen und auf einen Key ansetzen. Dann könntest du das Problem vielleicht in 30 Jahren lösen. Die Anschaffungskosten für die nötigen Systeme würden allerdings in keinster Weise von irgendwem zu tragen sein.
- Thread Starter Thread Starter
- #8
Danke! So, ich möchte es erklären. Also, wenn eine CPU pro Sekunde 3000 Passwörter berechnen kann, sind es nach einer Minute 180 000, nach 60 Minuten 10,8 Mio, und nach 24 Stunden 259,2 Mio - dann kann es doch nicht sein, dass es Millionen von Jahren dauert, auch wenn es Trilliarden an Möglichkeiten gibt - oder wo ist mein Denkfehler?
alter_Bekannter
N.A.C.J.A.C.
20.896.178.655.943.101.411.324.274.803.736.576 / 260 millionen
= 80.369.917.907.473.474.625.994.752 Tage
Was daran ist schwer zu begreifen?
Verstehst du das Konzept von Division nicht?
Ich benutz die Python Konsole als Taschenrechner, sehr empfehlenswert.
= 80.369.917.907.473.474.625.994.752 Tage
Was daran ist schwer zu begreifen?
Verstehst du das Konzept von Division nicht?
Ich benutz die Python Konsole als Taschenrechner, sehr empfehlenswert.
Die sache mit dem Exponenten kommt erst in der 5. Klasse 
- Registriert
- 3 Aug. 2014
- Beiträge
- 28.573
Und das ist eben auch keine 100% konstante, je mehr Daten bei dir erzeugt und auf der Gegenseite verarbeitet werden müssen desto theoretisch langsamer wird dein Angriff. Kommt aber auch darauf an was dort wo du deine Eingabe überprüfen lässt, mit dem Wert gemacht wird. Aber rein praktisch muss eine längere Eingabe verarbeitet werden. Selbst wenn das nur Bruchteile dauert., es wird langsamer weils einfach ein längeres Wort ist was "transformiert" werden muß von der Entschlüsslungssoftware und dann mit dem Schlüssel abgeglichen wird; ohne jetzt darauf einzugehen welche und wieviele Zwischenschritte da noch kommen, was die Prüfzeit auch erhöht und dich als Angreifer künstlich ausbremsen kann. Das heißt deine CPU kann selbst mit viel Performance im Leerlauf sitzen wenn die Anfrage nicht "direkt" (zeitlich) beantwortet wird.
Zuletzt bearbeitet:
virtus
Gehasst
Und wieder, was alter_Bekannter schon sagte und was auch ich schon mehrfach gesagt habe:
Crypto wird so entwickelt, dass du stets mit gängiger Hardware nicht in absehbarer Zeit die Möglichkeit hast, Schlüssel zu bruteforcen.
Da auf Dauer gesehen die Rechenleistung (noch) stetig steigt, heißt das im Umkehrschluss natürlich auch, dass immer mal wieder Crypto-Algorithmen verbessert oder Schlüssellängen vergrößert werden müssen. Hatte man früher noch Schlüssellängen von <100 bit, so erzeugt man heute gewöhnlich Schlüssel mit 1024, 2048, 4096 bit.
In ein paar Jahren werden es dann Schlüssel mit 8192 bit sein.
Die meisten Angriffe finden auch nicht offline statt, also so, dass der Angreifer direkt das System vorliegen hat (eine Festplatte), sondern online. Zum Beispiel über das Internet. Hierbei kommt natürlich zur Generierung des Passworts auf dem PC auch noch die Übertragung über das Internet und das Warten auf eine (positive oder negative) Antwort. Die allermeisten Dienste verweigern nach mehrfachen fehlerhaften Loginversuchen weitere Anfragen. Man muss dann bspw. 30 Minuten warten, bevor man erneut versuchen kann sich einzuloggen. Entsprechend dauert ein Bruteforce-Angriff länger.
Der Faktor, dass schlicht längere Schlüssel mehr Zeit benötigen, um verarbeitet zu werden, ist keineswegs zu missachten. Selbst wenn es sich bei einem Schlüssel nur um wenige Nanosekunden handelt, so muss man beachten, dass ein Bruteforce-Angriff mehrere Milliarden/ Billiarden Schlüssel generiert, für die alle ein paar Nanosekunden anfallen. Aus Nanosekunden werden so schnell Stunden und Tage.
Abgesehen davon sollte man auch bedenken, dass bei einem auf Hochbetrieb laufenden System die Temperatur ansteigt. Während ein "gut gekühltes" System deutlich schneller arbeiten kann, sinkt die Arbeitsgeschwindigkeit deutlich mit steigender Temperatur. Auch das verlangsamt den Bruteforce-Angriff, pro generiertem Schlüssel um wenige Nanosekunden, auf Milliarden und Billiarden Schlüssel eben wieder um Stunden und Tage.
Zuletzt bearbeitet:
gelöschter Benutzer
Guest
G
Du wirfst da einiges durcheinander virtus 1024+ werden nur im asymmetrischen Bereich verwendet weil da die Länge nicht der Komplexität entspricht.
@R.Carlos:
Nehmen wir mal das Beispiel, dass Du einen Hash knacken möchtest.
Nun weißt Du ja in der Regel nicht wie lang das Passwort ist und welche Zeichen verwendet wurden.
Deine CPU schafft nun 2,000,000,000 Hashes pro Sekunde zu berechnen (um beim Link von tokotoko zu bleiben).
Der Vergleich mit dem Ursprungshash muss auch noch erfolgen, aber lassen wir den mal weg.
Siehe das Beispiel für neun Zeichen:
Der Tag hat nur 86,400 Sekunden. Das Jahr hat ~31.5 Millionen Sekunden.
Bei ~286 Millionen Möglichkeiten (siehe Link) sind das ein paar Jahre (9.1 Jahre) auch mit 2Mrd. Hashes pro Sekunde.
Du musst aber dafür nicht nur die Passwörter mit neun Zeichen testen, sondern auch die mit acht, sieben, sechs usw.
Da addiert sich ganz schön was zusammen.
Dann kann Dein Prozessor zwar 2Mrd. Strings hashen und vergleichen, aber es gibt Millionen mal / Milliarden mal mehr Möglichkeiten.
Auch die Zahl mit x Passwörtern pro Sekunde ist ja nur relativ zu einem Verfahren:
Hashing ist noch relativ schnell. Bezieht man nun noch mit ein, dass gegebenenfalls mehrere Salts ausprobiert und vielleicht mehrfach gehasht werden muss oder, dass es sogar eine mathematisch aufwändigere Operation ist, dann werden es vermutlich auch weniger Versuche pro Sekunde.
Nehmen wir mal das Beispiel, dass Du einen Hash knacken möchtest.
Nun weißt Du ja in der Regel nicht wie lang das Passwort ist und welche Zeichen verwendet wurden.
Deine CPU schafft nun 2,000,000,000 Hashes pro Sekunde zu berechnen (um beim Link von tokotoko zu bleiben).
Der Vergleich mit dem Ursprungshash muss auch noch erfolgen, aber lassen wir den mal weg.
Siehe das Beispiel für neun Zeichen:
Der Tag hat nur 86,400 Sekunden. Das Jahr hat ~31.5 Millionen Sekunden.
Bei ~286 Millionen Möglichkeiten (siehe Link) sind das ein paar Jahre (9.1 Jahre) auch mit 2Mrd. Hashes pro Sekunde.
Du musst aber dafür nicht nur die Passwörter mit neun Zeichen testen, sondern auch die mit acht, sieben, sechs usw.
Da addiert sich ganz schön was zusammen.
Dann kann Dein Prozessor zwar 2Mrd. Strings hashen und vergleichen, aber es gibt Millionen mal / Milliarden mal mehr Möglichkeiten.
Auch die Zahl mit x Passwörtern pro Sekunde ist ja nur relativ zu einem Verfahren:
Hashing ist noch relativ schnell. Bezieht man nun noch mit ein, dass gegebenenfalls mehrere Salts ausprobiert und vielleicht mehrfach gehasht werden muss oder, dass es sogar eine mathematisch aufwändigere Operation ist, dann werden es vermutlich auch weniger Versuche pro Sekunde.