Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
"In Windows XP sind Passwörter nicht sicher", so Gosney
Bei der Passwords^12 Konferenz in Oslo wurde wieder einmal bewiesen, wie rasant die Entwicklung vorangetrieben wird, wenn es um das Knacken von Passwörtern geht. Besonders durch Cloud Computing gibt es große Entwicklungssprünge in der Passwort-Entschlüsselung.
Wie das Sicherheitsportal Security Ledger berichtet, zeigte der Sicherheitsexperte Jeremi Gosney eine Ausstattung, die mit dem Open Computing Language Framework und einem Virtual Open Cluster arbeitet. Zum Einsatz kommt das Programm HashCat, das auf einem Cluster aus fünf 4U Servern mit 25 AMD Radeon GPUs läuft. Das Virtual Open Cluster musste erweitert werden, um Funktionen einzuführen, die es erlauben, HashCat zum Laufen zu bringen.
Zuvor hatte Gosney mit VMware gearbeitet, konnte aber dort nicht das gewünschte Ergebnis erzielen, da VMWare beschränkt ist, wenn es um die Nutzung aller Cluster-Komponenten geht: "Wenn man fünf VMware ESX Hosts mit acht Prozessorkernen hat, will man eine virtuelle Maschine mit 40 Kernen nutzen". Nachdem Gosney den Entwickler von Virtual Open Cluster kontaktiert hat und ihn überzeugen konnte ihm zu helfen, machte er sich an die Arbeit.
Dieses System kann demnach sogar starke bzw. bislang als sicher geltende Passwörter knacken, die mit schwächeren Verschlüsselungsalgorithmen, wie Microsofts Lan Manager und NTLM verschlüsselt wurden. In einem Test gelang es 384 Milliarden NTLM Passwörter pro Sekunde durchzugehen. Ein 14 Zeichen langes mit NLTM gehashtes Password (alphanumerisch) würde damit in sechs Minuten geknackt werden.
Laut Gosney würde sich dieses GPU Cluster allerdings besser für Offline- als Online-Attacken eignen, beispielsweise bei einer Sammlung von gestohlenen Passwörtern die in verschlüsselter Form vorliegen. Gosney hat seit April an dem System gearbeitet, er war zuvor unter anderem bei der Analyse der gestohlenen LinkedIn-Passwörter beteiligt. (red, derStandard.at, 5.12.2012)
Angreifer sollen auf einem technisch sehr hohen Niveau vorgegangen sein
Google-Forscher legt Fehler direkt offen - CERT.at: Keine "Alarmstufe Rot"
User merken auch nach Installation von Software nichts von der Manipulation
McAfee: Deutlicher Anstieg von Schadprogrammen
Verteidigungsministerium beklagt "Fehleinschätzungen" Washingtons
Experten Warnen: USA noch nicht bereit für umfassenden Cyberkrieg
Angriffe gegen Energiekonzerne zuletzt zugenommen
Abbuchungen erfolgten von falscher Karte, Problem bei zwei Handelsketten entdeckt
Errechnet Privacy-Score für jedes einzelne Programm und bewertet Rechte
Innenministerin Mikl-Leitner will digitale Straftaten auch bei StGB-Novelle diskutieren
US-Politiker machen Iran verantwortlich
Möglicherweise bis zu 22 Millionen Benutzerkennungen ausgespäht
Untersuchungen sollen Ursprung des Spionage-Tools abklären
Microsoft lanciert Warnung - Schädling tarnt sich als Browser-Erweiterung
Kaspersky: Spammer weichen allerings immer öfter auf soziale Netzwerke aus
Sicherheitsforscher konnten über ungepatchte Lücke auf Gebäudeverwaltung zugreifen
Vertrag gilt für ein Jahr und zehn Rechner
"Man braucht nur wenige Klicks, bis man am virtuellen Schaltpult eines Heizkraftwerks steht"
Twitter rechnet künftig mit weiteren Attacken auf Medien
Polizei warnt vor Schädling - Virus versucht, Geld vom User zu erpressen
Unbekannten kopierten komplette Kreditkartensätze von Servern der Plattform Traveltainment
Nicht signierten Applets wird nun stets eine Warnung vorgeschalten
Angesichts der großangelegten Brute-Force-Attacke sollte einiges beachtet werden
Framework "SIMON" schleust sich in Flugmanagementsysteme ein - Übertragungsprotokoll anfällig
Malware installiert Bitcoin-Mining-System im Hintergrund und sorgt für spürbaren Performance-Einbruch des Computers
Meine persönlichen Passworte sind immer eine Kombination aus Spitznamen, Nummerntaferl, TelNr und mir geläufigen bzw in Fleisch&Blut eingegangen Sprüchen/Redewendungen.
Sind nicht sonderlich lang, aber sehr gemischt und für Außenstehende nicht logisch.
Für mich reichts.
Siehe xkcd-Comic 936 (weiter unten direkt verlinkt).
Es hängt nicht alleine vom potentiellen Zeichenvorrat ab, sondern von der Schlüssellänge. Wenn Du bei 1000 möglichen Zeichen nur EINES für Dein Passwort verwendest, dann ist die Schlüssellänge ganz einfach viel niedriger, als bei einem zehnstelligen Passwort mit 10 möglichen Zeichen.
außer beim onlinestandard kann man eh überall schon längst utf8-paßwörter verwenden. was hier dann so aussieht: ????????????????????????????????, ist anderswo eine folge von 32 aus zehntausenden möglichen zeichen inkl. keilschrift, koptisch, historischen alphabenten für indianersprachen, sonderzeichen aller art, kombinierenden kyrillischen millionen- oder hunderttausenderkränzen …
ich verstehe nicht ganz, was Sie meinen. probieren Sie es aus. tun Sie so, als ob Sie Ihr paßwort aus, sagen wir, 40 chinesischen zeichen vergessen hätten und lassen Sie es sich per e-mail zuschicken. Sie bekommen 40 fragezeichen. wovon reden Sie?
Letzten Endes kommt es auf die Anzahl der Bits/Bytes an. Wie die am Screen dargestellt werden ist irrelevant. Entsprechend ihrer Theorie wäre dann wohl eine automatisierte französische Transkription der chinesischen Zeichen noch sicherer, da ja die chinesischen Zeichen in der Regel für ganze Worte stehen, die in der französischen Sprache durch sehr lange Zeichenketten (Worte) ersetzt werden würden.
zbsp.
eine datei in eine rar datei (mit 15steligem passwort) packen, diese rar datei nochmal mit 7zip verpacken (hier ein anderes 15steliges passwort nutzen), diese 7zip datei dann mit axcrypt verschlüsseln (wieder ein anderes 15steliges passwort nutzen), diese axcrypt-datei in ein truecrypt-image kopieren (hier auch wieder ein anderes 15steliges passwort nutzen) und zum schluss, dieses truecrypt-image auf einem usb stick speichern der mit bitlocker verschlüsselt ist (auch mit einem 15steligem passwort)
wie lange würde es da dauern das zu entschlüsseln?
(alle 15steligen passwörter besten aus klein- und großbuchstaben und zahlen)
ist dann gegeben wenn Sie die Verschlüsselungsmethode nicht bekannt geben, d.h. es dürfen in den verschlüsselten Dateien keine Hinweise darauf enthalten sind womit diese verschlüsselt wurden (ist zumindest bei zip und rar vermutlich nicht so).
nachdem die 7zip verschluesselung aes-256 verwendet, ist der ganze rest eh sinnlos, da hashcat aes gar nicht unterstuetzt und aes mit 256bit schluesseln immer noch als sicher gilt (sprich, es gibt zwar theoretische angriffe, aber noch keine praxistauglichen) :)
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.
