Archiv verlassen und diese Seite im Standarddesign anzeigen : 39 Jahre alte BSD-Passwörter geknackt
Lokadamus
2019-10-12, 17:42:35
Eine alte passwd Datei wurde vor kurzem geknackt. Das Passwort, was dabei rauskam, ist interessant.
https://www.heise.de/newsticker/meldung/UNIX-Prominenz-waehlte-Schach-Eroeffnung-39-Jahre-alte-BSD-Passwoerter-geknackt-4554180.html
auf acht Zeichen beschränkt (beziehungsweise genau genommen auf 64 Bit) und mit crypt(3) verschlüsselt, welches auf DES-basiert.
konkretor
2019-10-12, 19:32:57
joar fand ich auch spannend
Leonidas
2019-10-13, 07:28:19
Wie schnell werden sich wohl unsere heutigen Passwörter knacken lassen, selbst wenn sie 20+ Stellen haben und aus ähnlichem Kauderwelsch bestehen?
00-Schneider
2019-10-13, 11:39:58
Wie schnell werden sich wohl unsere heutigen Passwörter knacken lassen, selbst wenn sie 20+ Stellen haben und aus ähnlichem Kauderwelsch bestehen?
Kommt drauf an, wann Quantencomputer kommen...
Wie schnell werden sich wohl unsere heutigen Passwörter knacken lassen, selbst wenn sie 20+ Stellen haben und aus ähnlichem Kauderwelsch bestehen?Kommt auf viele Faktoren an. Wichtig ist halt auch ein großes Wörterbuch mit vielen Mutatoren. Sieht man ja an dem "Schach" Passwort warum das so lange gedauert hat. Da hilft nur reine Hardwarepower.
konkretor
2019-10-14, 11:39:38
So habe nochmals nachgelesen, es war ja nur eine einzige Vega64 4 Tage im Einsatz.
Schaut man sich hier an was sie 2017 verwendet haben
https://hashcat.net/events/CMIYC2017/CMIYC2017WriteupHashcat.pdf
45x NVIDIA1080
Wäre das Passwort binnen Stunden durch gewesen
Also es fehlte die wo es vorher probiert haben einfach die Geduld die Maschine fertig rechnen zu lassen.
Badesalz
2019-10-14, 12:42:14
Für DES braucht man eben nicht mehr. Meldung ist soweit intertessant, aber an keiner Stelle ein Wow.
Interessant, weil es zeigt, daß es
a) sich wohl lohnt seine Passwörter von KeePass generieren zu lassen, und
b) man sich für before-desktop mit nichts unter 16 Zeichen zufrieden geben sollte.
Und wenn man den Rest eh über KeePass macht, man auch >30 Zeichen nehmen kann.
Dr.Doom
2019-10-14, 13:34:01
Oder gelegentlich das Passwort wechseln, sodass an unbrauchbarem Krempel herumgerechnet wird.
Aber gut, alle vier Tage das Passwort wechseln, taugt auch nichts. ;)
RavenTS
2019-10-14, 23:29:55
Und bei Verwendung eines Schlüsselgenerators hoffen, dass dieser "echt pseudozufallsmäßig" und nicht nachvollziehbare Passwörter auswirft...
Benutzername
2019-10-15, 00:58:59
Und bei Verwendung eines Schlüsselgenerators hoffen, dass dieser "echt pseudozufallsmäßig" und nicht nachvollziehbare Passwörter auswirft...
Bei Internetverbindung kann man echte Entropie von random.org beziehen.
https://www.random.org/
Wird aus dem Hintergrundrauschen in der Atmosphäre generiert. Aber ja, das mit dem psudozufall und erst recht dessen Implementierng ist ein Problem, wie man an dem jüngsten AMD bug in der RND Funktion gesehen hat.
lumines
2019-10-15, 15:50:13
Wie schnell werden sich wohl unsere heutigen Passwörter knacken lassen, selbst wenn sie 20+ Stellen haben und aus ähnlichem Kauderwelsch bestehen?
Kommt drauf an, ob du mehrere Milliarden Jahren als schnell oder langsam empfindest. Kommt natürlich auf den Passwort-Hash an, aber "schnell" würde ich das nicht nennen, wenn eher vorher die Menschheit ausstirbt.
Wenn dein Kauderwelsch nicht aus einem CPRNG kam, dann vielleicht in ein paar Sekunden. Vielleicht auch nicht. Wird dir niemand genau sagen können. IchBinLeonidasAusDem3dc sind auch 24 Zeichen, aber ich würde meine Hand nicht dafür ins Feuer legen, dass das jemand mit einer einzigen High-End-GPU nicht vielleicht doch relativ schnell rausfindet.
Am Ende macht es keinen Sinn darüber zu philosophieren. Man nimmt einfach einen CPRNG oder eine Software, die den deines Betriebssystems anzapft.
Python ab 3.6 hat übrigens ein eigenes Modul, das plattformunabhängig (ja, auch unter Windows) die richtige Schnittstelle nutzt und besonders einfach zu nutzen ist. Die Dokumentation liefert auch ein paar kleine Beispielanwendungen wie einen Passwortgenerator mit: https://docs.python.org/3/library/secrets.html#recipes-and-best-practices
Es gibt praktisch keinen Grund etwas anderes zu benutzen, um Passwörter zu erzeugen.
Kommt drauf an, wann Quantencomputer kommen...
Was soll dann genau passieren?
Oder gelegentlich das Passwort wechseln, sodass an unbrauchbarem Krempel herumgerechnet wird.
Aber gut, alle vier Tage das Passwort wechseln, taugt auch nichts. ;)
Du kannst auch einfach ein oder zwei Zeichen dazu nehmen.
Bei Internetverbindung kann man echte Entropie von random.org beziehen.
https://www.random.org/
Wird aus dem Hintergrundrauschen in der Atmosphäre generiert.
Auch die Fluktuationen der Temperatursensoren deines Rechners sind "echte" Entropie. Kein Grund etwas anderes zu benutzen als das, was dein Betriebssystem von sich aus liefert.
Aber ja, das mit dem psudozufall und erst recht dessen Implementierng ist ein Problem, wie man an dem jüngsten AMD bug in der RND Funktion gesehen hat.
Niemand ist darauf angewiesen, was die CPUs mitbringen, von daher ist das eigentlich relativ unkritisch.
Dino-Fossil
2019-10-15, 16:27:23
Nur nutzt das beste Passwort u.U. nix, wenn die Plattform für die es gedacht ist, es schlampig ablegt (deswegen ja auch unterschiedliche Passwörter nutzen, etc.)...
Ist aber langsam eher offtopic.
Die Meldung war jedenfalls ein interessantes Kuriosum.
Asaraki
2019-10-15, 16:35:40
Was soll dann genau passieren?
.
Dann lernen eine Menge Leute dass quantum Computing nicht Passwörter knackt xD
Benutzername
2019-10-15, 18:12:09
Auch die Fluktuationen der Temperatursensoren deines Rechners sind "echte" Entropie. Kein Grund etwas anderes zu benutzen als das, was dein Betriebssystem von sich aus liefert.
Temperatursensoren,ja , aber wie ist das mit den heute oft wild zusammengerechneten Werten die die chps heutzutage ausspucken?
Niemand ist darauf angewiesen, was die CPUs mitbringen, von daher ist das eigentlich relativ unkritisch.
Deswegen hatte AMD sich auch nicht die Mühe gemacht RND zu fixen. Hat ja sowieso kaum jemand benutzt. Nur eben bei systemd wurde es auf einmal blöd, wenn dieselben Nummern verteilt wurden. Für Verschlüsselung sollte man das aber sowieso nicht benutzen.
------------------------
Dann lernen eine Menge Leute dass quantum Computing nicht Passwörter knackt xD
Das ist wie kalte Fusion. In zehn Jahren! Versprochen! X-D
Als Passwörter nehme Ich persönlich gerne Formeln nach IUPAC. Gut zu merken (wenn man eine Ader für Chemie hat) und hat Sonderzeichen und kommt so in vermutlich keinem Wörterbuch fürs Passwort knacken vor. Von daher ähnlich wie jemand der gerne Schach spielt, etwas nimmt, was ihm geläufig ist.
Badesalz
2019-10-15, 18:39:22
Was macht ihr so ein Trara drum? Ihr guckt euch das Passwort an, tauscht 3-4 Zeichen gegen selbsterdachte und schon ist die von XY analysierte Enthropie des Generators: EGAL.
KeePass bringt alles mit. Auch ein "Rauschfeld" um eigene Enthropie dazu zu geben. Das ist dann auch komplett egal, ab da. Weil sobald der Angreifer das merkt (wie bei dem letzten Passwort aus der News), dann holt er nicht noch tausend Vegas dazu, sondern er hackt eure Hosts. Grad bei Windows eine eher lächerliche Aufgabe.
Niemanden kümmert es, ob eure Länge+Enthropie B+, A oder A+++ ist. Wenn sie nicht D oder C ist, nimmt man automatisch einen anderen Weg.
Temperatursensoren... :freak:
Lokadamus
2019-10-15, 18:55:47
Deswegen hatte AMD sich auch nicht die Mühe gemacht RND zu fixen.Der ist doch mittlerweile per Bios Update gefixt. 1.0.0.3 ABB oder so.
lumines
2019-10-15, 18:58:55
Temperatursensoren,ja , aber wie ist das mit den heute oft wild zusammengerechneten Werten die die chps heutzutage ausspucken?
Es funktioniert einwandfrei.
Deswegen hatte AMD sich auch nicht die Mühe gemacht RND zu fixen. Hat ja sowieso kaum jemand benutzt. Nur eben bei systemd wurde es auf einmal blöd, wenn dieselben Nummern verteilt wurden. Für Verschlüsselung sollte man das aber sowieso nicht benutzen.
Systemd ist ein extremer Spezialfall, weil es Zufallszahlen ganz früh im Bootprozess braucht. Systemd erzeugt mir aber nicht meine Passwörter oder kryptografische Schlüssel.
Als Passwörter nehme Ich persönlich gerne Formeln nach IUPAC. Gut zu merken (wenn man eine Ader für Chemie hat) und hat Sonderzeichen und kommt so in vermutlich keinem Wörterbuch fürs Passwort knacken vor. Von daher ähnlich wie jemand der gerne Schach spielt, etwas nimmt, was ihm geläufig ist.
Coole Idee, könnte man einmal in Hashcat aufnehmen. Würde vermutlich alle deine Passwörter in vertretbarer Zeit errechnen.
Was macht ihr so ein Trara drum? Ihr guckt euch das Passwort an, tauscht 3-4 Zeichen gegen selbsterdachte und schon ist die von XY analysierte Enthropie des Generators: EGAL.
KeePass bringt alles mit. Auch ein "Rauschfeld" um eigene Enthropie dazu zu geben. Das ist dann auch komplett egal, ab da. Weil sobald der Angreifer das merkt (wie bei dem letzten Passwort aus der News), dann holt er nicht noch tausend Vegas dazu, sondern er hackt eure Hosts. Grad bei Windows eine eher lächerliche Aufgabe.
Niemanden kümmert es, ob eure Länge+Enthropie B+, A oder A+++ ist. Wenn sie nicht D oder C ist, nimmt man automatisch einen anderen Weg.
?
Temperatursensoren... :freak:
Ja? Aus den Gerätetreibern und Sensoren kommt die Entropie für so ziemlich jeden Rechner. Vielleicht ist dir das neu.
Bei eingebetteten Geräten gilt das mangels Schnittstellen logischerweise oft nicht, aber das ist ein Thema für sich.
Asaraki
2019-10-15, 19:50:44
Eine der dümmsten Ideen ist etwas zu nehmen es einem naheliegt. Das macht jeden gezielten Angriff (Logo, hier ist vermutlich keiner ein Ziel) super einfach.
Badesalz
2019-10-15, 22:06:30
?Denke das ist das grundsätzliche Problem. Was soll ich jetzt tun? Wo anfangen?
Und warum? KeePass bringt den ganze Haufen an Pseuodmathe eh noch mit dazu. Und nu?
Ja? Aus den Gerätetreibern und Sensoren kommt die Entropie für so ziemlich jeden Rechner. Vielleicht ist dir das neu.Das ist ganz toll.
Das Zeug interessiert nur niemanden draussen. Nur irgendwelche Pseudonerds. Das Prob mit den Passwörtern ist nämlich ganz am Ende, ihre Entropie (sorry). Ganz zu Anfang ist es das Problem, daß die Leute soetwas überhaupt nutzen.
Also, starke Passwörter nutzen. So minimalst 21 Zeichen, Sonderzeichen mit dabei, klein/GROß, Zahlen. Standard eben. Und dafür ist eben so ein Manager gut. Damit man die Benutzung nicht für einen K(r)ampf hält.
Dann kann man sich die Zeichenketten auch selbst, und wie oben, zusammenzimmern. Völlig egal. Damit bricht man diesen Angriffsvektor weg. Hauptsache man tut es.
Ob "^FG]?kj9KkJ,J~Enn HDae8" oder "M/|(x%"toT?}5[87_shY;W@S7HHR<%IPv:}m3" oder "dZTK'ZQx6:vbZ4;oG<NUB`&.IZhC?%I/aS^rX1d4]voEOs" ist völlig Latte. Völlig. Hab ich grad mal eben in die Tasta gehämmert.
Kann ich dann direkt so im Manager eintippern. Der generiert dann selbst garnichts. Stimmt etwa irgendwas nicht damit?
Was du meinst ist ein anderes Nutzungsfeld. Das hat dann mit der Interaktion eines Benutzers mit einer Eingabemaske einer Anwendung oder Website (ergo auch sowas wie auf dem Router oder Switch reinkommen) wenig zu tun.
lumines
2019-10-15, 23:20:24
Denke das ist das grundsätzliche Problem. Was soll ich jetzt tun? Wo anfangen?
Und warum? KeePass bringt den ganze Haufen an Pseuodmathe eh noch mit dazu. Und nu?
Ich habe KeePass noch nie benutzt und keine Ahnung, wovon du da redest.
Also, starke Passwörter nutzen. So minimalst 21 Zeichen, Sonderzeichen mit dabei, klein/GROß, Zahlen. Standard eben. Und dafür ist eben so ein Manager gut. Damit man die Benutzung nicht für einen K(r)ampf hält.
Klar, trotzdem hilft dir das nicht klare Entscheidungen über eine sinnvolle Länge zu treffen.
Für irgendeinen Webdienst, von dem ich keine Ahnung habe, wie die Passwörter gespeichert werden, nehme ich auch einfach eine Länge, von der ich weiß, dass es außerhalb dessen liegt, was irgendwer jemals an Rechenleistung aufbringen können wird. Ein Passcode an einem iPhone braucht allerdings keine 21 Zeichen und auch keine Sondernzeichen, um sicher zu sein.
Badesalz
2019-10-16, 19:17:49
Ich habe KeePass noch nie benutzt und keine Ahnung, wovon du da redest.Ok. Dann machen wir das mal nicht zum meinen Nachteil...
Klar, trotzdem hilft dir das nicht klare Entscheidungen über eine sinnvolle Länge zu treffen.
Für irgendeinen Webdienst, von dem ich keine Ahnung habe, wie die Passwörter gespeichert werden [...]Und wozu? Mit einem Passwortmanager (wobei ich da bisher eben keinem außer KeePass über den Weg traue) kann man sich die Überlegungen knicken. Das Copypasten eines 6 Zeichen Passwortes bedeutet zu exakt 100,00% den gleichen Aufwand wie eines mit 39 Zeichen. Was solls also.
Das einzige wofür ich selbst sowas nicht nutze sind Foren. Das hat für mich keine Sicherheitsstufe. Auch wenn ich nichts aus Wörterbüchern nutze.
Foren <-> Sicherheit gilt für mich nur für Admins und Mods.
Lokadamus
2019-10-18, 19:40:26
Hab keinen Bock einen neuen Thread aufzumachen.
Sicherheit wird in Amerika groß geschrieben.
https://www.spiegel.de/netzwelt/gadgets/us-atomstreitkraefte-schicken-die-floppy-in-rente-a-1292253.html
... wurde 1976 eingeführt und in heute fast vergessenen Sprachen wie Fortran und Cobol programmiert. Ihr Alter sei aber eigentlich das herausragende Sicherheitsmerkmal dieser Maschine, ... keine IP-Adresse hat, ...
Naja. Da wurden wir dank Stuxnet eines besseren belehrt. Frage ist eher, wer sich auf so alten Maschinen überhaupt noch auskennt.
Badesalz
2019-10-18, 20:58:57
Du weisst schon, wie der Stuxnet-Hack auzssieht? Mal davon ab, daß es s.g. Ethernet-Gateways für Simatic gibt...
Frage ist eher, wer sich auf so alten Maschinen überhaupt noch auskennt.Was soll da das Prob sein? Leute die bald aufhören, schulen die neuen, die nachkommen.
Benutzername
2019-10-19, 00:11:02
Fortran und Cobol fast vergessen? Selten geworden, ja, aber man kann sich ja einarbeiten. Und der Kram dürfte bei diesen alten Militärprojekten ja auch noch dokumentiert sein und wegen der begrenzten Hardware auch eher übersichtlich im Quellcode. Und nicht wie heute hundert verschiedene Frameworks die den Code unnötig aufblasen.
Badesalz
2019-10-19, 07:30:03
Und nicht wie heute hundert verschiedene Frameworks die den Code unnötig aufblasen.NET wird wahrscheinlich keine Alternative sein :wink:
https://blog.fefe.de/?ts=a358d56f
Sonst denk ich nicht, daß man 2019 an der Cobol-Software etwas umschreiben müsste...
Lokadamus
2019-10-19, 19:39:59
Du weisst schon, wie der Stuxnet-Hack auzssieht? Mal davon ab, daß es s.g. Ethernet-Gateways für Simatic gibt...
Was soll da das Prob sein? Leute die bald aufhören, schulen die neuen, die nachkommen.Seit wann braucht ein USB Stick eine IP Adresse?
Gerade dafür ist Stuxnet bekannt, dass eine der Verbreitungsmöglichkeiten per USB war.
https://de.wikipedia.org/wiki/Stuxnet
Heißt auf Hochdeutsch gesagt, nur weil ein wichtiger PC nicht am Netzwerk angeschlosen ist, ist er nicht gleich 100% sicher. Wenn per Turnschuh- Netzwerk ein Datentransfer stattfindet, ist er darüber infizierbar.
Badesalz
2019-10-19, 23:45:48
Was soll da das Prob sein? Leute die bald aufhören, schulen die neuen, die nachkommen.Was war? ;)
Stuxnet... Die Infektion verläuft prophan. Ob per USB oder Ethernet, es geht über einen Rechner bzw. Steuerrechner (Visualisierung auf der Step7 drauf ist). Das interessante ist aber: Das Zeug modded dann die SPS selbst. Wie kommt es von einem USB-Stick auf die SPS? Eine S7-300 hat keinen USB :freak:
Über MPI/Profibus ;) D.h., übers Netzwerk. Das Netzwerk der SPS. Letztendlich Jacke wie Hose.
Wenn man die Sicherheit eines IBM Type/1 erreichen will, muss man sich wohl etwas hier aussuchen. Dann ist man SICHER im Netz :cool:
https://www.heise.de/newsticker/meldung/Amiga34-Zwei-Tage-rund-um-den-Kultcomputer-4559997.html
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.