Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Finger weg von SHA-1: 320 Millionen Passwörter geknackt

- - - - -

  • Bitte melde dich an um zu Antworten
Keine Antworten in diesem Thema

#1
Jacqueline

Jacqueline

    Boardassistentin

  • Bots
  • PIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    38
  • 161 Beiträge
  • 11 Bedankt

(Bild: Blogtrepreneur, CC BY 2.0 )

Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.

Diverse Sicherheitsforscher rund um das Kollektiv CynoSure Prime haben rund 320 Millionen Passwörter geknackt ? für einen guten Zweck. Dabei lag die Erfolgsquote eigenen Angaben zufolge bei 99,9999 Prozent.

Der zugrundeliegende Datensatz stammt von Troy Hunt, der seine Webseite Have I Been Pwned Anfang August um einen Passwort-Prüfdienst erweitert hat. Dort kann man checken, ob das eigene Passwort durch Hackerübergriffe auf diverse Onlinedienste bereits geleakt ist.

Lesen Sie dazu auch.

  • Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren
  • Knack mich, wenn du kannst

Webseitenbetreiber aufgepasst!

Bei CynoSure Prime handelt es sich um keine Hacker die böses im Sinn haben, vielmehr geht es ihnen um die Forschung im Bereich der Passwortsicherheit. Webseitenbetreiber, die Passwörter von Kunden auf Servern verwahren, sollten folgendes ganz genau lesen. Schließlich kann man den Schwarzen Peter nicht immer nur dem Nutzer unterschieben, der gefälligst sichere Passwörter zu erstellen hat.

Ein starkes Passwort ist natürlich wichtig. Dieses müssen Webseitenbetreiber jedoch so sicher auf ihren Servern speichern, dass Hacker selbst nach einem erfolgreichen Übergriff nichts mit den Daten anfangen können. Das gelingt mit Hash-Funktionen, die aus einem Passwort eine Prüfsumme erstellen. Ist das Verfahren stark, ist dieser Vorgang mit endlichem Aufwand unumkehrbar.

Mit brachialer Rechenkraft zum Ziel

Den Datensatz von Troy Hunt hat sich CynoSure Prime als exemplarisches Beispiel vorgenommen, um zu demonstrieren, dass Passwörter von Webseitenbetreibern oft nicht sicher behandelt werden. Rund 305 Millionen Passwörter in dem Datensatz sind mit dem Hashverfahren SHA-1 "gesichert". Dieses Verfahren gilt schon länger als gebrochen, kommt aber bei einigen Diensten immer noch zum Einsatz. Auch das ebenfalls kaputte MD5 findet in dem Datensatz Verwendung.

Da die Passwörter mit den als kaputt geltenden Verfahren SHA-1 und MD5 "geschützt" sind, lag die Erfolgsquote beim Knacken bei 99,9999 Prozent.
Da die Passwörter mit den als kaputt geltenden Verfahren SHA-1 und MD5 "geschützt" sind, lag die Erfolgsquote beim Knacken bei 99,9999 Prozent. Vergrößern
Bild: CynoSure Prime

Während ihrer Versuche haben die Sicherheitsforscher aber keine Kollisionen erzeugt, sondern die Passwörter unter anderem mit Tools wie hashcat und MDXfind aus dem Hash rekonstruiert. Das funktioniert zum Beispiel mit wahrscheinlichkeitsbasierten Verfahren wie der Markov-Kette und Wörterbuch-Attacken kombiniert mit brachialer Rechenkraft.

Eigenen Angaben zufolge hat CynoSure Prime Cluster unter anderem bestehend aus Computern mit Intel Core i7-6700K, vier GeForce GTX 1080 und 64 GByte RAM zum Knacken genutzt. Von den 305 Millionen SHA-1-Hashes haben sie eigenen Angaben zufolge lediglich 116 nicht geknackt.

Passwörter sicher hashen ? jetzt!

Damit sich Hacker die Zähne an Passwörtern ausbeißen, müssen Webseitenbetreiber diese mit Verfahren wie brcrypt oder PBKDF2 speichern. Die sind absichtlich so konzipiert, dass ein Passwort-Test möglichst viel Ressourcen benötigt. Sie erreichen dies unter anderem, indem sie viele Iterationen über Hash-Operationen durchführen.

Zudem sollten sie serverseitig Bremsen einbauen, um so Brute-Force-Attacken auf Anmeldeformulare vorzubeugen. Das gelingt etwa, indem sie die Zahl der möglichen Login-Versuche innerhalb eines bestimmten Zeitraums pro IP-Adresse beschränken.

Please Login HERE or Register HERE to see this link!





  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 17 user(s)


    3eyes, Avni, Bad Grandpa, Bot4ng, Framerater, gr33d, kiwitone, madamor45xx, Makiavelic, Mini Rick, nischke, PaulaAbdul, Payload, Rogerlopensio, Silent0wn3r, WarRaZzer, White-Warti
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.