Digibewusteloos

Door Slurpgeit op maandag 03 december 2012 22:21 - Reacties (41)
Categorie: -, Views: 4.340

Zoals wel vaker luisterde ik ergens in de afgelopen week naar de radio. Normaal hoor ik het wel, maar luister ik niet echt. Dit keer schrok ik echter wakker uit mijn gebruikelijke stasis, doordat mijn onderbewustzijn triggerde op de woorden "Voer nu je wachtwoord in op digibewust.nl, en kijk hoe veilig jouw wachtwoord is!".

Geprikkeld en vol anticipatie volgde ik het commando op, en surfte naar http://www.digibewust.nl/. Ik klik op de grote groene knop "Test nu je wachtwoord", en terwijl ik denk "Je zal toch niet echt je wachtwoord..", zit ik op een website waar "Mooiboy, peter, en tijgertje" me streng aankijken. Ook staat er een tekstje waarin mij wordt medegedeeld dat ik moet zorgen voor een "sterk wachtwoord", want dat is "niet te raden en moeilijk te kraken". Verder staan er nog wat hippe schuifbalkjes en klikvakjes om aan te geven waar jouw wachtwoord uit bestaat, en onderaan komt het keiharde doch rechtvaardige oordeel over de veiligheid van jouw wachtwoord. Simpel toch? Om de één of andere reden kreeg ik opeens de onweerstaanbare drang om Ubuntu weer eens een slinger te geven, gewoon, om te kijken of het klopt. Dus, ik download de gelekte database van LinkedIn, en ga aan de slag.

De tools
  • i7 3770
  • 8GB Ram
  • 2x AMD HD5850 in Crossfire
  • oclHashcat-plus
De dolle stier methode
Beter bekend bij de mensen thuis als "brute force". Gewoon elke positie karaktjertje voor karaktertje wijzigen, tot er iets nuttigs uit komt. Voor de mensen die nu iets hebben van "OMGWTFBBQ, welk commando dan?", et voilà:

/tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin -m 100 -n 160 -a 3 --gpu-temp-retain=80 --gpu-temp-abort=100 ./leakedIn.txt -o ./leakedIn.bf ?a?a?a?a?a?a?a?a?a?a?a
  • /tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin - Het programma zelf
  • -m 100 - Het type hash dat gekraakt moet worden. 100 staat voor "SHA1".
  • -n 160 - Moar pwr captain! De workload voor de GPU's.
  • -a 3 - Attack type, 3 staat voor "Brute Force"
  • --gpu-temp-retain=80 --gpu-temp-abort=100 - Om te zorgen dat de arme 5850's geen *poef* doen.
  • ./leakedIn.txt - Input file met de hashes
  • -o leakedIn.bf - De resultaten van de aanval
  • ?a?a?a?a?a?a?a?a?a?a?a - Een brute force aanval van 11 karakters ("?a" staat voor 1 positie), met op elke positie uppercase, lowercase, number en special characters. Dit is uiteraard ook te tweaken. Bijvoorbeeld ?l voor alleen lowercase, ?u voor uppercase en zo verder.
Omdat ik eigenlijk niet alle tijd van de wereld heb, besloot ik deze aanval een fantastische 15 minuten te laten draaien. Het resultaat? Niet heel spannend, 44 gekraakte hashes:

https://dl.dropbox.com/u/7521450/blog/digibewusteloos/bf.png

Maar, terug naar het doel van deze hele onderneming, wat zeggen onze nieuwe vrienden hiervan? Nou, dit:
https://dl.dropbox.com/u/7521450/blog/digibewusteloos/11char.png

Vreemd.. Volgens die uitkomt zou ik er in m'n eentje een aantal millennia over doen om een wachtwoord te achterhalen, terwijl ik na 15 minuten al op een high-score van 44 zit. Oké, granted, dat hangt enorm af van het gebruikte versleutelingsalgoritme, en het al dan niet gebruiken van salt, en waarschijnlijk gaan de vriendjes ook uit van de tijd die nodig is om *alle* combinaties te achterhalen. Desalnietteminplusgedeelddoorkeeretc, vind ik dat een nogal gedurfde claim om te maken.

Nou, wat zeur je dan, 44 uit een lijst van een paar miljoen is onwijs weinig
Ah, ja. Maar we zijn nog niet klaar! We hebben ook nog de woordenlijsten. Dus ik heb via "bedrijfdeliefdemettimkuik.org" een paar woordenlijsten gedownload, en gebruikt met het volgende commando:

/tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin -m 100 -n 160 -a 0 --gpu-temp-retain=90 --gpu-temp-abort=100 ./leakedIn.txt /tools/lists/wordlist.txt -o ./leakedIn.wordlist.txt


De slimme kijker merkt op dat er hier een paar dingen anders zijn dan het vorige commando:
  • -a 3 is vervangen door -a 0, om de aanvalsmethode op "Straight" (Lees: woordenlijst) te zetten.
  • /tools/lists/wordlist.tx is toegevoegd om het programma te vertellen welk lijstje hij mag gebruiken.
In slechts 30 seconden was het gedaan met mijn bescheiden lijstje, en stond er een lijstje resultaten klaar. *Drumroll*

1052 entries! Dat is al heel wat meer dan 44. Nu zal ik de kostbare tweakblog ruimte niet verspillen met de hele lijst, maar wat stats zijn altijd wel grappig. Gemaakt met het o zo handige programma pipal:


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Password length (length ordered)
6 = 2 (0.19%)
7 = 54 (5.13%)
8 = 142 (13.5%)
9 = 236 (22.43%)
10 = 244 (23.19%)
11 = 170 (16.16%)
12 = 112 (10.65%)
13 = 45 (4.28%)
14 = 32 (3.04%)
15 = 15 (1.43%)

One to six characters = 2 (0.19%)
One to eight characters = 198 (18.82%)
More than eight characters = 854 (81.18%)

Character sets
loweralpha: 627 (59.6%)
mixedalpha: 266 (25.29%)
loweralphaspecial: 8 (0.76%)
mixedalphaspecial: 3 (0.29%)


Oke. Cool. Maar wat nu als er op mijn woordenlijst "welkom" staat, maar het te kraken wachtwoord is "Welkom01"?

Vrees niet! Ook daar is aan gedacht. oclHashcat heeft ook een feature genaamd "rules". Dit zijn bestandjes met regels welke worden toegepast op de woordenlijst om de bestanden te veranderen. Zo wordt "welkom" dus ook "Welkom" "WELKOM" "WeLkOm" en "Welkom01". Added bonus, veel regels zitten standaard bij oclHashcat!

Dus, nog maar een commandotje er tegenaan gooien:
/tools/oclHashcat-plus-0.09/oclHashcat-plus64.bin -m 100 -n 160 -a 0 --gpu-temp-retain=90 --gpu-temp-abort=100 ./leakedIn.txt /tools/lists/wordlist.txt -o ./leakedIn.wordlist.best64.txt -r /tools/oclHashcat-plus-0.09/rules/best64.rule


De oplettende kijker van net heeft ook nu weer gezien dat er wéér een extra optie wordt meegegeven, namelijk " -r /tools/oclHashcat-plus-0.09/rules/best64.rule". Dit is één van de (vele) rule bestanden standaard meegeleverd met oclHashcat.

And the final score is: ..
7497! Dat is al heel wat meer Bert! Ja Ernie, maar heb je ook weer statjes? Jahoor, Bert:


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
6 = 271 (3.61%)
7 = 503 (6.71%)
8 = 2522 (33.64%)
9 = 1468 (19.58%)
10 = 1426 (19.02%)
11 = 609 (8.12%)
12 = 432 (5.76%)
13 = 132 (1.76%)
14 = 101 (1.35%)
15 = 33 (0.44%)

One to six characters = 271 (3.61%)
One to eight characters = 3296 (43.96%)
More than eight characters = 4201 (56.04%)

loweralpha: 3174 (42.34%)
mixedalphanum: 1713 (22.85%)
loweralphanum: 1287 (17.17%)
mixedalpha: 772 (10.3%)
upperalpha: 160 (2.13%)
loweralphaspecial: 25 (0.33%)
loweralphaspecialnum: 22 (0.29%)
mixedalphaspecialnum: 22 (0.29%)
mixedalphaspecial: 11 (0.15%)
specialnum: 1 (0.01%)


Maar, wat is je punt dan precies?
Nou, ja, mijn punt is dus dat het een leuke campagne is, maar niet heel erg waarheidsgetrouw, om het politiek correct af te drukken. Als "eindgebruiker" zou ik na de site te hebben bekeken denken dat mijn wachtwoord "Welkom123!@#" onwijs veilig is, terwijl niets minder waar is. Een gevalletje "False sense of security", om er maar eens wat buzz-words tegenaan te ketsen.

Begrijp me niet verkeerd, ik ben allang blij dat er überhaupt aandacht aan besteed wordt aan dit soort dingen, maar het lijkt erop dat de mensen achter deze site puur en alleen uit gaan van een scenario waarbij woordenlijsten niet bestaan, en alle websites de databases netjes hashen en salten. Het tegendeel is helaas al te vaak bewezen de afgelopen tijd.

Dus..
Dus zorg boven alles gewoon voor een *lang* wachtwoord. En dan bedoel ik, 15, 20 tekens of meer. Zorg ook vooral dat het wachtwoord niet één enkel woord is, met wat tekens en cijfers er omheen geplakt, maar mix het wat door elkaar. Of, pak gewoon iets als keepass, en gebruik overal een gegenereerd, lang, random wachtwoord. Al moet je dan natuurlijk niet "Letmein" gebruiken als keepass wachtwoord ;).

ps. ik haat mensen die beginnen met de tekst: "Dit is mijn eerste blog, dus go easy on me", vandaar dat ik het hier neer zet. Dit is mijn eerste blog, dus go easy on me

Volgende: Wifileaks 12-'12 Wifileaks

Reacties


Door Tweakers user pinna_be, maandag 03 december 2012 22:32

ik ben werkelijk gefascineerd, een van de betere blogs die ik heb gelezen: duidelijk, niet te ingewikkeld maar toch niet over een soft thema.

Heb genoten van deze blog te lezen en dit is de eerste blog die ik tweet. (niet dat mijn twitteraccount zo wauw is, maar toch)

meer van dit soort blogs!

Door Tweakers user MuddyMagical, maandag 03 december 2012 22:51

Nette eerste blog! Interessant om te lezen.
* MuddyMagical doet bookmarked!

Door Tweakers user Gropah, maandag 03 december 2012 22:56

Zeker intressant en leuk om te lezen. Meer?

Door Tweakers user Gish, maandag 03 december 2012 23:04

Mooaarrr! Interessant, prettig om te lezen en een leuk onderwerp.

Ik stel voor dat je in je volgende blog een wachtwoordchecktoolding publiceert die wél correct weergeeft of je wachtwoord oké is of niet ;) :+

Door Tweakers user pinna_be, maandag 03 december 2012 23:22

Gish schreef op maandag 03 december 2012 @ 23:04:
Mooaarrr! Interessant, prettig om te lezen en een leuk onderwerp.

Ik stel voor dat je in je volgende blog een wachtwoordchecktoolding publiceert die wél correct weergeeft of je wachtwoord oké is of niet ;) :+
tool misschien die webontwikkelaars kunnen aansprek. wachtwoordbeveiligingsgraad: x op de schaal van Slurpgeit.

Door Tweakers user PixelShooter, maandag 03 december 2012 23:22

Met plezier gelezen! Vooral omdat ik af en toe wat leuke woordspelingen en dergelijke tegenkwam ;)

Door Tweakers user Slurpgeit, maandag 03 december 2012 23:34

Hehe, thanks allemaal. Zal eens kijken of er nog een verhaaltje uit te persen valt ;)

Door Tweakers user Zerfox, maandag 03 december 2012 23:42

Nice verhaal, je hebt me enthousiast om ook wat testjes uit te voeren! :P

Door Tweakers user EvilWhiteDragon, dinsdag 04 december 2012 00:49

http://xkcd.com/936/ ;)

[Reactie gewijzigd op dinsdag 04 december 2012 00:49]


Door Tweakers user painkill, dinsdag 04 december 2012 02:26

Is het niet dom om je wachtwoord te gaan te testen op een site?
Een groot percentage mensen is uniek door de browser/plugin combinatie, dus alleen op die manier zijn er al veel wachtwoorden te achterhalen. Maar misschien denk ik ook weer te ver :)

Door Tweakers user lj_tree, dinsdag 04 december 2012 08:28

Gvd...dus mijn wachtwoord: stoel123 is niet veilig? DAMNIT

Door Tweakers user i-chat, dinsdag 04 december 2012 09:13

2step auth anyone... ? nu nog een provider die ik vertrouw. je eigen oauth service is leuk maar als iedereen dat doet is er als nog geen sprake van security, dus bedrijven instellingen en sites die ongevalideerde oauth en dat soort gein accepteren neem je bij voorkeur ook niet serieus...

google neem ik dan wel wat serieuzer maar alleen in gevallen van NIET-privacygevoelige gegevens anders : volgende -> maar welke

Door Tweakers user Infant, dinsdag 04 december 2012 09:26

Hoe krokant wordt zo'n radeontje dat die optie er in zit?

Ik word altijd heel erg levensmoe bij het zien van dit soort websites. Wat zou ie gekost hebben?

Als je googelt naar bedrijfdeliefdemettimkuik, komt jouw blog als enige resultaat naar voren, had dus naar mijn inschatting een veilig wachtwoord kunnen zijn...

Door Tweakers user Pixeltje, dinsdag 04 december 2012 09:41

Zeker een van de betere (en confronterende) blogs die er geschreven zijn :)

Door Tweakers user Slurpgeit, dinsdag 04 december 2012 10:00

i-chat schreef op dinsdag 04 december 2012 @ 09:13:
2step auth anyone... ? nu nog een provider die ik vertrouw. je eigen oauth service is leuk maar als iedereen dat doet is er als nog geen sprake van security, dus bedrijven instellingen en sites die ongevalideerde oauth en dat soort gein accepteren neem je bij voorkeur ook niet serieus...

google neem ik dan wel wat serieuzer maar alleen in gevallen van NIET-privacygevoelige gegevens anders : volgende -> maar welke
Tja, je hebt een punt. Maar alles wat ik tot nu toe geprobeerd heb is wat.. omslachtig. Plus, het feit dat ik toen met google niet kon inloggen als m'n telefoon leeg was, onhandig :).

Ik heb overigens nu een ePass2003 om mee te testen. Tot nu toe gebruik ik hem alleen nog voor SSH en dergelijke, maar dat werkt opzich prima. Alleen probeer dat maar aan henk de thuisgebruiker uit te leggen ;).

Door Tweakers user Slurpgeit, dinsdag 04 december 2012 10:03

Infant schreef op dinsdag 04 december 2012 @ 09:26:
Hoe krokant wordt zo'n radeontje dat die optie er in zit?

Ik word altijd heel erg levensmoe bij het zien van dit soort websites. Wat zou ie gekost hebben?

Als je googelt naar bedrijfdeliefdemettimkuik, komt jouw blog als enige resultaat naar voren, had dus naar mijn inschatting een veilig wachtwoord kunnen zijn...
Niet veel warmer dan bij een game, zo tegen de 100 graden (95, 96).

[Reactie gewijzigd op dinsdag 04 december 2012 11:28]


Door Tweakers user Sgreehder, dinsdag 04 december 2012 12:26

Brute-force hoort niet meer mogelijk te zijn, neem bijvoorbeeld bcrypt waar o.a. een work factor wordt geintroduceerd. Het is aan de gebruiker om een wachtwoord te kiezen wat niet te makkelijk te raden is en niet wordt ingetikt op onbetrouwbare sites, maar het is wel heel makkelijk om de verantwoordelijkheid volledig op de gebruiker te verleggen.

Door Tweakers user RoadRunner84, dinsdag 04 december 2012 12:57

Whoop, mijn wachwoord is volgens hen in een 6943 jaar te kraken met een mega aanval :P
En geen hoofdletters!

[Reactie gewijzigd op dinsdag 04 december 2012 12:57]


Door Tweakers user Snowmiss, dinsdag 04 december 2012 13:16

Een van mijn wachtwoorden in 7 x 104 millenia bij een mega aanval

Door Tweakers user air2, dinsdag 04 december 2012 16:28

Dit is op zich niet heel frapant. De linked in gegevens zijn niet gesalt. Dus het terughalen van een wachtwoord aan de hand van de hash is niet heel moeilijk. De sterkte van het wachtwoord doet er niet heel veel toe. Beter is voor iedere site een paar tekens in het wachtwoord anders hebben en lange wachtwoorden. Maar dat de wachtwoorden die jij nu vind, niet sterk zijn is wel een beetje te kort door de bocht.

Kijk als die linked in database plaintext wachtwoorden had bevat (en dat was BIJNA het geval, het zijn onsalted hashes) dan hadden al die wachtwoorden niet sterk geweest in jouw redenatie...

Het gaat een beetje op, maar niet helemaal.

Door Tweakers user rawwater, dinsdag 04 december 2012 16:31

Hoi , bij deze dus een vraag. Mijn computer is gehackt door een jongen die ik vaag ken hij is heel goed met computers en ik betwijfel niet dat hij de hierbovengenoemde methodes ook op mijn computer en email accounts heeft losgelaten. Aangezien ik niet zoveel weet over de technische kant van computers nam ik dus contact op met digibewust. Zij konden mij helaas niet verder helpen> Ze verwezen mijn door naar Fox-it maar die helpt geen particulieren. Ik wil geen aangiftd doen bij de politie ik wil allleen dat mijn computer en netwerk veilig is en dat eventueel gestolen data terug krijg. Waar moet ik heen voor deze hulp ? Alvast Bedankt !

Door Tweakers user Slurpgeit, dinsdag 04 december 2012 16:31

air2 schreef op dinsdag 04 december 2012 @ 16:28:
Dit is op zich niet heel frapant. De linked in gegevens zijn niet gesalt. Dus het terughalen van een wachtwoord aan de hand van de hash is niet heel moeilijk. De sterkte van het wachtwoord doet er niet heel veel toe. Beter is voor iedere site een paar tekens in het wachtwoord anders hebben en lange wachtwoorden. Maar dat de wachtwoorden die jij nu vind, niet sterk zijn is wel een beetje te kort door de bocht.

Kijk als die linked in database plaintext wachtwoorden had bevat (en dat was BIJNA het geval, het zijn onsalted hashes) dan hadden al die wachtwoorden niet sterk geweest in jouw redenatie...

Het gaat een beetje op, maar niet helemaal.
Naja, het ligt er natuurlijk aan wat voor soort aanval je gebruikt. Bij een brute force aanval op een database met gehashte wachtwoorden (Zonder salt), is lengte natuurlijk alles. Bij gebruik van woordenlijsten is het ook nog heel belangrijk dat je lange wachtwoord niet in één of andere variatie terug te vinden is op die woordenlijst.

Daarnaast, vaak worden bij gelekte databases ook gewoon netjes de salt's gepost, omdat ze vaak (Niet altijd) in dezelfde database aanwezig zijn.

[Reactie gewijzigd op dinsdag 04 december 2012 16:36]


Door Tweakers user air2, dinsdag 04 december 2012 16:54

Slurpgeit schreef op dinsdag 04 december 2012 @ 16:31:
[...]


Naja, het ligt er natuurlijk aan wat voor soort aanval je gebruikt. Bij een brute force aanval op een database met gehashte wachtwoorden (Zonder salt), is lengte natuurlijk alles. Bij gebruik van woordenlijsten is het ook nog heel belangrijk dat je lange wachtwoord niet in één of andere variatie terug te vinden is op die woordenlijst.

Daarnaast, vaak worden bij gelekte databases ook gewoon netjes de salt's gepost, omdat ze vaak (Niet altijd) in dezelfde database aanwezig zijn.
Daarom ook lijkt het me beter om per site een apart wachtwoord te hebben (al wijkt het maar aan paar tekens af (b.v. in het midden de eerste 3 tekens van de url zonder www).
Maar dat een wachtwoord met 11 tekens snel terug te vinden is vanuit de hash, tja, betekend het dat het wachtwoord ansich zwak is? Ik denk het niet. Gebruik je dat wachtwoord op 100 sites? Tja dan ben je wel zwak bezig, 1 gehackte site en je bent genadeloos jan met de korte achternaam.

Door Tweakers user Slurpgeit, dinsdag 04 december 2012 17:08

air2 schreef op dinsdag 04 december 2012 @ 16:54:
[...]


Daarom ook lijkt het me beter om per site een apart wachtwoord te hebben (al wijkt het maar aan paar tekens af (b.v. in het midden de eerste 3 tekens van de url zonder www).
Maar dat een wachtwoord met 11 tekens snel terug te vinden is vanuit de hash, tja, betekend het dat het wachtwoord ansich zwak is? Ik denk het niet. Gebruik je dat wachtwoord op 100 sites? Tja dan ben je wel zwak bezig, 1 gehackte site en je bent genadeloos jan met de korte achternaam.
Nee, klopt. Echt zwak niet. Maar ik zou hem ook niet gebruiken voor belangrijke dingen als DigiD. Overigens sla je wel een spijkertje hier, want het aller, aller, aller belangrijkste is natuurlijk gewoon om verschillende wachtwoorden te hebben.

Door Tweakers user Slurpgeit, dinsdag 04 december 2012 17:16

rawwater schreef op dinsdag 04 december 2012 @ 16:31:
Hoi , bij deze dus een vraag. Mijn computer is gehackt door een jongen die ik vaag ken hij is heel goed met computers en ik betwijfel niet dat hij de hierbovengenoemde methodes ook op mijn computer en email accounts heeft losgelaten. Aangezien ik niet zoveel weet over de technische kant van computers nam ik dus contact op met digibewust. Zij konden mij helaas niet verder helpen> Ze verwezen mijn door naar Fox-it maar die helpt geen particulieren. Ik wil geen aangiftd doen bij de politie ik wil allleen dat mijn computer en netwerk veilig is en dat eventueel gestolen data terug krijg. Waar moet ik heen voor deze hulp ? Alvast Bedankt !
Ik zou zeggen maak een topic aan op het forum, of stuur even een DM-metje.

Door Tweakers user Gomez12, dinsdag 04 december 2012 22:32

Je maakt 1 vergissing, je hebt nog niet 1 wachtwoord gericht gekraakt.

Die voorspelling qua tijd gaat over het gericht kraken van een wachtwoord, niet over lucky treffers.

Naast dat wordlists etc niet meegenomen zullen worden in die voorspelling (een goede wordlist bevat relatief weinig woorden namelijk, maar meer vaak gebruikte basis-wachtwoorden)
Een wachtwoord als QwerTy!2 zal met puur oplopend brute force giga-lang duren, maar met een willekeurige wordlist is het nog maar <100 ms

Terwijl hij toch voldoet aan de basisregels van de kunst.

Oftewel aan de regels achter de site valt wel wat af te dingen, maar aan jouw manier ook.

Door Tweakers user Slurpgeit, dinsdag 04 december 2012 22:37

Gomez12 schreef op dinsdag 04 december 2012 @ 22:32:
Je maakt 1 vergissing, je hebt nog niet 1 wachtwoord gericht gekraakt.

Die voorspelling qua tijd gaat over het gericht kraken van een wachtwoord, niet over lucky treffers.

Naast dat wordlists etc niet meegenomen zullen worden in die voorspelling (een goede wordlist bevat relatief weinig woorden namelijk, maar meer vaak gebruikte basis-wachtwoorden)
Een wachtwoord als QwerTy!2 zal met puur oplopend brute force giga-lang duren, maar met een willekeurige wordlist is het nog maar <100 ms

Terwijl hij toch voldoet aan de basisregels van de kunst.

Oftewel aan de regels achter de site valt wel wat af te dingen, maar aan jouw manier ook.
Het hele punt is juist dat de site puur en alleen uit gaat van brute force aanvallen, terwijl de meeste aanvallers daar geen tijd aan zullen verspillen. Daarom is zonder enige nuance melden dat een wachtwoord met een lengte van x karakters, met y karakteristieken z tijd duurt om te kraken nogal gedurfd.

Overigens, is QwerTy!2 (afhankelijk van het type hash) relatief snel te kraken met een brute force aanval :).

Door Tweakers user Gomez12, dinsdag 04 december 2012 23:05

Maar met iets anders als brute-force is het eigenlijk gewoon een crap-shoot qua tijd.
Wordt jouw wachtwoord simpelweg als 1e getest dan is ook een 512 bytes wachtwoord zwak.

En hoezo is het type hash relevant voor een pure brute force? Die snap ik even niet.
Rainbow tables / hash prediction etc etc versta ik dan dus allemaal niet onder pure brute force.
Onder pure brute force versta ik : a - b - aa - ab etc. Dat is namelijk zo ongeveer de enige methode waarop simpele tijdsgaranties zijn af te geven.

En relatief gezien zullen de verhoudingen qua tijd wel kloppen.

Een 1 karakter wachtwoord is met brute force direct gekraakt, maar met wordlists en permutaties ook direct.
Een 40 karakter wachtwoord duurt met brute force een eeuwigheid, maar ook met permutaties kost 40 karakters permuteren simpelweg meer tijd als 1 karakter permuteren.

Door Tweakers user Slurpgeit, dinsdag 04 december 2012 23:09

Gomez12 schreef op dinsdag 04 december 2012 @ 23:05:

En hoezo is het type hash relevant voor een pure brute force? Die snap ik even niet.
Rainbow tables / hash prediction etc etc versta ik dan dus allemaal niet onder pure brute force.
Simpel, het MD5 algoritme is veel sneller dan het sha512crypt algoritme. Zeker bij gebruik van OpenCL / CUDA zit er onwijs veel verschil tussen de verschillende types. Daar komen geen rainbow tables of wat dan ook bij kijken. Kijk voor de grap eens hier: http://hashcat.net/oclhashcat-lite/ . Onder het kopje performance staat een hele tabel met de snelheidsverschillen.

Ohja, om alle wachtwoorden van 8 karakters met uppercase, lowercase, numbers en special chars te hashen naar MD5, heeft mijn game-pc 15 dagen nodig.

Door Tweakers user Centropy, woensdag 05 december 2012 04:33

Ik zeg alleen heel easy met klem... We want more !!!

Door Tweakers user Rafe, woensdag 05 december 2012 10:20

Aanvullend op de reactie van Slurpgeit hierboven: uit het onderzoek dat Tweakers op hun eigen database verricht bleek dat met verschillende woordenlijsten en permutaties de helft van de 330.000 wachtwoorden te kraken was binnen 17 minuten tijd... Door uit te gaan van alleen brute force-aanvallen negeert Digibewust de bittere realiteit en geven ze een gevoel van schijnveiligheid met die site van ze.

Door Tweakers user DaSuperGrover, woensdag 05 december 2012 10:45

Rofl over je P.S. :)

Leuk stuk, ga kritisch mijn passwords checken!


Door Tweakers user AlexanderB, woensdag 05 december 2012 12:26

painkill schreef op dinsdag 04 december 2012 @ 02:26:
Is het niet dom om je wachtwoord te gaan te testen op een site?
Een groot percentage mensen is uniek door de browser/plugin combinatie, dus alleen op die manier zijn er al veel wachtwoorden te achterhalen. Maar misschien denk ik ook weer te ver :)
Dat idee had ik ook, maar uit het verhaal blijkt dat je niet je wachtwoord invult, maar aangeeft waar het ongeveer uit bestaat, een woord/meerdere woorden, getallen, speciale tekens, etc..

Door Tweakers user Kayr, woensdag 05 december 2012 12:46

Leuk artikel. Het is goed om aandacht aan dit soort zaken te besteden. Door het bekritiseren van sites als digibewust worden we met z'n allen alleen maar bewuster.

Vind trouwens wel dat het eens tijd word voor een nieuwe kijk op inloggen. dus geen user/pass combinatie maar iets hips en moderners. Bovenal veilig natuurlijk.

Wonderbaarlijk wat je met een gratis tooltje en een berg hashes in zo'n korte tijd kunt bereiken.

Door Tweakers user Mr.C4, woensdag 05 december 2012 14:36

Wat vind je eigenlijk van de wachtwoorden die zulke sites generen: http://www.pctools.com/guides/password/

Door Tweakers user thomasjuuu, woensdag 05 december 2012 16:21

Geweldig, mooi artikel!

Door Tweakers user tiempjuuh, donderdag 06 december 2012 07:01

Zeer leuke blog,vdeze blijf ik volgen. Niet op twitter. Gewoon, volgen. Dat bestaat nog.

Door Tweakers user -RetroX-, donderdag 06 december 2012 12:31

Mooi stuk leesvoer! Ik zie uit naar je volgende item :)

Door Tweakers user proatjeboksem, donderdag 06 december 2012 14:39

Leuke blog!

Ik hoop trouwens dat de website in kwestie de wachtwoorden niet gebruikt om een betere wordlist.txt te bouwen :)

Door Tweakers user dualnibble, vrijdag 07 december 2012 14:22

Wat ik wel interessant vindt is dat er nog steeds grote ondernemingen zijn waarbij wachtwoordeisen redelijk stom zijn te noemen. Zoals bij Digid:
  • Het wachtwoord moet bestaan uit minimaal 8 tekens en maximaal 32 tekens
  • Bevat minimaal 1 kleine letter [a-z]
  • Bevat minimaal 1 hoofdletter [A-Z]
  • Bevat minimaal 1 cijfer [0-9]
  • Bevat minimaal 1 bijzonder teken: [ - _ ! $ % & ' . = / \ : < > | ? @ [ ] ^ ` { } ~ ] Let op: bij sommige speciale tekens zoals een apostrof ' of een circonflexe ^ moet u misschien daarna een spatie doen om het teken in uw wachtwoord te gebruiken. U kunt dit testen door uw wachtwoord in een tekstverwerkingsprogramma in te tikken ~
  • Mag niet uw gebruikersnaam bevatten
Dus als ik een wachtwoord van 45 of 64 of 120 tekens heb, dan mag dat niet, en waarom niet? Is daar een goede reden voor? Waarom MOET ik een hoofdletter gebruiken en een cijfer en een bijzonder teken. Ik begrijp de gedachte, maar het klopt niet. Zie ook de referentie naar XKCD hierboven...

Nog mooier doen ze het bij onze vrienden van Telfort (eerder Online/Orange/Wanadoo)
  • Het wachtwoord moet uit minimaal zes en maximaal acht tekens bestaan
  • Leestekens zijn niet toegestaan
  • Gebruik in ieder geval een hoofdletter en een cijfer
Jah, zo wordt je natuurlijk wel erg beperkt met het kiezen van een wachtwoord. Bovendien wordt zo het bruteforcen wel erg makkelijk met de huidige computers. Maargoed, er zijn volgens mij meer bedrijven die de zaken niet op orde hebben, dan wel... Kijk alleen al naar de hoeveelheid bedrijven die vrolijk je password in plaintext naar je toe mailen als je hem kwijt bent. (Die staan dus ook plaintext of decryptbaar op een server) Dat bedrijven niet keihard op dit soort dingen worden aangepakt is mij een raadsel.

[Reactie gewijzigd op vrijdag 07 december 2012 14:32]


Reageren is niet meer mogelijk