Wie lange dauert das Hacken eines Passworts?

passwords-500x163

Einem Bericht der BusinessWeek nach dauert es mit einem Brute-Force-Angriff ungefähr 10 Minuten, bis ein Passwort mit 6 Buchstaben geknackt ist. Wer ein nur etwas längeres Passwort verwendet, hat womöglich Zehntausende von Jahren Ruhe.

Ein Wort mit 9 Buchstaben soll mit einem Brute-Force-Angriff erst in 44.530 Jahren geknackt werden. Dafür ist es aber notwendig, dass darin Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen vorkommen. In der Tabelle kann man ganz gut ablesen, welche Maßnahmen wirklich etwas bringen und welche man sich sparen kann. Einfach nur ein langes Passwort verwenden, was aber nur aus kleinen Buchstaben besteht, bringt fast nichts.

Leider stand nicht dabei, welche Rechner dafür zum Einsatz kommen. Die Zeiten vermitteln jedoch einen Eindruck, was man für ein sicheres Passwort tun muss. [Casey Chan / Andreas Donath]

[Via BusinessWeek, Neatorama]

Tags :
  1. Diese Tabelle stimmt nur wenn der Passwortknacker weiß das ein Passwort nur aus Kleinbuchstaben, etc besteht. Weil er dann dem brute-force-programm sagen kann es soll nur solche Passwörter probieren.

    Da er aber nicht weiß woraus das Passwort besteht wird er immer alle Kombinationen incl. Großbuchstaben, Zahlen und Zeichen durchlaufen lassen.

    1. Naja, das stimmt nicht ganz. Diese Zeiten geben nur an, wie lange es dauern würde „alle möglichen“ Kombinationen zu durchlaufen.

      Denn es kann natürlich auch passieren das bereits das zehnte Passwort das gesuchte ist ;)

    2. Doch,

      wenn man zum Beispiel ein 7 stelliges Passwort, welches nur aus Kleinbuchstaben besteht knacken will und man weiß das, dann braucht man ja nur 4 Stunden.
      Weiß man das nicht muss man erst ALLE 6 stelligen durchgehen und ist dann schon bei 18 Tagen, wenn man gerade anfängt die 7 stelligen zu probieren.

  2. Die Frage lautet auch was für ein oder besser gesagt wo das Passwort liegt welches bruteforced werden soll. Bei jedlichen web-logins im Net ist eine Login Sperre nach X Versuchen für X Minuten Gang und gebe. Und somit werden aus Monaten schonmal schnell mehrere Jahre.

    Lg,

  3. hinzu kommt, dass man je nach dem wofür das passwort ist (Email- oder Bankaccount) auf webseiten schon nach dreimaliger falscheingabe für ne stunde gesperrt wird. Da bin ich mir sicher, dass ich auch schon bei 6 Buchstaben lange meine ruhe haben werde ;)

  4. Die Tabelle ist aber wirklich nicht aussagekräftig.
    Weder wird da gesagt, welches System zum Einsatz kam (da man mithilfe der GPU noch wesentlich schneller knacken kann), noch welcher Hash-Algo genutzt wird (macht schon einen zeitlichen Unterschied ob es MD5 oder SHA-256 ist)..

    Und da die größeren Webseiten zusätzlich zum Passwort noch einen Salt einsetzen und ihn dann erst verschlüsseln, sollten selbst User mit Passwörtern wie 123456 sicher sein (sofern der Webseitenbetreiber seine User mag ;) ).

  5. Dieser Artikel ist Bull shit shit shit….

    sorry.

    Woher soll man wissen, dass es die etwaige menge an zeichen sind?
    Woher soll man wissen, dass es sich nur um Kleinbuchtaben o.h. handelt?

    1. Warum?

      Frage 1:

      Der Angreifer stellt doch nicht ein das,dass Programm genau nur X Lange Wörter brutforcen soll. Er stellt z.b: bis zu 64 Zeichen ein und nun geht das Programm alle möglichkeiten durch.
      Zuerst nur einen Buchstaben von a-.. , dann aa-…. und so weiter. Der Angreifer sucht nicht nach einer spezifischen Länge das Passwortes.

      Frage 2:

      Beispiel Web-Login. Der Angreifer weiß das nur groß und klein Buchstaben zulässig sind also bruteforced er genau diese.
      Ist jedoch alles möglich muss der Angreifer wenn dieser das PW wirklich bekommen will auch alle Zeichen abfragen.

  6. Diese Tabelle vergisst aber auch, dass in den nächsten Jahren die Rechner ja auch wieder sehr viel leistungsfähiger werden, so dass man das vermutlich so linear gar nicht auflisten kann.

  7. Mich erschreckt es immer wieder, dass viele Communitys, Online-Shops etc. keine Sonderzeichen und teilweise sogar nicht mal Zahlen bei den Passwörtern zulassen. Dazu kommt oft noch, dass die Länge der Passwörter auf ein Maximum von z.B. 8 Stellen beschränkt ist. Ich verwende standardmäßig mittlerweile 15stellige Passwörter mit Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen wenn dies möglich ist.

  8. Zusätzlich läßt die Tabelle natürlich außer Acht das oftmals nicht ein Rechner zum knacken benutzt wird, sondern man dies auch auf mehrere Rechner verteilen kann, im worst-case ein ganzes Zombie-Netzwerk, dann gehen die Zeiten natürlich dramatisch runter.

    Aber ich denke die Tabelle soll nur illustrieren welch gewaltigen Unterschied ein schlechtes bzw. ein gutes Passwort machen kann.

    Noch schlimmer wird es natürlich wenn man einfach Worte oder Namen benutzt, die lassen sich dann in einem Bruchteil der Zeit mit einem sogenannten Wörterbuchangriff knacken.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising