Linearer Modus

pETe! · 18.06.2010 19:18

gandro schrieb:
chiaki schrieb: am besten googeln ob sein pass in einer md5 datenbank existiert als hash
Alles mit weniger als 10 Zeichen kriegt man mit einer Grafikkarte auch ohne Google in unter einer Nacht raus.

Ja, wenn man die Board-Datenbank hat vielleicht. Oder lässt das vB wirklich mehrere Milliarden Anmeldeversuche innerhalb weniger Stunden zu?

niwax · 18.06.2010 19:38

pETe! schrieb:
gandro schrieb:
chiaki schrieb: am besten googeln ob sein pass in einer md5 datenbank existiert als hash
Alles mit weniger als 10 Zeichen kriegt man mit einer Grafikkarte auch ohne Google in unter einer Nacht raus.
Ja, wenn man die Board-Datenbank hat vielleicht. Oder lässt das vB wirklich mehrere Milliarden Anmeldeversuche innerhalb weniger Stunden zu?

Dafür ist so ne Datenbank ja da: Angenommen, der Hash X kann für YYYYYYY oder ZZZZZZZ stehen, aber nur ZZZZZZZ ist ein sinvolles Wort. Dann muss man nur noch ZZZZZZZ ausprobieren und kann YYYYYYY auslassen, um Versuche zu sparen.

gandro · 18.06.2010 21:50

pETe! schrieb:
gandro schrieb:
chiaki schrieb: am besten googeln ob sein pass in einer md5 datenbank existiert als hash
Alles mit weniger als 10 Zeichen kriegt man mit einer Grafikkarte auch ohne Google in unter einer Nacht raus.
Ja, wenn man die Board-Datenbank hat vielleicht. Oder lässt das vB wirklich mehrere Milliarden Anmeldeversuche innerhalb weniger Stunden zu?

Das vB hat gesaltete Hashes (anders als alter Krams, wie z.B. das WBB1 (und 2 glaub ich auch noch), was pures MD5 hat.

Sehr unwahrscheinlich, dass jemand darüber die Passwörter über unsere Datenbank rekonstruiert hat. Wenn, dann aus einem anderen Forum (wobei ich nicht wüsste welches, whforum.de hatte zwar ne Lücke, aber die hat hecken gefixt, die dürfte niemand ausgenutzt haben).

thosch97 · 18.06.2010 22:08

Ich hatte mal ne vorliebe für ellenlange Passwörter, z.B. floccinaucinihilipilification
Da hab ich mich schon geärgert dass ZENWorks aufm Schulserver max. 15 Zeichen annimmt.

Ein gutes Passwort-Rezept:
Man nehme einen Satz:
Mein Wecker klingelt immer um 06:15 Uhr!
Dann die Anfangsbuchstaben:
MWkiu06:15U!
Fertig!
Dumm ist es nur, wenn man zum Beispiel die eigene Adresse nimmt. Die alte Adresse oder die Weckerzeit o.ä. geht auch.

TAL · 18.06.2010 22:25

pETe! schrieb:
gandro schrieb:
chiaki schrieb: am besten googeln ob sein pass in einer md5 datenbank existiert als hash
Alles mit weniger als 10 Zeichen kriegt man mit einer Grafikkarte auch ohne Google in unter einer Nacht raus.
Ja, wenn man die Board-Datenbank hat vielleicht. Oder lässt das vB wirklich mehrere Milliarden Anmeldeversuche innerhalb weniger Stunden zu?

5x falsches Passwort und der sperrt dich erstma.

Socke · 18.06.2010 23:47

freaked schrieb: find ich arg...mein altes pwd hatte 8 zeichen da gabs die md5sum zuhauf auf google o_o naja habn neues mit 15 zeichen jetzt....damals hätte man das nie für möglich gehalten, neee o_o b2

gaylord1

pETe! · 19.06.2010 02:50

gandro schrieb:
pETe! schrieb:
gandro schrieb:
chiaki schrieb: am besten googeln ob sein pass in einer md5 datenbank existiert als hash
Alles mit weniger als 10 Zeichen kriegt man mit einer Grafikkarte auch ohne Google in unter einer Nacht raus.
Ja, wenn man die Board-Datenbank hat vielleicht. Oder lässt das vB wirklich mehrere Milliarden Anmeldeversuche innerhalb weniger Stunden zu?
Das vB hat gesaltete Hashes (anders als alter Krams, wie z.B. das WBB1 (und 2 glaub ich auch noch), was pures MD5 hat.
Sehr unwahrscheinlich, dass jemand darüber die Passwörter über unsere Datenbank rekonstruiert hat.

Brute-Force geht immer, egal wie man etwas sichert. Darum sagte ich, dass man 10-Zeichen-Passwörter über nacht nur heraus bekommt, wenn man Zugriff auf die Datenbank bzw. den kompletten Hash hat.

thosch97 schrieb: [...]
Man nehme einen Satz:
Mein Wecker klingelt immer um 06:15 Uhr!
[...]

Gott musst du früh raus... Wohl noch kein Student...

niwax · 19.06.2010 12:01

pETe! schrieb: Brute-Force geht immer, egal wie man etwas sichert.

Ich habs vor kurzem mal durchgerechnet, als mir in der Schule langweilig war:
wenn Passwörter 1-50 Zeichen lang sein dürfen und von ASCII-32 bis 128 gehen, dann schafft ein Computer, bei dem das Verhältnis Computergröße zu Erde-Alpha Centauri so groß ist wie das Verhältnis Karlsruhe-München zu 1 Millimeter. Dieser Computer würde es schaffen in der 20fachen Zeit, die das Universum gebraucht hat zu enstehen, schaffen, alle Passwörter durchzuprobieren, Netzwerkzugriffszeiten mit eingerechnet. Wenn man dann noch 15 Minuten Pause nach jedem 5-ten Passwort einrechnet, wird es fast unberechenbar. Es ist also theoretisch möglich, dauert aber etwas zu lange für die Praxis.

**Spit** · 19.06.2010 12:06

was posten alle ihre alten passwörter hier
solche idioten

pETe! · 19.06.2010 12:07

niwax schrieb:
pETe! schrieb: Brute-Force geht immer, egal wie man etwas sichert.
Ich habs vor kurzem mal durchgerechnet, als mir in der Schule langweilig war:
wenn Passwörter 1-50 Zeichen lang sein dürfen und von ASCII-32 bis 128 gehen, dann schafft ein Computer, bei dem das Verhältnis Computergröße zu Erde-Alpha Centauri so groß ist wie das Verhältnis Karlsruhe-München zu 1 Millimeter. Dieser Computer würde es schaffen in der 20fachen Zeit, die das Universum gebraucht hat zu enstehen, schaffen, alle Passwörter durchzuprobieren, Netzwerkzugriffszeiten mit eingerechnet. Wenn man dann noch 15 Minuten Pause nach jedem 5-ten Passwort einrechnet, wird es fast unberechenbar. Es ist also theoretisch möglich, dauert aber etwas zu lange für die Praxis.

Leider am Thema vorbei, es ging hier darum, höchstens zehn Zeichen lange Passwörter zu knacken unter Zurhilfenahme von GPGPU-Techniken.