[News] GPU-Power: Passwörter in wenigen Sekunden geknackt

[TweakPC Newsbot]

GPU-Power: Passwörter in wenigen Sekunden geknackt
07.06.2011 14:08 - ID 21174

Zur News: GPU-Power: Passwörter in wenigen Sekunden geknackt

Minuten statt Tage: Moderne GPUs bieten massive Rechenleistung.

Hier ist eure Meinung gefragt! Postet eure Kommentare und Fragen zu den News.

[Luebke]

nett
da muss man ja schon n halben roman als passwort verwenden, damit nicht einfach einer mit nem gtx590 sli das mal ganz nebenbei knackt

wie sicher ich denn jetzt meinen pc gegen kiddys mit fetten grakas?
krieg und frieden in kiryllischen zeichen und täglich ändern?

[poloniumium]

einfach n captcha bei jeder passworteingabe dazupacken...
warum es sich manche so schwer machen...
längere passwörter sind nichtmal n hotfix, sondern pures opium, dass du wieder ne gpu-generation ruhe hast.

[Profi Overclocker]

Jetzt wissen wir, warum in nem office PC keine potente Graka rein gehört (OnBoard reicht)

[Luebke]

captcha? beim windows login?
und ocr wird auch immer besser

[poloniumium]

also bitte, der windows-login ist ja mal sowas von "außer konkurrenz"...
einfach überall. der beliebteste anwendungszweck ist immernoch (seit mindestens 5 jahren die diese programme haufenweise erhältlich sind für den kleinen privaten) die passwortwiederherstellung für rar-dateien und andere archive.

du musst ja nur irgendeine bremse gegen das bruten einbauen, was sich erheblich von echten eingabe-versuchen unterscheidet. meinetwegen nur 10logins pro sekunde. dann zwingst du den angreifer schonmal mehrere instanzen paralell zu fahren. und wie viele man bräuchte um wieder auf die paar milliarden eingaben pro sekunde zu kommen... ho, ho, ho, jetzt geht ihm schon der vram aus oder er züchtet sich andere flaschenhälse.
dann eben das klassische captcha mit logik-aufgabe und keinem zielhash oder sonstwas. natürlich ist das heute keine herausforderung mehr und nervt eher sehschwache menschen, aber wir sammeln ja gerade hürden und dafür einen statischen schlüßel mit einem dynamischen zu verrechnen ist kein schlechter ansatz.
weg nummer drei: die verschlüßelung aufwendiger gestalten. wenn jede überprüfung dutzende male länger dauert kann auch mit weniger input gefeuert werden...

der möglichkeiten sind sicher viele um nicht mehr nur 1 schlüßel auf 1 schloß zu bringen... (-> beliebig viele schlüßel die scheinbar erfolg haben, aber zu nem anderen ziel führen. das nockt das reine brüten auch aus...)

[Civilizatior]

Zitat:

Zitat von poloniumium

du musst ja nur irgendeine bremse gegen das bruten einbauen, was sich erheblich von echten eingabe-versuchen unterscheidet. meinetwegen nur 10logins pro sekunde. dann zwingst du den angreifer schonmal mehrere instanzen paralell zu fahren.

Bei einem Login zu irgendeinem Dienst ist es egal ob CPU oder GPU. Da gibt der Dienst den Takt vor und der kann wie genannt nach ein paar Fehlversuchen angepasst werden. Wenn man das richtig macht bringt parallel auch nichts

Das einzige wo die Graka Sinn macht ist es verschlüsselte Dateien zu knacken, evtl auch Daten von einem WPA2-WLAN.

[Luebke]

stimmt schon, gibt viele wege, das zu unterbinden^^
so wie bei meinem router: erster fehlversuch: 5 sekunden warten, zweiter fehlversuch: 10 sekunden warten, dritter fehlversuch: 20 sekunden warten...

[Legion of the Damned]

Zitat:

Zitat von Luebke

stimmt schon, gibt viele wege, das zu unterbinden^^
so wie bei meinem router: erster fehlversuch: 5 sekunden warten, zweiter fehlversuch: 10 sekunden warten, dritter fehlversuch: 20 sekunden warten...

Na wenn da nich einer das System verstanden hat.

Windows hats ja bei 7 eingebaut, nach 3 oder 5 Fehlversuchen gibts ein kleines Päuschen wo man dann den blauen Kreisel beobachten kann.

[poloniumium]

Zitat:

Zitat von Civilizatior

Das einzige wo die Graka Sinn macht ist es verschlüsselte Dateien zu knacken, evtl auch Daten von einem WPA2-WLAN.

was heißt "eventuell"?
wenn man natürlich geschichten hat, wo nur mitgeschnittener verkehr anhand eines schlüßels nachvollzogen werden muss, uh ja, das ist schon wieder recht nah am entziffern eines .rars.

das sicherste wäre natürlich sich darauf zu einigen, dass keine schnelleren gpus mehr entwickelt werden und auch die clusterforschung aufhöhrt. alternativ gibts ja nurnoch die kriminalisierung des nutzens der cuda und stream-schnittstellen...

[Luebke]

...oder open cl

[Civilizatior]

Zitat:

Zitat von Luebke

...oder open cl

cloud, botnetze, folding@home, ... könnte ne längere Liste werden

[Izibaar]

Eine Wartezeit einzuführen bringt leider auch nicht so viel wie man denkt. Dann kann man nämlich ganz einfach den Zugriff blockieren. Und das bringt dem Nutzer schließlich auch nichts mehr.

[noxit]

Zitat:

Zitat von Izibaar

Eine Wartezeit einzuführen bringt leider auch nicht so viel wie man denkt. Dann kann man nämlich ganz einfach den Zugriff blockieren. Und das bringt dem Nutzer schließlich auch nichts mehr.

Intelligente Implementierungen sind immer im Vorteil:

z.B.: drei Fehleingaben - Account drei Stunden gesperrt; dann wieder drei Fehleingaben frei usw. usf.

Damit dürfte wohl jeder Angriff in den Timeout laufen; und nach spätestens einem Tag komme ich wieder an meinen Account.

[Luebke]

wobei sowas durch eine generelle entschlüsselung des systems zu umgehen wäre, sprich man verschafft sich generellen zugang ohne das passwort zu benötigen. extrem rechenintensiv, aber genau darum gehts ja hier

bei RAR ist leider nichts mit millionen operationen pro sekunde.

mit 460 GTX GPU und i7 2600K packt der "Access RAR" passwordknacker (löhnware version des im artikel genannten programms) gerade mal ~5000 passwörter pro sekunde (brute force).

dabei ist die GPU auf 100% und alle cores werden zu 100% ausgelastet.

9 zeichen langes passwort mit sonderzeichen... vergiss es.

minimallänge auf 4 und maximallänge auf 9 eingestellt = ~288000 jahre.

40.938.441.883.710.000 möglichkeiten.....

[poloniumium]

jetzt zeichnen wir mal eine kurve wie sich die shader-anzahl auf einer grafikkarte in den letzten zehn jahren entwickelt hat...
joa, du kommst besser weck, wenn du das archiv noch für 5-6 jahre wegheftest und es nicht mit ner einfachen gtx460 (egal ob die große oder kleinere version) probierst.

so ein artikel ist imho effekthascherei.

jeder der auch nur ein RAR knacken will das er im internet gefunden hat wird frustriert aufgeben. für sowas lohnt der aufwand einfach nicht.

die milliarden versuche pro sekunde sind sowas von hinfällig wenn es um richtige verschlüsselung geht.

wie man sieht werden aus milliarden ops schnell mal ein paar tausend.
was den zeitaufand um den selben faktor anwachsen lässt....

[Luebke]

und wenn du so dringend an die daten willst, nimmste dir n brett mit 7 x pci-e 16x und bestückst es komplett mit gtx590 oder hd6990. dann biste "schon" in 9000 jahren durch

aber vor einiger zeit wurden mal in einem land (weis grad nicht welches) mittels gpu hochsensible festplatten in nur zwei wochen entschlüsselt. ich meine mich dunkel erinnern zu können, dass damals zwei gtx295 zum einsatz gekommen wären... angeblich wäre die gleiche prozedur kurz zuvor nur mit cpus machbar gewesen und da hätte man in dem konkreten fall mehrere jahre dafür benötigt.
mittlerweile ist ein gtx295 sli ja sowas von überholt

[poloniumium]

nein, so wird schon decryptographiert ehe es die gtx295 gab.
klingt schon interessant welcher mittelalterliche despot sich damit gerühmt haben soll...
es ist immer eine frage des setups. wenn man zum beispiel wirklich sonderzeichen in einem passwort vermutet muss man ja paralell auch von allen bekannten zeichensätzen ausgehen. wenn man den pool der variablen hierrüber künstlich pusht reduziert sich die zahl der nötigen stellen auch sehr schnell um zu zeigen "das setup hat keinen praxisbezug mehr"...

hätten sie mal RAR genommen.

für einige verschlüsselungen und passwort geschütze dateien bringt es ja wirklich was.
einige sind numal schneller zu knacken als andere.

aber so wie im artikel getestet wurde ... so einfach ist es nun doch nicht.

[JokA4LifE]

Zitat:

Zitat von noxit

Intelligente Implementierungen sind immer im Vorteil:

z.B.: drei Fehleingaben - Account drei Stunden gesperrt; dann wieder drei Fehleingaben frei usw. usf.

Damit dürfte wohl jeder Angriff in den Timeout laufen; und nach spätestens einem Tag komme ich wieder an meinen Account.

kannst doch knicken, und selbst wenn ich mein PW jeden Tag wechsle und genau auf das gewechselt hab was der Angriff grad gebraucht hab, passt schon

Glück wäre es wenn du bei nem Angriff genau auf nen PW wechselst welches er schon getestet hat, denn dann würde man nichts mehr finden

Bei Rar Dateien natürlich eher unwarscheinlich - wenn ichs hab hab ichs, und der sender kanns pw nimmer ändern.

greetz

Es geht doch gar nicht um das eigentliche knacken des Passworts in diesen Artikel. Das man das schnell verhindern kann, sollte mitlerweile jeden klar sein.

Es geht doch nur darum, zu zeigen, wie Leistungsfähig aktuelle Mittelklassegrafikkarten in einfachen Operationen sind.

[DarkManXP]

Wie ist denn eine Graka fürs Passwort knacken verantwortlich? :O

Also das wusste ich jetzt ned

[Killerpixel]

Die letzten zwei Jahr ein ner IT-Höhle gelebt?

GPGPU ist das Zauberwort.