X.Perry_Mental schrieb:
Gleich mal das Passwort in ne Webseite eingeben. 🤦♂️
makaay1 schrieb:
Laut der Webseite von @X.Perry_Mental braucht mein Passwort 2 Millionen Jahre, das klingt auch nicht verkehrt
Und damit änderst du es am besten gleich mal... Man gibt sein Passwort
nie irgendwo aus Langeweile ein, wo es nicht dafür vorgesehen wurde. Phishing at its best...
makaay1 schrieb:
Natürlich wird die Hardware immer besser und somit verkürzt sich die Zeit für einen Brute Force Angriff, aber wie sieht es mit der aktuellen Hardware aus?
Wenn du aktuelle Zahlen hast, rechne doch selbst.
Code:
# mögliche Kombinationen = Alphabetgröße ** Länge
13_841_287_201_000_000_000_000 = 70 ** 12
(14 Trilliarden)
# 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyzÄäÖöÜüßẞ0123456789' ** 12
# maximale Dauer in Sekunden = Kombinationen / HashesProSekunde
13_841_287_201_000_000_000_000 / 507_464_000_000 =
Sekunden 27_275_407_124,446_266_14
Minuten 454_590_118,740_771_10
Stunden 7_576_501,979_012_85
Tage 315_687,582_458_87
Jahre 864,897_486_19
Ne
RTX 4090 macht in HashCat wohl 50 Mrd Hashes pro Sekunde für SHA1.
Vergiss aber nicht: Das ist die
maximal mögliche Dauer. Der Hit kann auch beim ersten Treffer passieren oder gar beim zehnten Versuch (Phishing, Social Engineering, Keylogger, ...). Die Zahl ist aber eher theoretisch, denn eigentlich alle Passwortmanager nutzen PBKDF2. Das heißt pro Versuch wird ein Passwort ggf. 100.000 mal gehasht. Das müsstest du im praktischen Falle auch einbeziehen. Das ist übrigens ne clientseitige Einstellung,
darum musst du dich aktiv selbst kümmern. Der Anbieter kann da genau gar nichts ändern außer beim Erstellen einmal einen Default Wert setzen. Inkrementieren musst du auf Dauer selbst. Das trifft auch zu, wenn mal eine andere Ableitungsfunktion verwendet werden sollte (bcrypt, Argon2, ...). Argon2 ist bspw. auch nicht automatisch sicherer (als bcrypt), sondern nur mit Laufzeiten von
mehr als einer Sekunde. Wenn du dir die Grafik hier ansiehst, siehst du auch dass 448 2080er unter HashCat 5,89 TeraHashes/Sekunde (10**12) machen. Das verkürzt bspw. die maximale Dauer bei 12 Zeichen auf
27 Tage. Je nach Relevanz der enthaltenen Daten ist das schon deutlich lohnenswerter einfach zu bruteforcen. Bei der Rechenpower braucht es bei 30 Zeichen aber immer noch 121 Quintillionen Jahre. [1]
[1]
121_344_277_091_534_000_000_000_000_000_000
Faust2011 schrieb:
LastPass protokolliert nebenher noch
LastPass "protokolliert" gar nichts, es speichert höchstens nicht verschlüsselt ab. Laut
dieser Spezifikation sind 6 von 38 Daten verschlüsselt.
Faust2011 schrieb:
Diese Liste ist wohl auch geklaut worden und ist nicht (!) verschlüsselt.
Diese "Liste" ist keine Liste und gehört zu den Daten im Vault. Dass die URLs unverschlüsselt vorliegen ist nicht schön, allerdings auch kein Beinbruch (höchstens ein zusätzlicher Indikator). Alles steht und fällt aber mit dem Master-Passwort.
Und wer in URLs sensible Daten liegen hat, sollte statt mit dem Finger auf LastPass zu zeigen eher den Anbieter des Angebots auf die Finger klopfen. Ohne Transportverschlüsselung würden diese Daten jeder einsehen können, sie tauchen sogar plain in den Logs des Anbieters auf und somit auch in allen Backups (über Tage, Monate, ggf. Jahre, je nachdem ob und wie Logs aufgehoben werden) usw.
Was 2FA betrifft wurde es ja bereits genannt. Es interessiert nicht, wenn du die Rohdaten vorliegen hast.
