True Crypt - Brute Force Angriff Dauer?

[shadow1919]

Guten Tag,

gibt es ein Programm das errechnet wie lange ca. ein Brute Force Angriff dauert?

also ich gebe ein PW ein und das Programm errechnet automatisch wie lange es ca. dauern würde?


mfg

 

[ghostbird20]

Das kommt drauf an, es kann sein das das Passwort beim ersten versuch erraten wird oder aber beim letzten je nach dem kann es auch unterschiedlich dauern.

Nen sicheres PW ist mehr als 20 Zeichen lang und besteht aus nicht zusammenhängenden Zahlen, Buchstaben und Sonderzeichen.

Sonst ist hier noch mal nen Rechenbeispiel aus der PCWelt:

Rechenbeispiel: Ein 6-stelliges Passwort in 6,8 Sekunden
Gehen wir davon aus, dass Ihr Passwort die durchschnittliche Länge von 6 Zeichen hat und - wie oft der Fall - nur aus Kleinbuchstaben besteht. Das bedeutet, es kann aus 26 verschiedenen Zeichen bestehen, was bei 6 Zeichen Passwortlänge insgesamt 308.915.776 (also fast 309 Millionen) Kombinationen zulässt. Das hört sich zunächst nach sehr viel an, doch sind beispielsweise mit dem handelsüblichen Core 2 Quad Q6600, der auf 3 GHz übertaktet wurde, 45.423.600 Tastenanschläge pro Sekunde möglich. Schwächere CPUs mit weniger Kernen erreichen leicht immerhin die Hälfte davon. Für das 6 Zeichen lange Kennwort benötigt die Quad-CPU lediglich 6,8 Sekunden. Besteht Ihr Kennwort aber aus Klein- und Großbuchstaben und Zahlen, gibt es bei 6 Zeichen schon 56.800.235.584 Kombinationsmöglichkeiten. Um das Passwort zu knacken rechnet die Quad-CPU jetzt rund 21 Minuten. Bei 7-stelligen Passwörtern werden aus den 21 Minuten fast 22 Stunden. Für 8 Zeichen würde unsere Quad-CPU fast 2 Monate brauchen; für 10 Zeichen fast 600 Jahre. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches.

 

[Dunkelschwinge]

Hängt vom passwort ab. hier findest Du ein paar Antworten.

http://www.1pw.de/brute-force.html

 

[Flo89]

Kannst du recht einfach selbst grob berechnen.

Die maximale Dauer zum Knacken (jedes Passwort kann rein theoretisch beim ersten Mal getroffen werden) errechnet sich wie folgt:

[(Anzahl der Möglichkeiten pro Stelle)^(Anzahl der Stellen)] / (Passwortversuche pro Sekunde)


Als Beispiel:
Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen --> circa 90 Möglichkeiten
10 Stellen
Ein System, dass 500.000.000 Passwörter pro Sekunde prüfen kann (bin kein Spezialist, aber ein durchschnittliches Desktop-System schafft circa diese Menge an MD5-Checksummen)

(90^10)/500.000.000 = 69.735.688.020 Sekunden --> 2.211 Jahre

 

[funkyfunk]

Hab ne kleine Benchmarkübersicht gefunden. Ne übertaktete HD5870 schafft 3000Mio Keys/s. Dann dürfte man mit 2x HD5890 locker 8 Mrd. Keys/s schaffen (insofern unterstützt). Das würde die 2211 Jahre von Flo89 schon auf 140 Jahre verkürzen und das wäre, was sich jeder ohne Probleme zulegen könnte.
http://extreme.pcgameshardware.de/b...kkarten-bruteforce-benchmark.html#post1125203

 

[Lubber]

Sofern man 3000Mio/s an Keys testen kann.

Lässt sich das über Software nicht bewerkstelligen, oder blockt das Programm selber eine so schnelle Abfrage bleibt nur noch den Algorithmus zu knacken. Was bei 128bit AES unter "nicht zu Deinen Lebzeiten" fällt.

Daher müsste man sich eingehender mit den faktischen Möglichkeiten so schneller Passwortabfragen beschäfitgen imho.

 

[Slave.of.Pain]

Die ganzen Rechnungen von euch treffen aber nur dann zu, wenn der Hacker weiß, wieviele Zeichen eure Passwörter besitzen.


Beispiel:
Passwort besitzt 10 Zeichen. (Groß- und Kleinschreibung, Ziffern und Sonderzeichen also ca 90 Möglichkeiten)

Der Hacker fängt vielleicht mit seinem Bruteforce aber erst mit z.b. 5 Zeichen an.
=90^5+90^6+90^7+90^8+90^9+90^10

Somit werden das noch ein paar Möglichkeiten mehr.

 

[mumpel]

Wie ist das eigentlich, wenn die Möglichkeit für ein Passwort, sagen wir, 40 Zeichen sind, Groß-/Kleinschreibung + Zahlen + Sonderzeichen sind. Mein Passwort besteht aber nur aus 5 Stellen, Kleinbuchstaben und Zahlen. Dann muss die Brute Force-Attake doch auch mit 40 Zeichen, Groß-/Kleinschreibung, Zahlen, Sonderzeichen pipapo testen. Oder? Weil keiner weiß doch, dass ich nur ein 5-stelliges Passwort ohne Großschreibung und Sonderzeichen benutze.

 

[h3@d1355_h0r53]

Mit 2 aktuellen Grafikkarten braucht man da nicht anfangen. Generell ist das größere Problem die Energie bereitzustellen für den Angriff. Selbst wenn man genung Hardware hätte um das z.B. innerhalb eines Jahres zu knacken, müsste man schon ne Supernova anzapfen um die Erde und v.a. die Rechner mit so viel Strom zu versorgen....

Allerdings wird bei Brue-Force seltenst einfach alles nacheinander ausprobiert. Erfolgsversprechender sind da schon diverse Listen mit Standardpasswörtern (passw0rd, passwort, gott, liebe, username,...) oder Listen mit Wörtern aus Wörterbüchern.

10 Stellen sind bei der Verwednung von normalen Wörtern meiner Meinung nach relativ unsicher, mit Sonderzeichen auch was, was man noch irgendwie probieren könnte zu knacken. Ein kleiner Satz mit Sonderzeichen ist z.B. nicht schlecht: h3@d1355_h0r53_g1b7_4n7w0|273n_4uf_(8.|)3_! - sind schon über 40 Stellen, wobei es auch sicherlich genug Listen mit 1337-Wörtern gibt... Umso mehr Sonderzeichen und umso weniger echte Wörter desto sicherer ist das Passwort.

PS: Bei 5 Stellen könnte man sich die Verschlüsselung eigentlich auch sparen. Kommt aber auch immer darauf an, vor wem man seine Daten geschützt haben will.

 

[PEASANT KING]

http://www.1pw.de/brute-force.html

Zur Berrechnung usw

 

[Grantig]

Wenn jemand dein Passwort cracken will, wird er, wenn er nicht ganz d auf den Kopf gefallen ist, mit Rainbow Tables arbeiten, was die ganze Sache extrem beschleunigen kann.

Mehr Infos: klick, klick

 

[Flo89]

Wie ist das eigentlich, wenn die Möglichkeit für ein Passwort, sagen wir, 40 Zeichen sind, Groß-/Kleinschreibung + Zahlen + Sonderzeichen sind. Mein Passwort besteht aber nur aus 5 Stellen, Kleinbuchstaben und Zahlen. Dann muss die Brute Force-Attake doch auch mit 40 Zeichen, Groß-/Kleinschreibung, Zahlen, Sonderzeichen pipapo testen. Oder? Weil keiner weiß doch, dass ich nur ein 5-stelliges Passwort ohne Großschreibung und Sonderzeichen benutze.

Normalerweise werden bei einer Brute-Force-Attacke zuerst die einstelligen, dann die zweistelligen, usw. Passwörter versucht, somit würde das fünfstellige sehr schnell geknackt werden.

Mit 2 aktuellen Grafikkarten braucht man da nicht anfangen. Generell ist das größere Problem die Energie bereitzustellen für den Angriff. Selbst wenn man genung Hardware hätte um das z.B. innerhalb eines Jahres zu knacken, müsste man schon ne Supernova anzapfen um die Erde und v.a. die Rechner mit so viel Strom zu versorgen....

Das halte ich persönlich für Schwachsinn. Mag bei 20+ stelligen Passwörtern zutreffen, aber im Bereich um die zehn Stellen hat man mit einem "normalen" Desktop-Rechner und der richtigen Software schon gute Chancen...

 

[shadow1919]

vielen Dank an alle Antworter!! hat mir sehr weitergeholfen.

so kann man wirklich einfach selber rumrechnen.

 

[chinamaschiene]

rainbowtables helfen mit salt gar nichts. auserdem ist das passwort ja gehasht. d.h. selbst wenn man ein passwort mit einem zeichen nimmt ist das "wirkliche pw" z.b.256 bit lang. im endeffekt muss man sich also überlegen was sinnvoller ist zu bruteforcen. ich will nur sagen: ein passwort mit 100 zeichen ist z.b. überhaupt nicht sicherer als eins mit 200 zeichen. eh sei denn jemand ist so blöd und bruteforct an der falschen stelle.