E-Mail Account "hacken"

das Bild selbst ist noch nicht so alt, das war erst vor ein paar Wochen auf xkcd zu sehen... die enthaltenen Daten könnten natürlich älter sein...

Gerade die Kombination verschiedener Worte macht das Passwort doch erst sicher... einzelne Worte erraten geht noch relativ gut, aber je mehr es werden und je beliebiger diese kombiniert sind, wird's eben schwer -- und mehrere Wörter sind leichter zu merken als eine sehr komplexe (dafür kürzere) Passphrase, so die Msg. des Bildes
 
Oke, mit einer Zahl irgendwo ist es natürlich noch viel sicherer, aber im Alltag muss eigentlich niemand ein Passwort so wählen, dass es einer Wörterbuch-Attacke mit mehreren Kombinationen standhält. Wenn ein Wörterbuch ~100.000 Einträge hat, dann dauert die Attacke bei 2 Wörtern schon über einen Tag bei 100.000 Wörtern pro Sekunde (100.000*100.000/100.000*60*60) und bei drei Wörtern schon 317 Jahre. Und das ist schon wenn man alles klein schreibt, ohne Zahlen.

PS: Rainbow-tables sind Tabellen in denen zu Ausdrücken passende Hash-Werte eingetragen sind, so dass man von Hash zum Ausdruck kommt, was nützlich ist da Passwörter oft als Hashs gespeichert werden.

PPSS: Eine Bruteforce-Attacke (raten) bei einem 8-stelligen PW dauert wenn man von 62 Variablen ausgeht 70 Jahre (62^8/60*60*24*7*52*100000) ;)

Edit:
livebox schrieb:
Richtig - und die paar Tausend Wörter aus verschiedenen Sprachen sind noch relativ schnell abgegrast.
Zum Vergrößern anklicken....
Wenn du wirklich von ein paar Tausend Wörtern pro Wörterbuch ausgehst, na gut, man sollte auch seltene Wörter einbauen, aber ich würde annehmen dass die meisten Angreifer Wikipedia als Grundlage benutzen würden, um nichts auszulassen.
 
Zuletzt bearbeitet:
Liegt wahrscheinlich an der Uhrzeit und am Zustand... aber ich kann weder so ganz nachvollziehen was du rechnest (ansatzweise schon) noch komme ich auf deine Ergebnisse.

Aber wie auch immer - hier geht's ja nicht um einen Schwanzvergleich ;) - zum Thema Brute Force wollte ich nur noch schnell erwähnt haben, denn das ist wichtig: Da wird immer nur die Zeit ausgerechnet, die man braucht, um alle Möglichkeiten durchzuprobieren. Der Angreifer braucht zwar mehr als nur Glück, aber theoretisch ist es möglich, dass er schon nach dem ersten Versuch im System ist.

Hacking Tools haben da auch bestimmte Logiken eingebaut, sodass sie nicht einfach von A bis z laufen und dann von AA bis zz usw... Ein Bekannter von mir hat aus diesem Grund ein Passwort, das nur aus einem Buchstaben besteht. Wenn ich dran denke, in welcher Position der Kerl sitzt, wachsen mir schon wieder graue Haare... :eek: Naja, jedem das seine; solange das Arbeitsplatz-Rechner sind und nicht Server, hab ich persönlich nicht allzu viel Schaden dabei. So what.

MfG, livebox
 
Könnte man bei diesen Bruteforce attacken nicht Programme schreiben, bei denen nicht ... also ein Programm alle passwörter abgrast, sondern etwa... 300 gleichzeitig arbeiten? Dann wäre die Chance zufällig früh auf das Passwort zu stoßen doch gleich viel höher...
 
Klar. Man muss eine Funktion einbauen, über die die "arbeitenden" Programme miteinander kommunizieren, sodass nicht zwei mit den gleichen Wörtern arbeiten. Und man braucht genügend Rechner zur Ausführung. Man muss nur aufpassen, dass man dabei nicht versehentlich eine DoS-Attacke* (in dem Fall sogar DDoS) auslöst, sonst ist der zu attackiernde Server nämlich plötzlich weg vom Fenster.

Tatsächlich wird bei Angriffen verschiedenster Art gerne so gearbeitet - dass man irgendwelche Rechner hackt und dort die Angriffs-Software laufen lässt. Ob man da nun einen nimmt oder ein paar mehr... solange man sie alle halbwegs gleichzeitig steuern kann, kein Problem.


*Bei einem DoS Angriff wird das Opfer einfach mit sehr vielen Service-Anfragen gleichzeitig zugeballert, sodass der Server irgendwann wegen Überlastung abschmiert. Inzwischen können Server so etwas abwehren - wenn innerhalb einer Zeit zu viele Anfragen von einer Adresse kommen, wird die halt für 24h gesperrt. Bei DDoS benutzt man deshalb mehrere angreifende Rechner, sodass dieser Mechanismus umgangen werden kann. Haben wir vor einer Weile erst im Board gespürt: Jemand wollte einen Angriff auf einen Server fahren, der in der gleichen Rechnerfarm steht wie die Board-Server. Derjenige hat sich ein paar mangelhaft geschützte Server in der gleichen Farm gesucht und diesen einen Rechner von diesen beschießen lassen - dadurch war Farm-intern das Netzwerk überlastet und somit auch das Board lahm.


MfG, livebox
 
Jetzt innerhalb von etwa nem viertel Tag 3 fehlgeschlagene Logins... kann man eigentlich irgendwie informationen herausbekommen, von wo aus der Loginversuch unternommen wurde?
 
Hallo Fastel,

sonst ruf doch einfach mal den Kundenservice an. (links untern Service klicken, dann kommt die Technikerseite)

Viele Grüße
 
  • Gefällt mir
Reaktionen: 2 Benutzer
W
  • Gelöscht von Banjo
  • Grund: Fragwürdig, womöglich Phishing für Anfänger und Folgeposts
Banjo
  • Gelöscht von Banjo
  • Grund: Fragwürdig, womöglich Phishing für Anfänger und Folgeposts
Goti
  • Gelöscht von Banjo
  • Grund: Fragwürdig, womöglich Phishing für Anfänger und Folgeposts
Du musst dich einloggen oder registrieren, um hier zu antworten.

Quick Links

Tipps & Tricks
Fragen (FAQ)
Regeln
Board-Mitarbeiter
Unser weiteres Online-Angebot:
Bassic.de · Deejayforum.de · Sequencer.de · Clavio.de · Guitarworld.de · Recording.de

 Musiker-Board Logo
Zurück
Oben