Wie lange braucht man aktuell, um einen Passwort 8 Zeichen Länge, mit brute force zu knacken?
7 Antworten
Theoretische Rechnung:
Erlaubte Zeichen: 72
Passwortlänge: 8
Mögliche Passwörter: 722204136308736
Cooler Rechner schafft 1 mio Passwörter pro Sekunde zu testen.
=> Rechenzeit: 722 mio Sekunden
Nimm einen Cluster von 10000 solchen Rechnern (oder bemühe dein Bot-Netz)
=> Rechenzeit: 72200 Sekunden
Das ist weniger als 1 Tag.
Wenn Du Glück hast kommt der Treffer aber schon gleich nach 1 Sekunde :)
Wenn unbegrenzt oft ohne technische Hürden probieren kann, dauert es bei einer Milliarde Versuchen pro Sekunde unterschiedlich lang, je nachdem welcher Zahlen/Zeichenraum gewählt wird.
Besteht das Passwort nur aus den Ziffern Null bis Neun, hat man nach 100 Millisekunden alle Möglichkeiten durch.
Variiert man mit Sonderzeichen, Groß- und Kleinschreibung und Zahlen (96 Auswahlmöglichkeiten) kommt man schon auf 84 Tage, um alle Möglichkeiten durchzuprobieren. Bei 12 Zeichen langen Passwörtern und 96 Eintragsmöglichkeiten sind es bei dieser Geschwindigkeit 19 Millionen Jahre. Selbst wenn man nur das Alphabet mit Groß- und Kleinschreibung verwendet, sind es schon 12.400 Jahre.
Das alles sind "bis zu"-Werte. Es kann natürlich sein, dass das erste probierte Passwort das Richtige ist.
Dazu arbeiten Passworthacker mit Passworttabellen aller bekannten Passwörter, die zuerst durchprobiert werden, nutzen bei in Hash-Werten gespeicherten Passwörtern Tabellen, die bekannte Passwörter bereits in die Hashwerte des jeweiligen Verschlüsslungsverfahrens umgesetzt haben und nur noch verglichen werden müssen.
Bei vielen veralteten Verfahren gibt es "Abkürzungen", die ein wesentlich schnelleres Knacken der Passwörter ermöglichen, z.B. wenn verwendete Zufallszahlen nicht sicher sind.
Ein paar Zeichen mehr erhöht also die Sicherheit bei Passwörtern weit mehr, als kryptische Sonderzeichen.
Die beste Methode in unserer Firma ist, dass man sich ganze Sätze merkt und nur die Anfangsbuchstaben und Sonderzeichen davon als Passwort nimmt. Das klappt erfahrungsgemäß bei allen Mitarbeitern, auch bei denen mit löchrigen Gedächtnis.
Wenns das erste ist, das man trifft, dann nur ein Bruchteil einer Millisekunde.
8 Zeichen zu je 8 bit?
65536 Kombinationen. Die sind schnell durchgerechnet.
1 Zeichen hat 8 Bit. Das sind 256 Möglichkeiten.
2 Zeichen haben 16 bit. Das sind dann schon die 65.536 Möglichkeiten.
Und da hab ich mich tatsächlich verrechnet.
8 Zeichen haben 64 bit und da sind wir dann bei 2 hoch 64 oder 4 Milliarden mal 4 Milliarden.
Da wir in der Praxis aber meistens nur die Zeichen 0-9, A-Z, a-z und ca fünf Sonderzeichen einsetzen, ist die Sache auf 67 mögliche Zeichen beschränkt, also eher zwei hoch fünf. Und dann liegen wir bei 2 hoch 40 und das ist ca 1 Billion.
Bis zu 2,6 Tage, von wann der Artikel ist weiß ich nicht genau, vermutlich 2012.
https://www.password-depot.de/know-how/brute_force_angriffe.htm
Das mit der Kombinatorik musst Du dir nochmal ansehen...
Wenn bei einem Passwort 72 Zeichen Zugelassen sind, dann hast Du 72 ^ 8 mögliche Passwörter... das sind 722204136308736 Stück