“Rekorde im Passwort-Knacken durch Riesen-GPU-Cluster” (heise.de)
Jeremi Gosney präsentierte (PDF-Datei) auf der Konferenz Passwords^12 seinen GPU-Cluster, mit dem es ihm gelang, 180 Milliarden MD5-Hashes pro Sekunde zu prüfen.
Mit den “180 Milliarden MD5-Hashes pro Sekunde” und hashcat (hashcat.net) habe ich mich noch einmal beschäftigt.
Brute-Force
Das MD5-Rechenmonster braucht für das Finden eines 10 Zeichen langen Passwortes, welches nur aus Ziffern besteht, maximal 0,06 Sekunden. Werden zusätzlich auch Kleinbuchstaben ohne Sonderzeichen verwendet, dann wird nach maximal etwas mehr als 5½ Stunden das Passwort gefunden. Und wenn auch Großbuchstaben verwendet werden, dann braucht das Rechenmonster rund 54 Tage um fündig zu werden.
10 Zeichen lang:
0-9 => 10 Milliarden Kombinationen => 0,06 Sekunden
0-9, a-z => 3,656 Billiarden Kombinationen => 5½ Stunden
0-9, a-z, A-Z => 839,3 Billiarden Kombinationen => 54 Tage
Mit der brachialen Gewalt des GPU-Clusters findet man jedes Passwort, was aber bei einem 16 Zeichen langen Passwort (0-9, a-z, A-Z) schon mal 8,4 Mrd. Jahre dauern kann. (Alter des Universums: ca. 13,75 Mrd. Jahre)
Ich habe mein Äpfelchen, welches nicht zum MD5-Cracken geeignet ist, die folgenden Hashes prüfen lassen:
915af6ed1576fe6451804c1b8775a17a => 1 Minute
e5837b7157a59330e33f8e1b511508af => 5 Minuten
27bf0ad90179b423b7ec895f1b7d8055 => 8 Minuten 30 Sekunden
2a40307b6727b06ece288066004f32d6 => 15 Minuten
Die Zeiten sind eher peinlich, auch weil ich hashcat nur unter Windows 7 (Parallels) laufen ließ, was nur die CPU nutzt und keine Grafikkarte deren GPU eine deutliche Geschwindigkeitserhöhung bringen würde. Aber rein zum testen von hashcat war dies trotzdem interessant. Nur durch schummeln, wobei ich hashcat die Länge des zu findenden Passworts und deren Zeichenbereich (Ziffern, Buchstaben und Sonderzeichen) vorgesagt habe, konnten die noch annehmbaren Zeiten erreicht werden. Da ich also per Brute-Force (noch <g>) nicht wirklich sinnvoll weiter komme, habe ich mir Wörterlisten angeschaut.
Wörterbuchangriff
Wer keine 8 Mrd. Jahre Zeit hat oder wo das Passwort doch länger ist oder auch Sonderzeichen beinhaltet, da helfen Listen von Wörtern bzw. Passwörtern, mit denen man hashcat füttert. z71&+NkRKIF3J9 sieht als Passwort gar nicht so schlecht aus, da es aber in einer der vielen Liste zu finden ist, ist es als Passwort verbrannt und unbrauchbar. Woher die Passwörter in den Listen stammen weiß ich nicht, ich nehme an, sie wurden mit Keyloggern gewonnen. Bei der Auswahl einer thematischen Liste passend zur Website, kann die Quote der gefundenen Passworte deutlich erhöht werden.
Mein kleiner Ausflug in den Bereich der Hashcracker zeigte mir sehr deutlich, dass meine persönlich Passwortrichtlinie nicht nur meine paranoiden Wahnvorstellungen bedient. Sofern die Registrierung auf einer Website es zulässt, sieht ein Passwort von mir wie folgt aus:
@p8?H[^;4t&W2(.f<2)Uxyc{>N%wn]9+643mhD#}*T7Qe:8/kV
Zum knacken des MD5-Hashs von diesem Passwort würde das GPU-Rechenmonster ca. 5,21E+77 Jahre benötigen. :O)
Solche Passworte fallen aus dem “Strong Password Generator” von 1Password (agilebits.com) raus.
(ich kann nur hoffen, dass der zufallsmechanismus von 1password gut ist. <g>)
