Als IT Administrator bin ich immer wieder um die Netzwerksicherheit und somit auch um die Passw\u00f6rter der Benutzer besorgt und will es genau wissen. Also teste ich einmal mein pers\u00f6nliches Verfahren zur Generierung von Passw\u00f6rtern auf deren Sicherheit.<\/p>\n
Der Test-Aufbau im Detail: Ein Linux Rechner mit 400 MHz, Xeon. Ausreichend RAM und ein solides RAID. Das Tatwerkzeug: John The Ripper. Laut Benchmark schafft der Rechner gut 970 Hashes pro Sekunde, was uns durchaus reichen sollte. Ein W\u00f6rterbuch mit den g\u00e4ngigsten Passw\u00f6rtern steht ebenfalls zur Verf\u00fcgung.<\/p>\n
Als Test generiere ich 20 Benutzer mit verschiedenen Passw\u00f6rtern, mit pwgen generiert. Die Passw\u00f6rter sehen etwa so aus, als w\u00e4re eine Katze \u00fcber die Tastatur gelaufen – doch das ist so gewollt. Die L\u00e4nge der Passw\u00f6rter habe ich f\u00fcr unsere Zwecke auf 8 Zeichen beschr\u00e4nkt.<\/p>\n
Der andere Test ist ein Passwort-Dump aus dem Active Directory einer mir bekannten Firma, welche es auch wissen wollte und die Passwort-Datei freundlicherweise zur Verf\u00fcgung stellte. Alles Passw\u00f6rter, wie sie im System verwendet wurden. Ich w\u00e4hle davon zuf\u00e4llig 20 Benutzer aus um f\u00fcr unseren Test gleiche Voraussetzungen zu schaffen.<\/p>\n
Auf unserem Rechner angekommen mache ich mich als erstes an den Passwort-Dump der Firma und jage ihn durch John The Ripper. Das Ergebnis ist ern\u00fcchternd: Der erste Angriff \u00fcber das W\u00f6rterbuch knackt schon mal die H\u00e4lfte aller Passw\u00f6rter und nach 2 Stunden ist der Spuk vorbei und ich habe alle Passw\u00f6rter in unverschl\u00fcsselter Form in den H\u00e4nden.<\/p>\n
Der zweite Test ist noch immer am Laufen und besch\u00e4ftigt sich mit den zuf\u00e4llig generierten Passw\u00f6rtern:<\/p>\n
\nLoaded 20 password hashes with 20 different salts (FreeBSD MD5 [32\/32])\r\nguesses: 0 time: 16:23:00:42 c\/s: 970 trying: at6fcc<\/pre>\n<\/blockquote>\nWie hier unschwer zu erkennen ist, l\u00e4uft der Cracker schon fast 17 Tage und hat noch immer kein einziges Passwort geknackt. Was die Verwendung von Rainbow Tables betrifft, wird dies der n\u00e4chste Versuch um zu sehen, was das ausmacht. Aber davon ein Andermal…<\/p>","protected":false},"excerpt":{"rendered":"
Als IT Administrator bin ich immer wieder um die Netzwerksicherheit und somit auch um die Passw\u00f6rter der Benutzer besorgt und will es genau wissen. Also teste ich einmal mein pers\u00f6nliches Verfahren zur Generierung von Passw\u00f6rtern auf deren Sicherheit. Der Test-Aufbau im Detail: Ein Linux Rechner mit 400 MHz, Xeon. Ausreichend RAM und ein solides RAID. Das Tatwerkzeug: John […]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[439,170],"class_list":["post-820","post","type-post","status-publish","format-standard","hentry","category-it-related-stuff","tag-password","tag-security"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=820"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/820\/revisions"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}