Re: Sicherheit von Unix Passworten (was Re: LDAP-Zugriffsrechte)

To: debian-user-german@lists.debian.org
Subject: Re: Sicherheit von Unix Passworten (was Re: LDAP-Zugriffsrechte)
From: Joerg Friedrich <Joerg.Dieter.Friedrich@uni-konstanz.de>
Date: Wed, 14 Apr 2004 13:15:14 +0200
Message-id: <[🔎] 20040414111514.GD19984@hitchhiker.rz.uni-konstanz.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20040414091222.GC2657@glorybox.de>
References: <[🔎] 20040413102629.2946f1bf.Christoph.Pleger@uni-dortmund.de> <[🔎] 20040413154038.GD2911@morpheus> <[🔎] E1BDSaT-0006Jp-Aw@ds9.argh.org> <[🔎] 20040413201443.GA10470@morpheus> <[🔎] E1BDW56-0007fr-QL@ds9.argh.org> <[🔎] c5iol4$hj9$06$1@news.t-online.com> <[🔎] 20040414091222.GC2657@glorybox.de>

Kai Weber schrieb am Mittwoch, 14. April 2004 um 11:12:22 +0200:
> * Peter Blancke <blancke@gmx.de>:
> 
> > > Ein P4-2400 knackt ein 8 stelliges Passwort (MD5) in knapp 3 Tagen.
> > 
> > Na na na, nun mal nicht so vereinfachen.
> > 
> > Ich habe john und Konsorten schon wochenlang auf gut gewaehlte
> > Passwoerter losgelassen und der Rechner hatte ausgezeichnete
> > Performance.
> > 
> > Respektive Sonderzeichen in Passwoertern, die vom Alphabet
> > abweichen, sind nach wie vor prima Hindernisse fuer die
> > Crackprogramme.
> 
> Zur Sicherheit der Passwörter:
> http://security.sdsc.edu/publications/teracrack.pdf
> 

Hast Du das wirklich gelesen? in diesem Werk geht es _nur_ um
crypt()-Hashes, bzw. Brute-Force cracken dieser.

> Mit genügend krimineller Energie und Willen sind die in Größenordnungen
> von Minuten geknackt. Und verteilte Angriffe lassen sich leicht
> konstruieren; Stichworte: Wurm, Virus.

Das wage ich stark zu bezweifeln. Weder ist das eine Sache von Minuten
noch lassen sich verteilte Angriffe leicht konstruieren.

Eine völlig andere Seite ist natürlich die Realität der gewählten
Passworte. Bei einer PW-Datei von etwa 5000 User (Realdaten) wobei 95%
nur crypt()-Hashes waren, hatte john fast 250 Passworter innerhalb von
21 Secunden, nach 1 Tag waren es knapp 1000, nach einer Woche etwa 3000.
Nach 2 Monaten (Testabbruch) waren 150 nicht geknackt.
(P4, 2,8 Ghz, Wörterbuch mit fast 4000000 einträgen)
Die nicht geknackten waren ausschließlich MD5 bzw SHA Hashes.
-- 
Jörg Friedrich

Reply to:

Follow-Ups:
- Re: Sicherheit von Unix Passworten (was Re: LDAP-Zugriffsrechte)
  - From: Michelle Konzack <linux4michelle@freenet.de>

References:
- LDAP-Zugriffsrechte
  - From: Christoph Pleger <Christoph.Pleger@uni-dortmund.de>
- Re: LDAP-Zugriffsrechte
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: LDAP-Zugriffsrechte
  - From: Sven Hartge <lists@ds9.gnuu.de>
- Re: LDAP-Zugriffsrechte
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: LDAP-Zugriffsrechte
  - From: Sven Hartge <lists@ds9.gnuu.de>
- Re: LDAP-Zugriffsrechte
  - From: Peter Blancke <blancke@gmx.de>
- Sicherheit von Unix Passworten (was Re: LDAP-Zugriffsrechte)
  - From: Kai Weber <kai.weber@glorybox.de>

Prev by Date: Re: gnomemeeting
Next by Date: Re: Webmailer / IMAP
Previous by thread: Sicherheit von Unix Passworten (was Re: LDAP-Zugriffsrechte)
Next by thread: Re: Sicherheit von Unix Passworten (was Re: LDAP-Zugriffsrechte)
Index(es):
- Date
- Thread