In der Cybersicherheitslandschaft bleibt die Auswahl und Erstellung sicherer Passwörter ein Grundpfeiler. Eine Welt komplett passwortlos ist noch Zukunftsmusik: Passkeys selbst haben Nachteile, die nicht ignoriert werden können. Heute ist daher die Einstellung von starke Passwörterweniger anfällig für Angriffe rohe Gewalt. Passwörter knacken Tatsächlich ist es im Jahr 2024 sogar noch einfacher geworden, vor allem dank der enormen Rechenressourcen, auf die unbefugte Benutzer und Cyberkriminelle zugreifen können, um die Anmeldeinformationen anderer Personen zu stehlen.
Der schwache Passwörter Ihnen mangelt es an Komplexität und Länge. Dadurch sind sie durch automatisierte Angriffe leicht zu erraten oder zu entdecken (rohe Gewalt). Diese Angriffsversuche bestehen darin, immer wieder alle möglichen Zeichenkombinationen auszuprobieren, bis das richtige Passwort gefunden ist.
Was sind die Merkmale eines schwachen Passworts?
Die kürzesten Passwörter sind bei weitem am einfachsten zu knacken: die begrenzte Anzahl Kombinationen dass ein Angreifer es versuchen muss, macht ihn zu einer leichten Beute für diejenigen, die Angriffe ausführen rohe Gewalt. Darüber hinaus sind Passwörter, die nur aus Kleinbuchstaben oder Zahlen bestehen, leichter zu erraten als solche, die eine Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
Ebenso basieren Passwörter auf häufig verwendete WörterB. Namen, Geburtsdaten oder andere leicht zugängliche Informationen, sind wesentlich einfacher zu hacken. Sequenzen (Muster) Vorhersehbare wie „123456“ oder „Passwort“ sind die ersten, die von Angreifern getestet werden.
Denn die Wahl eines starken Passwortes und die gleichzeitige Aktivierung der Zwei-Faktor-Authentifizierung stellen die bessere Verteidigung Um uns vor Angriffen zu schützen, wollen wir sehen, wie bald – im Jahr 2024 – ein Angreifer jedes vom Benutzer festgelegte Passwort zurückverfolgen kann.
Knacken Sie Passwörter, indem Sie ausgehend vom Hash zur Klartextversion zurückkehren
Hoffentlich speichern die Server der Online-Dienste, die Sie täglich nutzen, Benutzerkennwörter sicher. Das heißt, sie verwenden eins Die Funktion von Hashing Dadurch wird das Passwort in eine verschlüsselte Version umgewandelt, die sich völlig vom ursprünglichen Passwort unterscheidet. L’Hash Es funktioniert auf eine Weise: Es ist keine invertierbare Funktion. Mit anderen Worten, solange der Algorithmus Hashing Die verwendete Software ist eigensicher und kann von einem Angreifer nicht zurückverfolgt werden klares Passwort ausgehend von seinem Hash.
In einem anderen Artikel haben wir gesehen, was ein Passwort-Hash ist und warum er wichtig ist.
Versuchen Sie es zum Beispiel in Windows 10 oder in Windows 11um die Tastenkombination zu drücken Windows+X also zu wählen Windows PowerShell oder Terminal. Im Fenster Power Shell Fügen Sie den folgenden Code ein und drücken Sie die Eingabetaste:
$password = Read-Host -Prompt "Inserisci la password" -AsSecureString; $hash = [System.BitConverter]::ToString((New-Object System.Security.Cryptography.SHA256Managed).ComputeHash([System.Text.Encoding]::UTF8.GetBytes(([System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($password)))))) -replace '-', ''; Write-Host "L'hash SHA-256 della password è: $hash"
Nachdem Sie ein beliebiges Passwort eingegeben haben, erhalten Sie den entsprechenden Hash, der in diesem Fall mithilfe von generiert wirdSHA-256-Algorithmus. Zum Beispiel Schreiben password1234werden Sie sehen, dass der zurückgegebene Hash wie folgt aussieht:
B9C950640E1B3740E98ACB93E669C65766F6670DD1609BA91FF41052BA48C6F3
Für Passwörter knackenAngreifer erstellen in der Regel eine Liste aller möglichen Zeichenkombinationen, die von Benutzern verwendet werden, und generieren für jede davon den entsprechenden Hash. Suche nach Passwörtern, die übereinstimmen gehashtgenesen zum Beispiel nach a IT-Unfall (also von den Servern des Betreibers eines bestimmten Online-Dienstes) und der Liste der generierten Hashes ist es möglich, das vom Opfer-Benutzer festgelegte Klarpasswort zurückzuverfolgen.
Die Rolle von Grafikkarten beim Knacken von Passwörtern
Das Generieren der möglichen Kombinationen eines Passworts (unter Berücksichtigung von Parametern wie Länge und Art der verwendeten Zeichen) ist mit jedem Gerät möglich, geht aber viel schneller, wenn Sie ein verwenden leistungsstarke Grafikkarte.
Hashcat Es ist ein sehr leistungsfähiges und weit verbreitetes Tool zum Knacken von Passwörtern. Es unterstützt eine Vielzahl von Hashing-Algorithmen und kann zur Durchführung von Brute-Force-Angriffen verwendet werden (rohe Gewalt) oder andere Arten von Angriffen, um zu versuchen, die ursprünglichen Passwörter aus einem bestimmten Hash zu erhalten.
Hier kombinieren wir eins GPU-Akkuheute auch leicht über die wichtigsten Cloud-Plattformen zugänglich (es ist nicht notwendig, erhebliche Geldbeträge zu investieren, um leistungsstarke Konfigurationen lokal einzurichten…), die Arbeit von Passwort knacken es ist viel schlanker geworden als in der Vergangenheit. Daraus ergibt sich die naheliegende Beobachtung einmal „starke“ Passwörter Aufgrund ihrer Eigenschaften sind sie heute nicht mehr ausreichend sicher.
Die von Hive Systems veröffentlichte Tabelle (oben wiedergegeben) sagt mehr als tausend Worte. Wenn die NIST-Empfehlungen immer noch als selbstverständlich angesehen würden (Nationales Institut für Standards und Technologie) aus dem Jahr 2017, das die Verwendung von Passwörtern mit einer Länge von mindestens 8 Zeichen befürwortete, befanden wir uns heute immer im obersten Teil der Tabelle (lila und rote Farben). Der Passwort knacken In jedem Fall wäre es augenblicklich oder in jedem Fall wären die Zeiten kurz, wenn höchstens eine Konfiguration verwendet würde, die auf einer Batterie basiert 12 NVIDIA RTX 4090-GPUs.
Sind Ihre Passwörter grün?
In diesem Fall haben Ökologie und ökologische Nachhaltigkeit nichts damit zu tun. Die Experten von Bienenstocksysteme Fordern Sie die Benutzer auf, sicherzustellen, dass ihre Passwort sind grünalso im unteren rechten Teil der oben wiedergegebenen Tabelle.
Ein wichtiger Aspekt ist, dass die Techniker von Bienenstocksysteme Sie gehen davon aus, dass der Hash des zu knackenden Passworts das Ergebnis eines ist effektiver Hashing-Algorithmus es ist sicher. Wir wissen, dass beispielsweise MD5 schon lange keine Garantien mehr in puncto Sicherheit gibt und Google 2017 auch SHA-1 für unsicher erklärt hat.
DER mal Die zum Knacken von Passwörtern ausgehend von einem in der Tabelle ausgedrückten Hash erforderlichen Informationen finden Sie in der Verwendung von bcryptein Hashing-Algorithmus, der resistent gegen Brute-Force-Versuche und sogenannte „Wörterbuchangriffe„. Wenn man also davon ausgeht, dass das Knacken eines Passworts mit bcrypt schnell oder eher schnell geht, können die Angriffszeiten mit „schwachen“ Algorithmen deutlich kürzer ausfallen.
Für sicher seinVergleichen Sie die Anzahl der Zeichen, die das Passwort auszeichnen (erste Spalte links), mit seinen Merkmalen (Kombinationen aus Buchstaben, Zahlen und Sonderzeichen) und ziehen Sie dann Ihre Schlussfolgerungen.
Quelle des Eröffnungsbildes: iStock.com – Kumpel
