Kennwort bruteforcen?
Wie schwer ist es, ein Kennwort zu bruteforcen? Und wie tut man dies (Mein Google Acc wurde mal gehackt)?
4 Antworten
Nein, das machen Tools wie zB hydra für dich. Das kannst du in wenigen Minuten lernen. Allerdings werden dich viele Seiten nach 5 oder 10 Fehlversuchen für eine gewisse Zeit sperren und dann dauert das ewig bis du das PW erraten hast.
Wenn du einen Bruteforce-Angriff auf hashes in einem DB-Dump machst, dann geht das viel schneller und du hast auch kein maximales Limit für Versuche! Hier wäre zB hashcat als Tool zu nennen.
Ja und TOR und VPN aber all das macht es nicht schneller und permanent reconnecten, prüfen ob die IP wieder sauber ist und dann weitermachen bringt dir dann halt 5 Versuche alle 15-20 Sekunden und wenn ich dann die HaveIBeenPawned Wortliste mit 500 Mio Einträgen abarbeite kann ich mir ausrechnen das das 47,5 Jahre dauert.
Man kann auch die rockyou.txt nehmen die wird dann mit Ihren 14,3 Mio Einträgen in "nur" 1,3 Jahren abgearbeitet.
Die Software die das dann macht musst dir aber selber schreiben - hatte sowas mal für eines meiner Bücher angedacht und das Ding war nicht besonders lang - 50 Zeilen oder sowas.
Bedenke aber auch, dass du damit immer nur einen User-Account prüfst.
Dazu kannst dann wieder ein Botnet nehmen oder viele Einplatinencomputer, usw. aber wenn du nicht mit einem rießen Botnet daherkommst oder ein ganzes Stockwerk voller Raspberry Pi zur Verfügung hast wird das nicht in einer Sinnvollen Zeit zu machen sein.
Bedenke auch das die ganzen Rechner untereinander auch kommunizieren müssen um zu sehen welche IP "verbrannt" ist - also brauchst du auch eine DB und einen zentralen Server und auch diese Kommunikation kostet Zeit.
Wirklich performant wird das nur wenn du mit entsprechendem Gerät auffährst.
Ja, dass stimmt. Komme zwar nicht auf 15-20sec sondern geschätzt auf 5-10 und das mit mehreren Threads aber effizient ist das wirklich nicht
Darüber kann man dann streiten aber ich hab sowas mal mit TOR als Proof-Of-Concept gemacht und da wird es langsamer weil du immer öfter eine IP ziehst die noch auf der Blacklist steht. Da waren die 15-20 Sek. noch konservativ geschätzt.
Aber wenn du genug IPs im Pool hast dann kommt doppeltes und dreifaches neu anfordern einer IP weniger oft vor.
Aber was Effektivität betrifft sind wir uns ja einig. Von den 150.000 PS / Sek. die ich mit einer GTX1660 bei MD5 Hashes habe kann man da nicht mal träumen. Damit würde man viele Server allein schon in Grund und Boden DoSen!
Stumpfes Brute-Forcing ist in einem Szenario, in dem man nicht z.b. bereits die Hash-Values aus einem DB-Leak vorliegen hat, sehr zeitaufwendig.
Wenn du kein spezielles Ziel hast, dann ist eine Dictionary-Attack mit den am häufigsten verwendeten Passwörtern und einigen Varianten davon deutlich erfolgsversprechender. Hier werden, statt alle möglichen Buchstabenkombinationen durchzugehen, einfach eine Liste vordefinierter Passwörter abgearbeitet. Mit einer Liste mit um die 50.000 Passwörter deckt man schon einiges ab.
Genau darum sollte man kein Passwort nutzen, das ein einfaches Wort ist, das so auch im Duden stehen könnte. Eine Ziffer oder ein Sonderzeichen dranzuhängen hilft da auch nicht viel.
Erklärt auch, wieso mein Google Acc gehackt wurde 😂! Mein PW bestand aus einem Vor- und Nachnamen 😂😂😂!
Schwer nicht, dauert je nach Passwort und Computer aber ein paar Jahrhunderte.
Wenn das Passwort aber sehr simpel ist und sogar schon im Internet in diversen Passwort Listen gelandet ist, dann wäre es auch in paar Stunden oder Tagen geknackt.
Ganz vergessen - dein Google-Account wird eher dadurch gehackt, dass jemand eine kleine Webseite hackt und dann deine Email-Adresse und dein Passwort von da erbeutet.
Das muss er dann nur knacken mit dem besagten Bruteforce-Angriff aber nicht auf die Webseite sondern auf den geklauten Hash. Das geht dann mit zB 150.000 Versuchen / Sekunde auf meiner GTX1660 mit humanen Kosten für Hardware erstaunlich schnell.
So habe ich in ca. 2 Minuten die 14,3 Millionen Einträge in einer Wortliste namens Rockyou durch und damit dann viele tausend Passwörter von vielen tausend Usern geknackt.
Die brauche ich dann nur noch mit PayPal, Gmail, Facebook, Netflix, eBay und allen anderen Diensten abgleichen die ich brauchen könnte und schon habe ich tausende Accounts zu zig verschiedenen Diensten.
Ich will ja jetzt nichts sagen aber es gibt ja Proxys aus diesem Grund