passwörter in sekunden hacken?
wie kann man passworörter in sekunden hacken gibt es ein programm und wenn ja welches? (kostenlos)
3 Antworten
Das kann jeder Passwortknacker wenn die Passwörter und eventuell auch die Schutzmechanismen Mist sind...
Schau dir dazu zB die Benchmark Datei an: https://sourceforge.net/projects/csvhashcracksuite/files/
Dazu gibt es dann zB:
John
Hashcat
Und 100 andere
Paswort...Wovon?
Ich hab mir mal den Disput hier angesehen.
Eigentlich ist es völlig egal wieviel Passwörter ein Programm testen könnte...
Wenn ich weiß wo das Passwort gespeichert ist (egal in welcher Form) , kann man per Brutforce oder über Dictionarys in angemessener Zeit große Mengen von Passwörtern vergleichen. (Vorausgesetzt man kennt den Algorithmus)
Anders sieht bei verschlüsselten Dateien oder wenn man keinen Zugriff auf das das gespeicherte Passwort(hash) hat, aus. Hier wird die Geschwindigkeit allein vom Erfolg des Zugriffs und der für jeden Versuch nötigen Zeit vorgegeben.
Eine verschlüsseltes Rar-archiv oder Datenträgerimage speichert das Passwort nicht, folglich kann man nur versuchen ob eine Entschlüsselung klappt oder nicht. Wenn der Verschlüsselungsalgorithmus unbekannt ist nutzt alles nichts.. Gleiches gilt für irgendwelche (Web)Accounts , welche jeweils einige Sekunden brauchen um einen positiven/ negativen Response zu senden.
In halbwegs vernünftigen Systemen werden Passwörter nicht gespeichert, sondern lediglich deren hash. Damit ist nichts mit "in Sekunden hacken", selbst wenn die dir vorliegen.
Brute force, und Glück haben, dass jemand ein zu schwaches Passwort verwendet, wäre dafür die Methode.
Dass nicht alle Regenbogen im salzigen Meer enden ... sicherer Hashalgorithmus und starkes Passwort sind dennoch eine Herausforderung.
"zu schwaches Passwort" in meiner Antwort hast du aber gesehen, gell?
Das war ein realer pentest. 9000 von 17000 hat nichts mit glück zu tun... Gut die haben auch noch selber geschlampt und keine salts verwendet daher wären es 9000 in 1 Minute und mich eines pro Minute.
Moderne Grafikkarten sind aber durchaus sehr schnell und selbst meine Wortliste "leaks combined" mit ca. 600 Mio. ist in absehbarer Zeit abzuarbeiten.
Diejenigen die 12stellige sichere PW nutzen sind definitiv in der Minderheit...
Statt Kommentar "Falsch! Mit schwachen Passwörtern geht das sooo schnell" hätte da genausogut stehen können: "Falsch. Mit Klartextpassworten ist knacken gar nicht nötig". Dass viele zu schwache Passwörter verwenden, ist ein Fakt. Das macht meine Antwort - die ausdrücklich zu schwache Passwörter ausschließt - nicht falsch.
Meiner Meinung nach schon da es weltfremd ist... Genauso gut kannst du ausschließen, dass Menschen Fehler machen.
Aber einigen wir uns einfach darauf, dass wir uns uneinig sind.
Sich auf Fehler zu verlassen geht nicht immer - oft muss man schon das Glück haben, dass ein anderer einen (oder mehrere) Fehler macht - diese sind ja nicht garantiert, kommen aber vor. Ähnlich wie Glück nötig ist, dass "jemand" ein zu schwaches Passwort verwendet.
Klar ist auch, je größer das Sample, desto höher die Wahrscheinlichkeit. Allerdings auch umgekehrt - je kleiner, desto geringer.
Wie gesagt - User habe oft keine Ahnung und kein Interesse an IT Sicherheit. Ich hatte in 100+ Pentests keinen Dump einer Usertabelle bei dem es nicht genug knackbare Hashes gab (sofern das erlaubt war).
Ich habe fast 15 Jahre lang Software entwickelt. Ich kenne hunderte Projekte und User zu zwingen halbwegs sichere PW zu nutzen war ein echter Kampf. Viele schaffen es unter großem Aufwand dann irgendwie sich an den Regeln vorbeizumogeln...
Das wird kaum besser bis Security Awareness Trainings und Unterricht verpflichtend werden...
Dann führ das bei einer Webseite ein und schau Mal wie viele Kunden dran scheitern. Die scheitern schon an halbwegs sicheren PW-Richtlinien.
So Lage du die Infrastruktur verwaltest ja. Wenn Kunden im Spiel sind wird das ein Desaster...
Nichts gegen Deine fachliche Kompetenz auf Deinem Gebiet. Aber Du suggeriertst einem "Unbedarften" , das man nur ein passendes Progrämmchen herunterladen muss, und schon spaziert man durch jede Sperre.😅
9000+ Accounts in 1 Minute...
Schwachsinn...
Wenn ein Account 1 Sekunde für einen Response benötigt, kann auch das beste Programm nur ein PW probieren...
Natürlich kann ich für einen Passwort-SHAxxx-Hash (mit einem passenden Programm und Hardware) in angemessener Zeit die passenden Klartextgegenstücke finden. Das hat jedoch nichts mit realen Bedingungen zu tun. Wenn ich eine Woche benötige um des betreffenden Hashwerts habhaft zu werden , addiert sich die Woche zur Programmlaufzeit.
Wenn es so einfach wäre, bräuchte es keines Phishing und anderer auf psychologischer "Gier" basierender Methoden um Passwörter abzugreifen. Wer würde sich die Mühe machen die Kopie einer Logistiker zu platzieren, wenn man einfach so 10000 Passwörter pro Sekunde probieren könnte.
Meine Pin für meine Girokarte (defakto ein Passwort) hat 4 Ziffern, "nur" 10000 Kombis und ist trotzdem relativ sicher, weil die Prüfung ein lange Responsezeit hat und ggf. verweigert wird.
Was nutzt der beste Algorithmus, wenn das Interface nicht mitspielt....
Für die Sparbüchse (3 Ziffern) meiner Enkelin brauchte ich 10 Minuten... (meine Finger sind ein mieses Interface)
Aber Du suggeriertst einem "Unbedarften" , das man nur ein passendes Progrämmchen herunterladen muss, und schon spaziert man durch jede Sperre.
Nein - sehe ich nicht so. Ich sage klipp und klar, dass man hunderte oder tausende Accounts in kürzester Zeit offenlegen kann da der Großteil der Bevölkerung sich keine Gedanken macht um IT-Sicherheit und sich auch nicht dafür interessiert.
Das ist einfach eine Tatsache - traurig aber wahr!
Es geht meiner Meinung nach um Hashknacker - andere Tools wie Hydra sind kaum praxisrelevant da sie zu langsam sind und es kaum noch Seiten gibt, die hunderttausende Loginversuche ohne Sperre dulden.
Aber klar - wenn man nicht den Hash knackt sondern Loginversuche auf einer Seite ausführt dauert das viele viel länger. Ich kann nur nicht 3 oder 4 Kapitel von einem meiner Bücher als Antwort posten.
Das hat jedoch nichts mit realen Bedingungen zu tun. Wenn ich eine Woche benötige um des betreffenden Hashwerts habhaft zu werden , addiert sich die Woche zur Programmlaufzeit.
Stimmt - nur das SQLmap das oft auch in Minuten schafft und wenn ich den Hash auch einer Zip-Datei extrahiere oder aus einem Windows-System dann dauert das nur Sekunden.
Wenn es so einfach wäre, bräuchte es keines Phishing und anderer auf psychologischer "Gier" basierender Methoden um Passwörter abzugreifen.
Klar braucht es die - immer dann wenn Seiten nicht erfolgreich mit XSS angegriffen werden können und man nicht an User Cookies kommt und wenn auch SQLi nicht klappt und man nicht an die Hashes kommt.
Außerdem gibt es diese Angriffe weil 98% der Cyberkriminellen die diese Ausführen nicht mal das Wissen hätten einen XSS und SQLi Angriff auszuführen...
Nicht böse gemeint aber ich versuche mich hier auch etwas kürzer zu fassen - ich kann hier nicht jedem eine 4000 Zeichen lange allumfassende und 10 Techniken erklärende Antwort geben. Da fehlt mir auch die Zeit für - also antworte ich so wie es meiner Meinung nach gemeint sein kann.
Etwas Googeln muss der Fragesteller dann selber schaffen. Bin ja kein Kindergärtner um die Leute an der Hand dahin zu führen wie die hinwollen.
Falsch. Schau dir die Benchmark Datei Mal an: https://sourceforge.net/projects/csvhashcracksuite/files/
Wenn man schlechte PW erlaubt dann kann ein Angreifer 9000+ Accounts in 1 Minute knacken...