? Danskene tenker gammeldags

[007CD]

Når passordene begynner å bli lange så faller standard brute force av lasset, selv om brute forcing med GPU (Les ATi GPUer er kløppere på å knekke passord, ATi 5750 kan holde følge med den råeste Teslaen på dette feltet) har begynt å komme så kan dette svares med lengde, hvor da neste steg er å bruke dictionary angrep da med ord hektet sammen for å lage en setning og med litt obfuscation (0 istedet for O osv) men uansett, litt triksing her så slipper du unna om du da slenger på noe som ikke står i en ordbok, for eksempel ditt eget oppfunnet verb eller noe.

Selv med en GPU eller ett array av gamle bitcoin rigger (Hash crackere deluxe) så tar dette ALT for lang tid.

[Terrasque]

hvor da neste steg er å bruke dictionary angrep da med ord hektet sammen for å lage en setning

 

Det dulter litt bort i samme problemene. Ska vi se.. Har en ordliste med 98k ord her.

 

Med 10G MD5 hash'er per sekund, vil det ta..

 

>>> (98000**4) / (100000000000 * 3600 * 24 * 7 * 52)
29L

 

~29 år å knekke. Med et par hundre slike bokser, og/eller spesiallaget hardware, kan man knekke et slikt passord på noen måneder.

 

Med samme ordliste, og 5 ord:

 

>>> (98000**5) / (100000000000 * 3600 * 24 * 7 * 52)
2874188L

 

Ganske mange år.

 

Med 5000 ords liste, og utvidet til 6 ord:

 

>>> (5000**6) / (100000000000 * 3600 * 24 * 7 * 52)
4968L

 

Dette tar forsåvidt ikke hensyn til caps, setningsavslutningstegn osv, og forutsetter at ordene er tilfeldig valgt. Hvis det er en vanlig setning, så er det en del lettere å knekke.

 

Edit: Messet opp matten ganske grundig... Ikke greit å være trett når man skriver innlegg

Endret 26. april 2012 av Terrasque

[Coffie=JavaCode]

Her er det ELENDIG kode mest sansynlig som er tegnsett avhengig, de tar og skyller på brukerene for å gjøre live sitt letter. Tegnsett som spiller inn, windows cp1252 vs UTF8. Selv om det ikke er noe problem å konvereter de fleste spesialtegn fra og til et tegnsett kan det være at den danske banken bruker noe gammelt system i bunn som ikke er utf8 støttet. Og siden det finnes flere tegn i utf8 enn i cp1252 vil det bli noen feil converteringer hvis noen tar og skriver inn eks et thailansk/ kinesisk spesial tegn.

 

Det vil kreve en del uker å lage et passord system som kan takle alle spesialtegn hvis du ikke har bygget alt på utf8 og at passordet skal mache på String.

 

Det som er uvanlig er at det er string to string mach. Vil være mer naturlig å sammenligne byte representasjonen med hverandre. Da vil det være likegyldig hvilke teng som brukes.

[Gjest Slettet-Pqy3rC]

Petimeter note; UTF8 er ikke egentlig et tegnsett, men en encoding. UTF8, UTF16 etc bruker alle Unicode tegnsettet.