- Passordets æra er over

[sinnaelgen]

Slik jeg har forstått det så er det enkelte tegn som ikke brukes , de kan man overse

[Terrasque]

her undervurdere du regnekraften hackerne bruker.

Radeon 7970 blir for simpelt

 

jamenne DE hakkerene trenger ikke brute force, vettu. De har allerede installert kamera i øynene dine, serru.

 

Litt mindre synsing og LITT mer fakta, takk?

[xibriz]

En ting til.. man antar jo at alle hasher passordet der det lagres.. det er jo også langt fra sannheten.

 

F.eks. GSBildeler og UniWeb lagrer passordet i klartekst.

[Looke]

er det noen spesielle sider du tenker på ?

 

Gmail er den eneste jeg kommer på nå, men finnes vel mange andre steder.

[sinnaelgen]

jamenne DE hakkerene trenger ikke brute force, vettu. De har allerede installert kamera i øynene dine, serru.

 

Litt mindre synsing og LITT mer fakta, takk?

 

synsing ?

Det er da ganske klart at de bruker temmelig mye resurser for oppå målet sitt

Da vil det være naturlig at de utnytter resursene maksimalt

[Terrasque]

Vel.. http://www.tarsnap.com/scrypt/scrypt.pdf har faktisk en 2012-relevant tabell på side 14 der, som estimerer hvor mye det vil koste å cracke forskjellige passord innen et år, med forskjellige hash funksjoner.

 

Som du kanskje ser, så varierer resultatet VELDIG med hvilken algoritme som er blitt brukt.

 

Men, så lenge du ikke er villig å invistere ganske masse peng i custom hardware, så er Radeon 7970 en av de mest kost-effektive løsningene tilgjengelig, og er derfor et ganske fint utgangspunkt. Hvis du har annen fakta om det, så kom gjerne med det.

[sinnaelgen]

Nå er det tiden det tar jeg var opptatt av.

hvis de bruker en skikkelig tallknuser så er ikke 7970 god nokk

For all del det er langt bedre en det skjermkorte jeg bruker (5770) men det holder ikke hvis de virker vil knekke passord

 

jeg kan være ening at det kan ta tid likevel så nekter jeg for at det tar så lang tid som du hevder nettop fordi de bruker tallknusere til slikt

[Den åttende profet]

Se her http://www.lockdown.co.uk/?pg=combi

 

For alfabetet, 26 tegn, oppgir de lengder opptil 20 tegn, og selv med et klasse F-angrep (superdatamaskin, listen er fra 2009 så det er ikke så enorme forskjeller i forhold til i dag) vil det ta 631 milliarder år hvis du har et passord på 20 tegn innenfor alfabetet (bare små eller bare store bokstaver). Kan du tenke deg hvor lang tid det vil ta hvis du har 20 tegn innenfor et sett på 96 tegn (store og små bokstaver, tall og symboler). Husk at antall kombinasjoner øker eksponensielt med antall tegn. Tre minutter hvis passordet ditt har 8 tegn blir til 631 milliarder år med 20 tegn. Ekstreme tall, ja.

 

Men jeg gjentar: Med enkle passord som de fleste bruker, går det selvfølgelig mye kjappere. Men de tallene jeg kom med gjaldt for mitt lange, kompliserte passord.

 

Test ut denne siden: https://www.grc.com/haystack.htm

Passordet mitt tar der 1,09 millioner billioner århundrer å cracke med den heftigste crackingen med 100 billioner forsøk per sekund. Mens et vanlig passord på 8 tegn kan crackes på 30 sekunder offline.

 

Vanlig/enkelt passord: relativt enkelt å cracke. Langt, vanskelig passord: tar 40 evigheter å cracke.

[Terrasque]

likevel så nekter jeg for at det tar så lang tid som du hevder nettop fordi de bruker tallknusere til slikt

 

Det som er så greit med matematikk er at det er det samme om du tror på det eller ikke Og en Radeon 7970 ER en tallknuser, og ganske solid en også.

 

http://www.nvidia.com/object/tesla-supercomputing-solutions.html

http://www.computerweekly.com/feature/Graphics-chips-help-supercomputers-become-commonplace

http://www.engadget.com/2008/05/29/researchers-create-supercomputer-with-four-geforce-9800-gx2-card/ - http://tech.slashdot.org/story/08/05/31/1633214/supercomputer-built-with-8-gpus - "The system uses four NVIDIA GeForce 9800 GX2 graphics cards, costs less than €4,000 to build, and delivers roughly the same performance as a supercomputer cluster consisting of hundreds of PCs."

 

For visse typer kalkulasjoner (som de fleste hash algritmene passer ekstremt utmerket inn i) så er grafikk-kort mer eller mindre supercomputers. Og hvis ikke du lage helt custom hardware (som betyr MYE $$$ hvis det skal slå ytelsen til grafikk kort for slike ting), så er grafikkkort som 7970 the go-to supercomputer for passordknekking. Og derfor en fin benchmark på hvor sikker passord egentlig er nå for tiden.

 

Man har forresten algoritmer som scrypt, som er spesielt laget for å være vanskelig å angripes via custom hardware / grafikk kort.

[sinnaelgen]

pussig at du skriver det det tok omtrent 1 sekund å finne pinnkoden til et bankkort i et tv program for noen år siden

det er på 4 siffer.

da har man ti tusen kombinasjoner

 

7970 er fint til sitt bruk , som er grafikk

å bruke dem til finne koder blir noe annet .

 

Her mener jeg at en del , om ikke alle hcakerne har tilgang til noe som er langt bedre

 

Hvis de bruker linux til dette , var det ikke slik at de største produsenten har dårlige drivere for linux , slik at man ikke får utnyttet regnekraften ?

Endret 18. november 2012 av den andre elgen

[Terrasque]

Er vel bare du som har nevnt bankkort her.. Men, er forsåvidt en grei ting å illustrere lengre passord med..

 

0000-9999 - 10 000 kombinasjoner. Greit nok. La oss si, for enkelthels skyld, at du kan telle et nummer i sekundet. Da tar det 10 000 sekunder å telle til 10 000. Grei skuring.

La oss nå legge til 1 siffer, så det er 00000-99999 - 100 000 kombinasjoner. Hvor lang tid tar det å telle til 100 000 da? 20 000 sekunder? Nei, det tar 100 000 sekunder, 10 ganger lengre.

Tallet 10 kommer her inn fra at det ekstra sifferet har 10 forskjellige mulige verdier. Så man må telle til 10 000 for hver mulig verdi av det siste sifferet hvis man skal ta med alle muligheter med det også.

 

En binær nøkkel, som er i base 2, vil dobles med hver bit som legges til. Det betyr at en 65bit nøkkel har dobbelt så mange mulige verdier enn en 64 bit nøkkel. Fordi en binær verdi har 2 mulige verdier. Derav dobling.

 

Et passord, med små og store bokstaver, pluss tall.... Har 62 mulige verdier. Det betyr at det er 62 ganger flere alternativer for HVERT enkelt tegn som legges til. Enda mer dramatisk hvis man legger ved tegn, da er man oppe i 97 muligheter per tegn. Og alle må sjekkes (statistisk sett så er det vel regnet 50% av keyspace som sjekkes før treff). Det tar mye tid.

 

Så har vi XKCD's metode (og forsåvidt diceware) - la oss si at et ord i en ordbok er lik en char i et vanlig passord. Bare at her snakker man (for diceware's standard tekstfil) 7776 alternativer for hvert "tegn". Med 5 ord så (med samme kalkulasjoner som tidligere) har man truffet 109 år. 6 ord = 853 550 år. 7 ord = 6 637 206 558 år. Og det er med MD5, svakeste hash'en som er utbredt nå

 

For i tillegg har man forskjellige algoritmer. Radeon 7970 Klarer ~8000 MHashes/s med MD5, men bare ~80 MHashes/s med SHA512, fordi det er en mer komplisert algoritme. I tillegg har man Key Stretching, som hovedsaklig hash'er resultatet flere ganger for å "strekke" styrken og øke arbeidet som må til for å knekke et passord. Og som tidligere nevnt algoritmer som scrypt, som er spesiallaget for å være vanskelig å knekke.

[Gjest medlem-82119]

Teknologien bak bl.a bankkort har jeg hørt er en blanding av primtall og en matteformel. Såvidt jeg vet sender man pinkoden gjennom en formel for å få et bestemt svar. Primtall brukes fordi det kun er delelig med seg selv, dvs at det er match mellom kode og svar gjennom formelen med kun ett svar.

 

Jeg tviler derfor på at man knekker en pinkode med å teste tall for tall. Jeg vil anta at man isteden får tak i formelen bak, og kjører en ligning gjennom den for å få svaret direkte.

 

Det er videre nettsider som man kan bruke til å brute force koder gjennom, dvs ta seg av regningen, og med dagens teknolo så kan man vel sette opp sli systemer med flere skjermkort og dele tallene mellom flere maskiner. ETT skjermkort trenger ikke ta hele rekka. Om man f.eks deler tallrekka mellom 100 maskiner, trenger hver maskin kun finne 1% av kodene, og lar man hver maskin bruke flere av de aller kraftigste kortene så bør det kunne kuttes masse ned i tid. Spørsmålet er om man vil bry seg om å gjøre dette mot en tilfeldig.

[Batteripakke]

Hva skal vi bruke istedenfor?

[Jolo]

Lastpass funker supert for å generere sikre passord, og forskjellig passord til hver nettside. Eneste man må passe på er at man ikke blir frastjålet masterpassordet.

Endret 18. november 2012 av Smalltimer

[sinnaelgen]

nå kjenner jeg lite til de nevnte metodene så der trenger jeg en god forklaring på prinsippet bak , likevel kan jeg ikke helt godta at en dekoding skal ta så lang tid som der hevder

at noen få siffer skal ta flere minutter.

 

Tallet 10 kommer her inn fra at det ekstra sifferet har 10 forskjellige mulige verdier. Så man må telle til 10 000 for hver mulig verdi av det siste sifferet hvis man skal ta med alle muligheter med det også.

hva er det du vil frem til her ?

jeg vet at man får 10 ganger flere kombinasjoner for hvert ekstra siffer , hvis man bare bruker tall

 

jeg jobber litt med tal av og til når jeg driver og programmerer.

Det dere forsøker å fortelle meg gir et preg av at alle pcer er trege.

Det er de ikke

[srbz]

7970 er fint til sitt bruk , som er grafikk

å bruke dem til finne koder blir noe annet .

Kilde på dette? Du har allerede fått servert eksempler på at grafikkort er heftige tallknusere.

Titan, som jeg allerede har nevnt i denne tråden, er verdens raskeste supercomputer pdd. og består av 18688 stk. AMD Opteron 6274 og like mange Nvidia Tesla K20 grafikkort. Tror du det er for å spille spill med høy ytelse?

 

Her mener jeg at en del , om ikke alle hcakerne har tilgang til noe som er langt bedre

Hva er det hackere har tilgang på da?

 

Det dere forsøker å fortelle meg gir et preg av at alle pcer er trege.

Det er de ikke

Nei, det vi prøver å fortelle deg er at også de raskeste maskinene i verden er begrenset til et visst antall operasjoner i sekundet, og endel arbeidsoppgaver kan involvere veldig mange operasjoner.

Om du kan telle til en milliard på ett sekund, hvor mange sekunder bruker du da på å telle til uendelig?

 

Endret 18. november 2012 av srbz

[sinnaelgen]

Det eneste eksemplet du her servert er denne supper computeren

 

en hacker bryter seg jo inne inn enkelte systemer.

jeg tror da at de ikke bryter seg inn bare for å bryte seg inn men også for å bruke systemet

Da har de tilgang til datakraft

 

Alle grafikkort er først og fremst beregnet på grafikk

Det trenger man da ikke noe kilde på for å vite

 

 

Når det gjelder tall operasjoner per sekund så klarer dagens prosessorer svært mange.

her høres det neste ut som der forsøker å nekte for det

 

En GPU er beregnet til grafikk

En CPU er beregnet til bl.a. tall.

[srbz]

Alt det du sier er forsåvidt helt rett, men selv om grafikkort i hovedsak er beregnet for grafikk, står ikke det i veien for at man kan bruke det til tallknusing.

Prosessorarkitektur er vel den hovedsaklige underforliggende årsaken til at man ikke bruker grafikkortkjerner men heller noe x86-basert i vanlige PCer. Man kan ikke kjøre MS-office på et grafikkort.

Likevel, for et større system med skreddersydd programvare kan programvaren i større grad tilpasses maskinvaren, slik at man f.eks. kan bruke grafikkort til tallknusing selv om grafikkortet på grunn av dets arkitektur ikke kan kjøre Windows.

 

Titan er bare et av mange eksempler på supercomputere som kjører mindre konvensjonell hardware for slike formål. I år 2000 investerte Universitetet i Bergen en million kroner i en supermaskin, og syv år senere investerte de 30.000 kr i fem seriekoblede PS3 som matchet den gamle maskinen i ytelse. PS3 er definitivt ment for stuegaming, men likevel er det et faktum at den trekjernede Cell-prosessoren, ihvertfall den gang, var svært kostnadseffektiv til de tiltenkte oppgavene sammenlignet med alternative prosessorer.

http://www.uib.no/ii...perdatamaskiner (de har forøvrig investert i enda en ny supermaskin siden den i 2000)

 

Botnet, som du er inne på, er definitivt også et nyttig verktøy for hackere som er på jakt etter datakraft. Poenget mitt er at de har likevel ikke en ubegrenset mengde med ressurser, mens antall operasjoner som må utføres for å brute force en passordhash begrenses kun av antall mulige kombinasjoner og hash-metoden som er brukt.

Endret 18. november 2012 av srbz

[Terrasque]

Har du noen gang tenkt over hva grafikk er? Det er matematikk. Tall. Masse tall. Helt usaklig masse tall. Som må gjøres usaklig mange beregninger på. I real time. Grafikk kort er bygget for å kjøre en algoritme over en array av data, parallellt, så fort som overhodet mulig. Høres noe av det kjent ut? Fordi det er nettopp det man trenger for å lage og sammelingne hash'er. Et moderne grafikk kort er faktisk et IDEELL passord-knekke-kort å sette i pc'en. Dens ene og alene mål i livet er å gjøre nettopp slike kalkulasjoner, parallellt, så fort som overhodet mulig.

 

CPU er rask ja, men poenget våres er at for noen type kalkulasjoner (parallell, lite minne krav, og heltall) så er grafikk-kort SÅ ENORMT MYE RASKERE enn en CPU. Tenk deg en en forenklet CPU med begrenset (men raskt som bare det) minne, laget for å kjøre enkle ting raskt, og har OVER2000 kjerner, så begynner du å få en ide om hva vi snakker om. Det er ikke uten grunn at vi linker til supercomputere som er laget av vanlige grafikkort - for en billig peng. Fra ene artikkelen : "The medical researchers ran some benchmarks and found that in some cases their 4000EUR desktop superPC outperforms CalcUA, a 256-node supercomputer with dual AMD Opteron 250 2.4GHz chips that cost the University of Antwerp 3.5 million euro in March 2005"

 

Hvis du fremdeles tviler, så kan du se på benchmarks på forskjellige kort og CPU'er for bitcoin mining, som er mye det samme : https://en.bitcoin.i...ware_comparison - der ser du også FPGA hastighet (semi-custom hardware) sett i forhold til CPU og GPU. Her er også en forklaring angående bitcoin hvorfor GPU er så velegnet til slikt.

 

Og angående botnets.. De fleste nodene har vel ganske røtne cpu'er, og veldig få har gode gpu'er. Og de fleste high-end gpu'ene nå til dags er ikke akkurat subtle når de kjøres på fullt (This is GPU to tower. Takeoff clear, powering up turbines). Så de ville nok bli oppdaget fort om de brukte den delen av pc'en. Og samme med de supercomputerene. De er laget og kjøpt inn ene og alene for å kjøre massive kalkulasjoner 24/7 - om det er noe som kjøres utenom det der så vil det oppdages fort.

Endret 18. november 2012 av Terrasque

[srbz]

Forresten, la meg ta en stegvis approach her:

 

For å sjekke en pinkode på 1 siffer må man i verste tilfelle (dersom riktig løsning er den siste i rekken) kontrollere 10 tall (0-9) = 10¹

Utvider man til to siffer øker dette til 100 (0-99) = 10²

Tre siffer gir 1000 (0-999) = 10³

Og så videre... Dette har vi slått fast at allerede er kjent.

 

Om man derimot utvider til 96 mulige tegn (0123456789AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~) vil vi måtte trenge:

For ett tegn 96 forsøk = 96¹

For to tegn 96² = 9216 forsøk

Og så videre...

 

Det er også klart at enkelte bruker disse spesialtegnene, og vi kan ikke på forhånd vite hvilke, derfor kan vi heller ikke se bort ifra dem. Vi kan likevel optimere antall treff ved å ikke ta høyde for at disse tegnene brukes ved å kun se etter kombinasjoner uten slike tegn, som trolig de fleste brukere har. Dermed vil vi få flere treff om vi forsøker å cracke et sett passordhashes, men det underbygger isåfall bare påstanden om at passord med spesialtegn er sikrere.

 

For et passord bestående av (potensielt) 96 ulike tegn, med 20 tegns lengde, vil vi derfor behøve 96²⁰ = 4420024338794077316988270789431736139776 (ca 4,4 sekstilliarder) forsøk for å ha gått igjennom alle mulige kombinasjoner. Nevnte Titan har en kapasitet på ca 17,6 billiarder regneoperasjoner per sekund.

Om vi da antar at Titan bruker én regneoperasjon på å sjekke én mulig passordkombinasjon (noe som selvsagt ikke er tilfelle), vil den bruke 96²⁰/(17,6 × 10¹⁵) = 2,5 × 10²³ sekunder bare på å gå igjennom alle kombinasjonene.

Et år har 60 × 60 × 24 × 365 = 31.536.000 sekunder, hvilket betyr at det vil ta (2,5 × 10²³)/(31536000) = 7,9 × 10¹⁵, altså nesten 8 billiarder, år å bare generere alle mulige løsninger på verdens pdd. raskeste maskin.

 

Og dette er for all del ikke fordi maskinen er treg, men fordi de mulige løsningene er så utrolig mange. Løsningen vil selvsagt finnes før vi har gått gjennom alle muligheter, men snittiden for å finne et vilkårlig passord i dette settet vil nok likevel ligge langt utenfor universets levetid.

Endret 18. november 2012 av srbz