Dette monsteret finner passordet ditt

[Cuneax]

Går gjennom 350 milliarder kombinasjoner – i sekundet.

 

Dette monsteret finner passordet ditt

 

[Stigander]

Hvorfor legger man ikke bare inn en tidssperre på 1 sekund etter man har skrevet feil passord? Det burde være en effektiv stopper mot slike maskiner.

[fenele]

Hva med 20+ tegn i passord, caps, spesialtegn og tall + HDD kryptering?

[VirtualBox]

Maskinen er nok et eksempel på at det er passordlengde og ikke "kompleksitet" som er avgjørende.

 

Store bokstaver + små bokstaver + tall gir 62 tegn i et engelsk passord. Fem tegn i passordet gir litt over 900 millioner kombinasjoner. Det vil bli funnet på undet ett hundredels sekund av maskinen i artiklen. Er passordet på ti tegn gir det over 8*10^17 kombinasjoner. Det vil ta rett over 27 dager å finne et slikt passord. Femten tegn tar 70 millioner år.

 

 

 

Formel: [ (antall mulige tegn per plass) ^ (antall plasser) ] / antall kombinasjoner maskinen løser pr. sek. = antall sek. for å jobbe gjennom alle kombinasjoner

Endret 11. desember 2012 av VirtualBox

[Dauemannen]

@Stigander: Jeg har lurt på det samme. En så enkel løsning burde sette en effektiv stopper for brute forcing av passord. For et passord med 8 tilfeldige bokstaver fra det engelske alfabetet vil det ta over 6600 år å prøve alle kombinasjoner hvis du gjetter en gang i sekundet. Tar vi med tall og store bokstaver gir 6 tegn 1800 år. (Dette illustrerer også hvor mye viktigere lengde for et sterkt passord enn tall og spesialtegn.)

[Gjest Slettet-aabLQt]

kan med andre ord føle meg rimelig trygg med mine 16 store/små bokstaver, tall og symboler

[Simen1]

Lurer på hvordan de får plass til 25 GPU-er i et system med 8 skjermkort. Er det noen som kjenner igjen fra bildet hvilke skjermkort det er? Redigert: Jeg fikk svar:

 

 

<br>Our Cluster<br>Five 4U servers<br>25 AMD Radeon GPUs<br>•10x HD 7970<br>•4x HD 5970 (dual GPU)<br>•3x HD 6990 (dual GPU)<br>•1x HD 5870<br>4x SDR Infiniband interconnect<br>7kW of electricity

 

 

Og hvorfor er ytelsen så lav? For eksempel Radeon 7770 klarer jo hele 1408 milliarder SP utregninger per sekund. 25 slike GPUer burde altså klart 35 200 SP utregninger per sekund. Bruker virkelig passordprogrammet over 100 regneoperasjoner per testede passord? Høres ikke det litt ineffektivt ut?

 

De 25 nevnte skjermkortene har en teoretisk kapasitet på ca 79,6 Tflops SP og 18,8 Tflops DP, men klarer altså "bare" 0,35 Tpassords. Dvs potensielt 53 (DP) - 227 (SP) regneoperasjoner per passord som testes. Høres ikke det ut som en litt ineffektiv algoritme?

Endret 11. desember 2012 av Simen1

[raWrz]

Hvorfor legger man ikke bare inn en tidssperre på 1 sekund etter man har skrevet feil passord? Det burde være en effektiv stopper mot slike maskiner.

@Stigander: Jeg har lurt på det samme. En så enkel løsning burde sette en effektiv stopper for brute forcing av passord. For et passord med 8 tilfeldige bokstaver fra det engelske alfabetet vil det ta over 6600 år å prøve alle kombinasjoner hvis du gjetter en gang i sekundet. Tar vi med tall og store bokstaver gir 6 tegn 1800 år. (Dette illustrerer også hvor mye viktigere lengde for et sterkt passord enn tall og spesialtegn.)

 

Denne dataen er for å cracke hasher, ikke for å bruteforce seg inn via log inn på noen nettside

 

~ Submit

[Vizla]

Veldig langt unna hva som kreves(Dvs. 1000x ytelse eller noe slikt) før "Dette monsteret finner passordet ditt" er en verdig overskrift.. Med det sagt, sier ikke nei takk til tables produsert av den

Endret 11. desember 2012 av Vizla

[Alex Moran]

Hvorfor legger man ikke bare inn en tidssperre på 1 sekund etter man har skrevet feil passord? Det burde være en effektiv stopper mot slike maskiner.

Det er effektiv, men slike maskiner er først og fremst nyttige når en hacker allerede har klart å få tak i en database med alle hashene og kan begynne å gyve løs på knekkinga, noe artikkelforfatter selvsagt utelater å nevne...

Endret 11. desember 2012 av Alex Moran

[Matsemann]

Nå bør ingen passord de siste årene ha vært hashed med md5, sha-1 eller lignende, så dette *burde* ikke vært noe problem. Dessverre viser jo lekkasjer gang på gang at selv store nettsider tar for lett på sikkerheten.

 

En del Windows-passord er utrygge uavhengig av lengde, fordi MS tidligere splittet passordene i mindre strenger før de ble hashet, slik at man bare trenger å løse små delproblemer istedet for ett stort.

 

Hvorfor legger man ikke bare inn en tidssperre på 1 sekund etter man har skrevet feil passord? Det burde være en effektiv stopper mot slike maskiner.

Disse maskinene sitter ikke på en nettside og prøver å logge inn. De har et hashet passord de prøver å finne ut hva egentlig er. F. eks. fordi en nettside har mistet tabellen med hashede passord.

[Pop]

Burde ikke maskinen være testet opp mot AES for å gjøre det interessant?

[ranvik]

Mye info som blir borte.

Det er ikke 1 pc, det er 6stk, som er koblet sammen i et LAN.

Det er en master(ikke den på bilde med 10gbit kort)

Det er 5 client server, som er linket opp til master.

Dem kjøre virualisering på client maskinen som gjør at alle gpu kommer opp i master server som skjerm kort.

Hver gpu bruker ca 80mbit med lan trafikk.

 

MAX driver support under ATI er 8 gpu'er (men mer enn 4gpu'er pleier bios'en/hovedkorte stoppe)

borsett fra det korte på bilde som har støtte for 8.

Dem 4 andre server er bare helt normale pc'er med forsjelige gpu'er.

 

 

Det blir brukt hashcat som software som støtter opp til 128gpu'er.

 

Det som ikke kommer frem er at hvis han hadde heller kjørt dem standalone vile du fått ca 40-50% mer gpu kraft. (Lan og vertualisering spiser opp cpu/gpu kraft)

Endret 11. desember 2012 av ranvik

[Ruarcs]

Maskinen er nok et eksempel på at det er passordlengde og ikke "kompleksitet" som er avgjørende. Store bokstaver + små bokstaver + tall gir 62 tegn i et engelsk passord. Fem tegn i passordet gir litt over 900 millioner kombinasjoner. Det vil bli funnet på undet ett hundredels sekund av maskinen i artiklen. Er passordet på ti tegn gir det over 8*10^17 kombinasjoner. Det vil ta rett over 27 dager å finne et slikt passord. Femten tegn tar 70 millioner år.Formel: [ (antall mulige tegn per plass) ^ (antall plasser) ] / antall kombinasjoner maskinen løser pr. sek. = antall sek. for å jobbe gjennom alle kombinasjoner

 

Hum. Så vist man bruker 20 tegn så er man altså"sikker"?

[Carl Sagan]

Hashcat som ble brukt?

 

Knekking av Windows-passord er jo bare tull. Mye lettere å gå forbi hele passordbeskyttelsen med eksempelvis Kon-boot.

 

Skulle likt å sett maskinen knekke WPA2-hasher med Pyrit.

[troposfæren]

 

Maskinen er nok et eksempel på at det er passordlengde og ikke "kompleksitet" som er avgjørende. Store bokstaver + små bokstaver + tall gir 62 tegn i et engelsk passord. Fem tegn i passordet gir litt over 900 millioner kombinasjoner. Det vil bli funnet på undet ett hundredels sekund av maskinen i artiklen. Er passordet på ti tegn gir det over 8*10^17 kombinasjoner. Det vil ta rett over 27 dager å finne et slikt passord. Femten tegn tar 70 millioner år.Formel: [ (antall mulige tegn per plass) ^ (antall plasser) ] / antall kombinasjoner maskinen løser pr. sek. = antall sek. for å jobbe gjennom alle kombinasjoner

 

Skjønner ikke, i artikkelen står det at tar 5,5 år å finne alle kombnasjoner på tastauret ikke 27

[War]

Hjelper ikke med 1 sekk sperre eller max X forsøk.

For å finne ut om det er rett passor trykker ikke masninen enter, den finner det ut i binære bekreftelser fra OS lenge før det.

[markwes]

Jeg ville følt meg beæret dersom noen bygger slik hardware for å knekke mine passord. Jeg skal sørge for at det ikke blir for vanskelig, så kan jeg kanskje kjøpe passordknekking som en tjeneste dersom jeg glemmer et?

 

Unntaket er nettbanken, den vil jeg ha i fred.

 

[jakols]

Hashcat som ble brukt?Knekking av Windows-passord er jo bare tull. Mye lettere å gå forbi hele passordbeskyttelsen med eksempelvis Kon-boot.Skulle likt å sett maskinen knekke WPA2-hasher med Pyrit.

 

Men det vil igjen kreve at "Hackeren" er fysisk tilstede ved din stasjonære, laptop etc.

noe som igjen gjør Kon-Boot til et bra værktøy siden du bypasser all login authentication oppføringer ved å erstatte dem med dummy filer under Boot prosessen. det er disse oppføringene som blir erstattet under boot som gjør at maskinen ikke vil kreve passord. men programmet vil stå ubrukelig for remote hacking.

for at det skal kunne virke remote må du kunne først infisere maskinen med en virtuell CDRom/USB port som skal stå som default under start og maskinen må kunne "Boot from NIC" noe som står etter min erfaring default avslått i BIOS.

Men får du til alt dette, og tilfeldighetene liner seg opp i din favør kan du bare ta kontroll over maskinen med noe så enkelt som forced teamwiever ol. (hvis det er kontroll over maskinen som er målet)

[Red Frostraven]

Standardpassordet mitt er over 55 karakterer langt og inneholder bokstaver og tegn, så da burde jeg vel føle meg trygg litt til?