Jordy 10 Geschrieben 22. November 2004 Melden Teilen Geschrieben 22. November 2004 Hallo allerseits! Ich habe ein Anliegen bezüglich Passwortsicherheit. Ich muß nachweisen, wie lange ein Hacker statistisch brauchen würde, um mit Brute-Force an ein ideales Benutzerpasswort eines Domänenbenutzer zu kommen (also im Idealfall die letzte Kombination die er testet). Als Richtlinie gelten 7-zeichen lange Passwörter mit einem Zeichenschatz von 62 verschiedenen Zwichen (groß, klein, Sonderzeichen, Zahlen). Ich habe mich auch schon auf diversen Seiten zum Thema Brute-froce Attacken umgesehen. Leider schweigen sich die meisten Seiten über die Hintergründe ihrer Empfehlungen aus. Insebesondere eine Frage wird nirgends schlüssig beleuchtet: Wieviele Kombinationen kann ein Angreifer (mit einem aktuellen PC) pro Sekunde überhaupt testen? Ich habe oft Schätzungen von 500 000 Proben pro Sekunde und mehr gelesen, halte das aber (zumindest per 100MBit Ethernet) für unmöglich. Vermutlich sind damit große Server gemeint. Ich bin mir auch nicht sicher, ob eine Brute-Force Passwort-Attacke immer in Form von Millionen Proben übers Netzwerk laufen muß, oder ob ein durchschnittlicher Angreiffer keine Möglichkeiten hat, eine Suche (vielleicht anhand von mitgeschnittenen Benutzeranmeldungen) sowas nicht auf dem lokalen Rechner laufen lassen könnte... was natürlich sehr viel schneller ablaufen könnte. Zitieren Link zu diesem Kommentar
die kriese 10 Geschrieben 22. November 2004 Melden Teilen Geschrieben 22. November 2004 moin moin, unsere truppe (hosting + dom admins) hat ein 13 stelliges pw. es ist zwar ätzend sowas einzugeben weil gross klein zahl sonderzeichen darin sind aber das ist sicher. ... wir arbeiten im einen abgeschlossenen rechenzentrum, da kann keiner mal eben platten klauen oder mit einer knoppix cd booten. das ist finde ich auch ein grosser sicherheitsaspekt. ... logon failure wird auf unseren kisten im eventlog mitverfolgt. ... 7 stellen sind bei uns lt security richtlinie zu kurz minimum 8. ... da ich nicht mit den boardregeln kollidieren möchte vielleicht ein grober hinweis. bei 7 zeichen maximal 66 tage, alle möglichen zeichen. ... gruss d.k. Zitieren Link zu diesem Kommentar
Hedgehog 10 Geschrieben 22. November 2004 Melden Teilen Geschrieben 22. November 2004 Hi Jordy, ich habe mich auch mal irgendwann mit dieser Frage beschäftigen müssen. Damals habe ich auch keinerlei schlüssige Informationen erhalten, wieviele Anmeldeversuche pro Sekunde realistisch sind. Insofern macht es natürlich Sinn, diese Zahl so hoch zu wählen, dass sie höchstens theroetisch erreicht werden kann. Ich stimme aber Deiner Meinung zu, dass 500.000 Versuche/s über Ethernet eine sehr optimistische Annahme sind. Hedgehog P.S.: @diekriese: Es freut mich, dass Du bei Deinem Posting die Boardregeln im Hinterkopf hast. Da es hier allerdings nicht um konkrete Hilfestellungen zum Passwortknacken, sondern eher um eine theoretische Diskussion ohne irgendwelche Hinweise auf eine entsprechende Umsetzung geht, denke ich, dass auch meine Moderatoren-Kollegen diese Diskussion für unbedenklich halten. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 22. November 2004 Melden Teilen Geschrieben 22. November 2004 Wieviele Kombinationen kann ein Angreifer (mit einem aktuellen PC) pro Sekunde überhaupt testen? Ich habe oft Schätzungen von 500 000 Proben pro Sekunde und mehr gelesen, halte das aber (zumindest per 100MBit Ethernet) für unmöglich. Bei solchen Zahlenangaben, und die darfst du noch nach oben korrigieren ;) , ist eigentlich immer ein "lokales" Austesten gemeint, also, man hat ein Anmeldepaket abgefangen und nun lokal auf dem Rechner oder man hat die Benutzerdatenbank lokal vor sich auf dem Rechner. Es sind hier weniger automatisierte netzanmeldungen gemeint ;) grizzly999 Zitieren Link zu diesem Kommentar
dark knight 10 Geschrieben 22. November 2004 Melden Teilen Geschrieben 22. November 2004 Wer läßt 500K Anmeldeversuche zu? Würd da nach 10 falschen PW's sperren für na sagen wir mal 30 Min, im Wiederholungsfall auch. Dann ist der Angreifer in Rente wenn er drin ist. :D Irgendein Admin sollte das in der Zwischezeit mitbekommen haben und das Incident Team aktiv geworden sein. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. November 2004 Melden Teilen Geschrieben 23. November 2004 wobei ein im Netzwerk abgefangenes PW-Hash muss ich seit Kerberos immerhin im Standardfall 600 Sekunden entschlüsseln. Danach bringts nimmer viel :cool: PS: meistens schenkt man den lokalen Adminaccounts auf irgendwelchen Memberservern zu wenig Aufmerksamkeit was Auditing etc. betrifft cu blub Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 23. November 2004 Melden Teilen Geschrieben 23. November 2004 600 Sekunden? Das Dienstticket nud das Benutzerticket sind 600 Minuten gültig. Allerdings ist das nur die Ticketlebensdauer. Wenn ich im richtigen Kerberos-Paket den Hash habe, dann habe ich max. so viel Zeit wie die maximum Password Age in der Domäne ;) grizzly999 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. November 2004 Melden Teilen Geschrieben 23. November 2004 hast natürlich recht, Minuten nicht Sekunden. cu blub Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. November 2004 Melden Teilen Geschrieben 23. November 2004 eine ganz andere Herangehensweise http://www.microsoft.com/germany/ms/security/newsletter/artikel/kennwoerter.mspx Zitieren Link zu diesem Kommentar
Jordy 10 Geschrieben 25. November 2004 Autor Melden Teilen Geschrieben 25. November 2004 Original geschrieben von blub eine ganz andere Herangehensweise http://www.microsoft.com/germany/ms/security/newsletter/artikel/kennwoerter.mspx Ja, ist interessant. Ich versuche nachzuweisen, warum bestimmte Passwortrichtlinien notwendig sind. Im Falle der Sonderzeichen ist das kein Problem (also ganz allgemein was den Zeichensatz anbetrifft). Der Effekt ist rechnerisch leicht nachzuweisen. Was mir halt Probleme macht, ist das Zusammenspiel aus Passwortlänge und max. Passwortalter. Wenn 7 Zeichen mit 66 Tagen (bei vollem Zeichensatz) korellieren, wären es 8 Zeichen mit 4092 Tagen. Das wäre natürlich schon eine sehr gute Info. grizzly999: Du hast geschrieben es sei immer ein lokales Austesten gemeint. Ich meine, mir ist klar, daß unter Windows eine Kerberosanmeldung abläuft. Eine solche Anmeldung muß irgendeinen Schlüssel austauschen, der vom Server überprüft wird. Wenn also ein Angreifer diesen Hash abfängt, kann er ihn lokal austesten. Wenn ich den Artikel richtig verstanden habe, kann man mit einem Hash auch das Passwort erraten. Das ist kein Problem. Der Artikel sagt ja eindeutig daß bis zu 3000000 Passwörter pro Sekunde mit einem geklauten Hash abgeglichen werden können. Das reicht mir als Info, genauer brauche ich es da nicht. Offensichtlich kann man mit einem Hash ja aber auch schon Zugriff erlangen, ohne das Passwort zu knacken. Muß er erst das Passwort zu dem Hash finden, um Zugriff auf das Konto des ausgespähten Opfers zu bekommen? Ich hoffe nicht daß er mit dem Hash schon Vollzugriff hat?! Bzw. hat er mit dem Hash alleine tatsächlich "nur" 600 Min. lang vollen Zugriff? Da ihr mir die vorigen Fragen vielleicht nicht beantworten dürft (Boardregeln), scheint mir dann der entscheidende Punkt zu sein: Wie lange braucht ein Angreifer um mit Hilfe eines Hashes Zugriff zu bekommen? Leider habe ich den Hashmechanismus nicht richtig verstanden und tiefer darf ich nicht bohren, ohne die Boardrichtlinien zu verletzen :-) Dann bleibt aber noch die Frage: Wie siehts tatsächlich mit automatisierter Anmeldung aus? In dem Artikel wird ein Beispiel gebracht, aber ohne jegliche Hintergründe. Ist das Austesten wirklich so langsam? P.S.: Sorry daß ich mich erst jetzt melde. War nicht ganz auf dem Damm. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 25. November 2004 Melden Teilen Geschrieben 25. November 2004 Offensichtlich kann man mit einem Hash ja aber auch schon Zugriff erlangen, ohne das Passwort zu knacken Jaein, bei NT war sowas mit entsprechenden Tools und Know How theoretisch (und auch praktisch?) möglich, in dem man einen neuen Zugriff initiiert und auf dengesendeten Challenge den abgefangenen Hash neu einspielt. Bei Kerberos sind solche Replay-Attacken so gut wie ausgeschlossen. Ich hoffe nicht daß er mit dem Hash schon Vollzugriff hat?! Bzw. hat er mit dem Hash alleine tatsächlich "nur" 600 Min. lang vollen Zugriff? Wie gesagt, bei Kerberos nein, weder gleich noch 600 Minuten lang. Wer wissen will, wie Kerberos funktioniert, dem empfehle ich dieses ausführliche White Paper: http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp grizzly999 Zitieren Link zu diesem Kommentar
Jordy 10 Geschrieben 26. November 2004 Autor Melden Teilen Geschrieben 26. November 2004 Original geschrieben von grizzly999 Wie gesagt, bei Kerberos nein, weder gleich noch 600 Minuten lang. Wer wissen will, wie Kerberos funktioniert, dem empfehle ich dieses ausführliche White Paper: http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp grizzly999 Ok. Letztendlich bleibt als Hauptrisikio also wirklich das lokale Knacken des Passwortes. Und dazu gab es ja den Richtwert von 3000000 Proben/s, der mir auch realistisch erscheint. Damit habe ich meine Frage eigentlich geklärt und wieder einiges gelernt :-) Den Kerberos Artikel werde ich mir auch mal anschauen. Danke an Alle! Zitieren Link zu diesem Kommentar
Junostuff 10 Geschrieben 28. November 2004 Melden Teilen Geschrieben 28. November 2004 Hallo, ich möchte auch kurz was dazu sagen :) also Sicherhit ist immer eine Kostenfrage, aber wenn du auf ganz nummer sicher gehen willst solltest du dich hier informieren: Achtung Link http://www.rsasecurity.com/ mit einer SecurID können deine Benutzer theoretisch passwörter wie 12345678 nutzen ein Hacker hat nahezu keine Chance. Gruß Jens Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.