26
Mit einem Zufallsgenerator Passwörter herausfinden
Also ich will in der Richtung Cyber-Sicherheit gehen (bin 17) und lerne gerade Visual Basic und wollte dann mal fragen könnte man nicht mit einem Zufallsgenerator der von einer Textdatei wo die um die 14 millionenPasswörter stehen (die benutzt wurden, 2009 wurde eine Firma gehackt und die hatten ihre Passwörter nicht verschlüsselt deswegen haben die Hacker sie veröffentlicht) in einer Webseite so lange ausprobieren lassen bis er einen geschaft hat zu knacken?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator tomolpi am 19.05.2020 um 22:29:47 Uhr
Hier sollte inzwischen alles gesagt worden sein😉
Content-ID: 572847
Url: https://administrator.de/contentid/572847
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
26 Kommentare
Neuester Kommentar
Bitte die Forenrichtlinien lesen.
Moin,
ich glaube, das ist noch im Rahmen des hier Erlaubten: Das nennt sich brutal force attack und ist ein uralter Hut.
Liebe Grüße
Erik
ich glaube, das ist noch im Rahmen des hier Erlaubten: Das nennt sich brutal force attack und ist ein uralter Hut.
Liebe Grüße
Erik
Das Vorgehen ja.
Aber die Frage des TOs bezieht sich anscheinend, so weit ich das aus seinem Geschwurbel lesen kann, auf Passwörter, die nicht die seinen sind und auf eine Firma, die nicht die seine ist oder in der er nicht arbeitet.
Er fragt nach einem Hack.
Aber die Frage des TOs bezieht sich anscheinend, so weit ich das aus seinem Geschwurbel lesen kann, auf Passwörter, die nicht die seinen sind und auf eine Firma, die nicht die seine ist oder in der er nicht arbeitet.
Er fragt nach einem Hack.
Zitat von @erikro:
ich glaube, das ist noch im Rahmen des hier Erlaubten: Das nennt sich brutal force attack und ist ein uralter Hut.
Oha. brutal force attack gab es schon bei den Affen, als wir noch in Afrika wachen. So alt ist dieser Hut.ich glaube, das ist noch im Rahmen des hier Erlaubten: Das nennt sich brutal force attack und ist ein uralter Hut.
Du meinst sicher "brute force attack".
1
Ich denke das eine grenzwertige Grauzonen Frage ;)
Jetzt hat er ja den Begriff "Brute Force" gehört und damit kann er ja dann weiter arbeiten, ich denke alles andere geht dann wirklich zu weit.
Jetzt hat er ja den Begriff "Brute Force" gehört und damit kann er ja dann weiter arbeiten, ich denke alles andere geht dann wirklich zu weit.
Zitat von @TreeT02:
Also ich will in der Richtung Cyber-Sicherheit gehen (bin 17) und lerne gerade Visual Basic und wollte dann mal fragen könnte man nicht mit einem Zufallsgenerator der von einer Textdatei wo die um die 14 millionenPasswörter stehen (die benutzt wurden, 2009 wurde eine Firma gehackt und die hatten ihre Passwörter nicht verschlüsselt deswegen haben die Hacker sie veröffentlicht) in einer Webseite so lange ausprobieren lassen bis er einen geschaft hat zu knacken?
Genau aus diesem Grund werden normalerweise nach x-Fehlversuchen die Logins automatisch gesperrt, oder es wird ein Captcha eingeblendet.Also ich will in der Richtung Cyber-Sicherheit gehen (bin 17) und lerne gerade Visual Basic und wollte dann mal fragen könnte man nicht mit einem Zufallsgenerator der von einer Textdatei wo die um die 14 millionenPasswörter stehen (die benutzt wurden, 2009 wurde eine Firma gehackt und die hatten ihre Passwörter nicht verschlüsselt deswegen haben die Hacker sie veröffentlicht) in einer Webseite so lange ausprobieren lassen bis er einen geschaft hat zu knacken?
Also die Passwörter sind öffentlich und habe eine virtual machine und mir meine eigene Webseite gebaut da probier ich das aus
Na dann viel Spaß beim Testen.
Diese Passwörter kann jeder sich im Internet holen sind öffentlich dargestellt und das ist auch gut so, da sich die Menschen dann nicht solche Passwörter ausdenken. Die sind nach Reienfolge wie viele dieses Passwort genutzt haben und da gibt es zum Beispiel "123456" oder "password" und das soll zeigen das sich die meisten bessere Passwörter nehmen sollen.
Danke und nochmal Danke für die ganzen Antworten 
Zitat von @TreeT02:
Diese Passwörter kann jeder sich im Internet holen sind öffentlich dargestellt und das ist auch gut so, da sich die Menschen dann nicht solche Passwörter ausdenken.
Na ob das so gut ist lasse ich mal dahingestellt, bei 14 Mio Passwörtern wird da schon das ein oder andere gute dabei sein und wenn jemand, aufgrund einer solchen Liste deinen Server/Webseite/was auch immer hackt, dann findest du das vermutlich auch nicht so super...Diese Passwörter kann jeder sich im Internet holen sind öffentlich dargestellt und das ist auch gut so, da sich die Menschen dann nicht solche Passwörter ausdenken.
Ja aber die meisten haben keine guten passwörter. Zum Beispiel benutzen die meisten das eine Passwort für alles(und nicht mal ein gutes). PassPhrase sind zum Beispiel eine gute Variante ein Passwort zu haben. Davon gibt es da galube ich nicht und dasselbe Passwort für alles zubenutzen ist naiv und echt dumm. Ich will auf meiner Webseite das jeder PassPhrase hat. Ebenso gibt es genug Firmen die Passwörter für dich speichern. Aber klar es hat gute und schlechte Seiten das sie das veröffentlicht haben aber auch die Sculd der Firma sie unverschlüsselt zu speichern.
Hallo,
wenn die Passwörter aus einer Liste kommen ist das kein Brute Force sondern ein Wörterbuchangriff (welch schönes Wort). Aber ach das ist jetzt nix Neues.
Ob man diese Liste jetzt der Reihe nach durchgeht oder zufällig spielt dann keinen Unterschied, bzw. wenn ech echt zufällig wäre wird es sogar zum Nachteil. Denk mal drüber nach.
Gruß
...
wenn die Passwörter aus einer Liste kommen ist das kein Brute Force sondern ein Wörterbuchangriff (welch schönes Wort). Aber ach das ist jetzt nix Neues.
Ob man diese Liste jetzt der Reihe nach durchgeht oder zufällig spielt dann keinen Unterschied, bzw. wenn ech echt zufällig wäre wird es sogar zum Nachteil. Denk mal drüber nach.
Gruß
...
und wenn Du einen Geldbeutel auf öffentlichem Grund findest? Was machst Du dann? Auch probieren oder bringst Du ihn zur Polizei oder zum Fundbüro?
und das ist auch gut so, da sich die Menschen dann nicht solche Passwörter ausdenken.
Sehe ich nicht so.
Die sind nach Reienfolge wie viele dieses Passwort genutzt haben und da gibt es zum Beispiel "123456" oder "password"
Mag sein.
und das soll zeigen das sich die meisten bessere Passwörter nehmen sollen.
Dann bliebe dennoch ein fader Beigeschmack. Du willst solche Passwörter auf "einer" Webseite ausprobieren lassen, bis Du drin bist.
Ich gehe nach wie vor davon aus, dass Du hier kein Testszenario aufbaust, sondern ein Programm versuchst zu schreiben, das auf Basis dieser Passwortsammlung versucht, eine Webseite zu hacken.
ICH BIN DRAUẞEN
Es wurde damit ja gezeigt und ein Einblick gewährt wie schwach sich die Menschen schützen und Brute Force Attacken sind ja wie gesagt veraltet und fast nirgendwo durchführbar. Ich lerne gerade Visual-Basic und wenn ich will kann ich sowas jetzt gleich prorammieren deswegen brauch ich doch nicht von euch einen "Hack" oder Source Code.
Adminstrator hat zum Beispiel einen guten Passwortschutz da hier mein Passwort als schwach angezeigt wurde wo es bei anderen Webseiten als stark gilt.
Adminstrator hat zum Beispiel einen guten Passwortschutz da hier mein Passwort als schwach angezeigt wurde wo es bei anderen Webseiten als stark gilt.
von oben nach unten wäre glaub ich klüger da sie nach Popularität gehen also die meistbenutzten oben und so weiter
Ich denke du musst nen paar Dinge beachten:
a) Ob dein Passwort gut oder schlecht ist sagt dir keine Webseite, auch nicht diese! Da is halt im Hintergrund nen Stück code welcher Prüft: Hast du nen Sonderzeichen gibts nen "+1", hast du Klein+Grossbuchstaben gibts nen "+1",... Und abhängig von deiner Punktzahl wird gesagt ob dein Passwort eben gut oder Schlecht ist. Das hat aber technisch nichts damit zu tun ob es wirklich SICHER ist. Nehmen wir an du nimmst heute Pa$sW0rt01 - dann wird das erst mal bei vielen als Sicher angegeben. In ner Woche änderst du es - auf Pa$sW0rt02, ne Woche später dann auf 03,... (das was bei Firmen halt gefordert wird - alle paar Wochen mal die Zahl um 1 hochzählen und je nach belieben bei 10 entweder wieder von vorne anfangen oder einfach weiterzählen). Damit wird die Stärke deines Passworts mit der Zeit abnehmen weil eben jede Brute-Force irgendwann bei deinem Zähler angekommen ist. Hast du aber diese Woche "DasIsMeinGanzEigenesUndPersönlichesPassswort", beim nächsten Wechsel hast du dann "DiesesIstMalEinGanzAnderesPasswort", danach "MirIsEsZuDoofDasDerAdminMeintIchMussImmerNenNeuesPasswortWählen" dann ist das zwar erst mal unsicher weils eben keine Sonderzeichen enthält (und du ggf. auch alles klein schreibst) ABER es wird eben mit der Anzahl der Passwort-Änderungen nicht einfach zu erraten.
b) Deine Brute-Force-Attacke ist nen lustiges Spielzeug ABER sei dir bitte bewusst das du sowas besser nur auf Systemen einsetzt bei denen du das darfst. Am Ende des Tages ist das nämlich so in etwa als wenn du dir gleich ne rote Warnleuchte aufm Kopf setzt und jedes halbwegs gute System wird dich dabei erkennen.
c) Jetzt könnte die Idee ja sein - dann nehm ich halt Tor. Wärst du nicht der erste der glaubt "Hey, aber Tor ist sicher". Und auch nicht der erste der feststellt das es eben nicht automatisch so ist. Blöd z.B. wenn du in der Schule sitzt und die so einen Angriff registrieren - und die Log der Schule grad zu der Zeit einen Schüler übers Tor-Protokoll im Internet ist... Solang du es NUR auf deinen Systemen machst is es ja OK, da brauchst du dich auch nicht hinter irgendwas zu verstecken, du weisst ja woher der Angriff kommt...
d) Nur am Rande: Auch deine Nutzerdaten sollten DEINE sein. Nehmen wir an du machst das - wie bei Schülern ja manchmal auch nicht unüblich - und findest dabei das Passwort deines Kumpels. Wenn der das nich so lustig findet wie du kann das ne Menge Ärger geben - z.B. wenn blöderweise zu der Zeit über dessen EBay-Account auch was bestellt wurde und er dort natürlich dasselbe Passwort hatte...
Daher solltest du bei solchen Tests immer sicher sein das es wirklich DEINE Daten sind oder das du berechtigt bist das zu tun... Ansonsten riskierst du mit solchen Angriffen das es sehr schnell Entdeckt wird und du dafür im dümmsten Fall ne Vorstrafe hast die dir über Jahre einiges verbauen kann (die paar Euro Geldstrafe wären ja noch egal - nur blöd wenn du so ne Vorstrafe hast und auf die Idee kommst du möchtest im IT-Bereich ne Ausbildung machen oder da arbeiten... Z.B. war mein letzter Arbeitgeber ne Airline -> da brauchst du dich mit so ner Vorstrafe gar nich erst bewerben, die dürften dich nich mal einstellen wenn du nur 1en im Zeugnis hast)
a) Ob dein Passwort gut oder schlecht ist sagt dir keine Webseite, auch nicht diese! Da is halt im Hintergrund nen Stück code welcher Prüft: Hast du nen Sonderzeichen gibts nen "+1", hast du Klein+Grossbuchstaben gibts nen "+1",... Und abhängig von deiner Punktzahl wird gesagt ob dein Passwort eben gut oder Schlecht ist. Das hat aber technisch nichts damit zu tun ob es wirklich SICHER ist. Nehmen wir an du nimmst heute Pa$sW0rt01 - dann wird das erst mal bei vielen als Sicher angegeben. In ner Woche änderst du es - auf Pa$sW0rt02, ne Woche später dann auf 03,... (das was bei Firmen halt gefordert wird - alle paar Wochen mal die Zahl um 1 hochzählen und je nach belieben bei 10 entweder wieder von vorne anfangen oder einfach weiterzählen). Damit wird die Stärke deines Passworts mit der Zeit abnehmen weil eben jede Brute-Force irgendwann bei deinem Zähler angekommen ist. Hast du aber diese Woche "DasIsMeinGanzEigenesUndPersönlichesPassswort", beim nächsten Wechsel hast du dann "DiesesIstMalEinGanzAnderesPasswort", danach "MirIsEsZuDoofDasDerAdminMeintIchMussImmerNenNeuesPasswortWählen" dann ist das zwar erst mal unsicher weils eben keine Sonderzeichen enthält (und du ggf. auch alles klein schreibst) ABER es wird eben mit der Anzahl der Passwort-Änderungen nicht einfach zu erraten.
b) Deine Brute-Force-Attacke ist nen lustiges Spielzeug ABER sei dir bitte bewusst das du sowas besser nur auf Systemen einsetzt bei denen du das darfst. Am Ende des Tages ist das nämlich so in etwa als wenn du dir gleich ne rote Warnleuchte aufm Kopf setzt und jedes halbwegs gute System wird dich dabei erkennen.
c) Jetzt könnte die Idee ja sein - dann nehm ich halt Tor. Wärst du nicht der erste der glaubt "Hey, aber Tor ist sicher". Und auch nicht der erste der feststellt das es eben nicht automatisch so ist. Blöd z.B. wenn du in der Schule sitzt und die so einen Angriff registrieren - und die Log der Schule grad zu der Zeit einen Schüler übers Tor-Protokoll im Internet ist... Solang du es NUR auf deinen Systemen machst is es ja OK, da brauchst du dich auch nicht hinter irgendwas zu verstecken, du weisst ja woher der Angriff kommt...
d) Nur am Rande: Auch deine Nutzerdaten sollten DEINE sein. Nehmen wir an du machst das - wie bei Schülern ja manchmal auch nicht unüblich - und findest dabei das Passwort deines Kumpels. Wenn der das nich so lustig findet wie du kann das ne Menge Ärger geben - z.B. wenn blöderweise zu der Zeit über dessen EBay-Account auch was bestellt wurde und er dort natürlich dasselbe Passwort hatte...
Daher solltest du bei solchen Tests immer sicher sein das es wirklich DEINE Daten sind oder das du berechtigt bist das zu tun... Ansonsten riskierst du mit solchen Angriffen das es sehr schnell Entdeckt wird und du dafür im dümmsten Fall ne Vorstrafe hast die dir über Jahre einiges verbauen kann (die paar Euro Geldstrafe wären ja noch egal - nur blöd wenn du so ne Vorstrafe hast und auf die Idee kommst du möchtest im IT-Bereich ne Ausbildung machen oder da arbeiten... Z.B. war mein letzter Arbeitgeber ne Airline -> da brauchst du dich mit so ner Vorstrafe gar nich erst bewerben, die dürften dich nich mal einstellen wenn du nur 1en im Zeugnis hast)
Guten Abend
übe mal... Guten Tag ... Guten Abend...
Wenn du dann wirklich mal in Cyber-Sicherheit gehen möchtest legen deine Auftraggeber grossen Wert auf solche Sachen.
Ja und Brute Force ist cool damit kannst dann gesperrte Excel Files hacken!
Jetzt erst mal den Zufallsgenerator programmieren und dann geht es ab.
😎
Gruss Andreas
übe mal... Guten Tag ... Guten Abend...
Wenn du dann wirklich mal in Cyber-Sicherheit gehen möchtest legen deine Auftraggeber grossen Wert auf solche Sachen.
Ja und Brute Force ist cool damit kannst dann gesperrte Excel Files hacken!
Jetzt erst mal den Zufallsgenerator programmieren und dann geht es ab.
😎
Gruss Andreas
Das ist ein Ansatz. Aber eigentlich geht es eher um die Wahrscheinlichkeiten und Statistik. Das ist wichtiger wie ein dumpfes durchprobieren.
Hi,
Was ja schon schwierig genug ist wenn man es richtig machen will ... 🙄
Gruß
...
Was ja schon schwierig genug ist wenn man es richtig machen will ... 🙄
Gruß
...
Du schreibst es ist deine Webseite. Dann hast du das Passwort selbst gesetzt. Dann kannst du dir selbst ausrechnen wie lange es dauert dieses Passwort per Zufallsgenerator zu erraten. Als C-Programmierer berechnet man sich das selbst Anhand der Passwortlänge. Da musst du es erst gar nicht simulieren.
Ich finde die Rechtschreibung wirklich bemerkenswert. Und ja, die sollte schon passen. Deine "gesamte" Frage ohne Punkt und Komma zu lesen ist einfach ätzend.
Zitat von @emeriks:
Du meinst sicher "brute force attack".
Zitat von @erikro:
ich glaube, das ist noch im Rahmen des hier Erlaubten: Das nennt sich brutal force attack und ist ein uralter Hut.
Oha. brutal force attack gab es schon bei den Affen, als wir noch in Afrika wachen. So alt ist dieser Hut.ich glaube, das ist noch im Rahmen des hier Erlaubten: Das nennt sich brutal force attack und ist ein uralter Hut.
Du meinst sicher "brute force attack".
Ja, das kommt davon, wenn man nebenbei Windows 7 auf 10 hochhievt.
Man sollte sich wirklich auf das Forum konzentrieren. (Übrigens, auch bei den Affen hieße es brute force attack.)
Zitat von @miniversum:
Hallo,
wenn die Passwörter aus einer Liste kommen ist das kein Brute Force sondern ein Wörterbuchangriff (welch schönes Wort). Aber ach das ist jetzt nix Neues.
Hallo,
wenn die Passwörter aus einer Liste kommen ist das kein Brute Force sondern ein Wörterbuchangriff (welch schönes Wort). Aber ach das ist jetzt nix Neues.
Die Wörterbuchattacke ist eine Unterart der brute force attack. https://www.security-insider.de/was-ist-ein-brute-force-angriff-a-677192 ...
So, genug Korinthen gekackt.
Das kann man nicht richtig machen, weil es keinen Zufall gibt, sondern nur Wahrscheinlichkeiten.
Zitat von @NordicMike:
Du schreibst es ist deine Webseite. Dann hast du das Passwort selbst gesetzt. Dann kannst du dir selbst ausrechnen wie lange es dauert dieses Passwort per Zufallsgenerator zu erraten. Als C-Programmierer berechnet man sich das selbst Anhand der Passwortlänge. Da musst du es erst gar nicht simulieren.
Du schreibst es ist deine Webseite. Dann hast du das Passwort selbst gesetzt. Dann kannst du dir selbst ausrechnen wie lange es dauert dieses Passwort per Zufallsgenerator zu erraten. Als C-Programmierer berechnet man sich das selbst Anhand der Passwortlänge. Da musst du es erst gar nicht simulieren.
So einfach ist es dann aber doch nicht. Rein mathematisch ist die Stärke eine Passworts Anzahl der möglichen Zeichen potenziert mit der Anzahl der Stellen. Rein mathematisch sind also bei gleichem möglichen Zeichensatz die Passwörter "Passwort" und "§rT%6P?n" gleich stark. Tatsächlich macht die Forderung mindestens eine Ziffer, mindestens ein Großbuchstabe, mindestens ein Sonderzeichen das Passwort mathematisch sogar schwächer, denn ich schränke bei den acht Stellen, die mein Passwort hat, bei vier Stellen den Zeichensatz ganz erheblich ein. Nehmen wir die Stelle mit den Ziffern. Bei einem Zeichensatz von sagen wir 256 Zeichen nehme ich nur zehn. Damit hat diese Stelle nicht mehr 256 Möglichkeiten, sondern eben nur noch zehn. Damit habe ich eine Verschlechterung der mathematischen Wahrscheinlichkeit um 25,6. Beim Großbuchstaben ist es nicht ganz so schlimm. Da sind es immerhin 26 Zeichen aus 256. Das ist nur eine Verschlechterung um knapp 10. Insgesamt aber schon eine Verschlechterung um rund 256 oder eine ganze Potenz. Also nicht mehr 256^8, sondern nur noch 256^7. Oder in ganzen Zahlen statt 18.446.744.073.709.551.616 nur noch 72.057.594.037.927.936.
Passwörter sind kein rein mathematisches Problem. Es ist ein menschliches und damit kommen sehr viel mehr Faktoren zum Tragen als die reine Mathematik.
