Passwort cracken?

classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

Passwort cracken?

Matthias Haegele-2
Hallo Ihr!

Ich möchte ein (vergessenes) Passwort cracken,
angenommen mein Passwort wäre zwischen 8 und 10 Zeichen lang und würde
auf jeden Fall z.B. die Sonderzeichen ";&" enthalten, könnte ich das
einem Tool (wie z.B. john) beibringen das Passwort entsprechend diesen
"Vorgaben" zu knacken.

(john läuft mittlerweile auf dem Rechner seit 10 Tagen im "brute force"
Mode und hat das Passwort noch nicht geknackt, zumindest weiss jetzt ich
dass meine Passwörter einigermassen sicher sind ;-(. btw: renice wurde
schon auf höhere Prio gesetzt)

Natürlich könnte ich auch das Passwort an mehreren Stellen ändern aber
das wäre ja langweilig ...

Grüsse & Danke
MH

Reply | Threaded
Open this post in threaded view
|

Re: Passwort cracken?

Andreas Pakulat-3
On 19.07.06 00:27:39, Matthias Haegele wrote:
> Ich möchte ein (vergessenes) Passwort cracken,
> angenommen mein Passwort wäre zwischen 8 und 10 Zeichen lang und würde auf
> jeden Fall z.B. die Sonderzeichen ";&" enthalten, könnte ich das einem Tool
> (wie z.B. john) beibringen das Passwort entsprechend diesen "Vorgaben" zu
> knacken.

8-10 Zeichen, Brute-Force mit a-zA-Z0-9;& und weiteren Sonderzeichen?
Ich glaube das koennte ne _ganze_ Weile dauern (ohne dafuer Zahlen
vorweisen zu koennen und ohne die Hardware zu kennen wuerde ich mal auf
mehrere Monate tippen wollen).

Andreas

--
You will be Told about it Tomorrow.  Go Home and Prepare Thyself.


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)

Reply | Threaded
Open this post in threaded view
|

Re: Passwort cracken?

Matthias Haegele-2
Andreas Pakulat schrieb:

> On 19.07.06 00:27:39, Matthias Haegele wrote:
>> Ich möchte ein (vergessenes) Passwort cracken,
>> angenommen mein Passwort wäre zwischen 8 und 10 Zeichen lang und würde auf
>> jeden Fall z.B. die Sonderzeichen ";&" enthalten, könnte ich das einem Tool
>> (wie z.B. john) beibringen das Passwort entsprechend diesen "Vorgaben" zu
>> knacken.
>
> 8-10 Zeichen, Brute-Force mit a-zA-Z0-9;& und weiteren Sonderzeichen?
> Ich glaube das koennte ne _ganze_ Weile dauern (ohne dafuer Zahlen
> vorweisen zu koennen und ohne die Hardware zu kennen wuerde ich mal auf
> mehrere Monate tippen wollen).

Danke.
Glaube da liegst du richtig, da die "john-session" (renice -5) jetzt
schon 10 Tage läuft (ich klinke mich immer wieder in den "screen" ein),
sehe ich dass er bis dato wohl noch nicht mal die Sonderzeichen
durchprobiert hat, die ich benutzte ...

Naja die Box ist eh nicht ausgelastet, bin mal gespannt wie lange das
dauert, just for fun ...

btw:
Einfache Passwörter aus "gängigen" Wörtern des Sprachgebrauches sind
max. innerhalb ein paar Stunden geknackt
(vor allem ohne Mix Klein- Großschreibung)

> Andreas

Grüsse
MH


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)

Reply | Threaded
Open this post in threaded view
|

Re: Passwort cracken?

Jan Hauke Rahm
Am Mittwoch, den 19.07.2006, 09:19 +0200 schrieb Matthias Haegele:
> sehe ich dass er bis dato wohl noch nicht mal die Sonderzeichen
> durchprobiert hat, die ich benutzte ...

Wenn du dich noch ein bisschen erinnerst, dass du Sonderzeichen drin
hattest, wäre es vielleicht ganz sinnvoll dem Programm das zu sagen. Ich
kenne es nicht, aber wenn du weißt, dass ein $ drin ist, warum lässt du
dann auch alle scannen, in denen keins drin ist?
Kurzum: ALles mitgeben, was du hast! Bei mir fallen alle Möglichkeiten
ohne $,% oder & und ohne Zahlen schon mal raus... (war das clever, das
zu posten?! ;-))

Hauke


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)

Reply | Threaded
Open this post in threaded view
|

Re: Passwort cracken?

Moritz Lenz
In reply to this post by Matthias Haegele-2
Hallo,

Matthias Haegele wrote:
> Ich möchte ein (vergessenes) Passwort cracken,
> angenommen mein Passwort wäre zwischen 8 und 10 Zeichen lang und würde
> auf jeden Fall z.B. die Sonderzeichen ";&" enthalten, könnte ich das
> einem Tool (wie z.B. john) beibringen das Passwort entsprechend diesen
> "Vorgaben" zu knacken.
[...]
> Natürlich könnte ich auch das Passwort an mehreren Stellen ändern aber
> das wäre ja langweilig ...

Hast du es irgendwo als anderen Hash (z.B. reines MD5 oder sha1)
rumliegen? das ist vielleicht leichter anzugreifen, weil es keinen salt
benutzt.

Grüße,
Moritz

--
Moritz Lenz
http://moritz.faui2k3.org/


signature.asc (260 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Passwort cracken?

Udo Mueller-3
In reply to this post by Andreas Pakulat-3
Hallo Andreas,

* Andreas Pakulat schrieb [19-07-06 01:15]:
>
> 8-10 Zeichen, Brute-Force mit a-zA-Z0-9;& und weiteren Sonderzeichen?
> Ich glaube das koennte ne _ganze_ Weile dauern (ohne dafuer Zahlen
> vorweisen zu koennen und ohne die Hardware zu kennen wuerde ich mal auf
> mehrere Monate tippen wollen).

Pro Zeichen stehen dann also 26 + 26 + 10 + 2 = 64 Zeichen zur
Verfügung.

Bei 10 Zeichen Passwortlänge müssten es dann 64^10 Möglichkeiten sein.
Das entspricht bei 10.000 Versuchen pro Sekunde einer maximalen Prüfzeit
von 3.655.890 Jahren.

Naja, hoffen wir für den OP, dass es nur 8 Zeichen lang war, denn
dann sind nur 64^8 Möglichkeiten vorhanden und die probiert man innerhalb
von 892,5 Jahren durch.

Lass den Rechner mal laufen ;) Ist ja nur der Maximalfall ;)

Mit freundlichen Grüßen

Udo Müller

--
ComputerService Udo Müller              Tel.: 0441-36167578
Schöllkrautweg 16                       Fax.: 0441-36167579
26131 Oldenburg       [hidden email]     Mobil: 0162-4365411

signature.asc (204 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Passwort cracken?

Steffen Schulz-2
In reply to this post by Moritz Lenz
On 060719 at 14:00, Moritz Lenz wrote:
> > auf jeden Fall z.B. die Sonderzeichen ";&" enthalten, könnte ich das
> [...]
> > Natürlich könnte ich auch das Passwort an mehreren Stellen ändern aber
> > das wäre ja langweilig ...
>
> Hast du es irgendwo als anderen Hash (z.B. reines MD5 oder sha1)
> rumliegen? das ist vielleicht leichter anzugreifen, weil es keinen salt
> benutzt.

Ohne lange gesucht zu haben: Sind da Tabellen online?
Ansonsten wird das erstmal nicht schneller...

Da war mal was, ich glaube mit winnt/lanmanager oder so, die haben
keine Salts und da sprach man irgendwie davon, dass man ne Tabelle
online stellen *koennte*...Aber die haben dort glaub ich auch die
Passwoerter in zwei Strings zu je 8(?) Zeichen getrennt bevor sie
gehasht wurden, um sich noch laecherlicher zu machen..

Und: Klar, wenn ;& zwingend drin ist, reduziert das den Schluesselraum.
Aus 10 Stellen mit 64 Zeichen werden dann 8 Stellen mit 64 Zeichen mal
die moeglichen Kombinationen fuer ; und & an allen moeglichen (10)
Stellen. Ich wuerd mal schaetzen, Zeichen eins hat 10 Moeglichkeiten
und Zeichen 2 dann die verbleibenden 9 zur Auswahl, also 90
Moeglichkeiten. Mal 90 ist weniger als mal 64^2. Das Wissen um die zwei
Zeichen schenkt dir also vom Aufwand her fast eine Stelle.

Alle Angaben ohne Gewaehr, mein Mathebuch ist schon umgezogen..

mfg
pepe
--
God's in his heaven.
All's right with the world.

signature.asc (196 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Passwort cracken?

Matthias Haegele-2
Steffen Schulz schrieb:
> On 060719 at 14:00, Moritz Lenz wrote:
>>> auf jeden Fall z.B. die Sonderzeichen ";&" enthalten, könnte ich das
>> [...]
>>> Natürlich könnte ich auch das Passwort an mehreren Stellen ändern aber
>>> das wäre ja langweilig ...
>> Hast du es irgendwo als anderen Hash (z.B. reines MD5 oder sha1)
>> rumliegen? das ist vielleicht leichter anzugreifen, weil es keinen salt
>> benutzt.

Die "shadow" wurde kopiert und darauf john losgelassen ...

> Und: Klar, wenn ;& zwingend drin ist, reduziert das den Schluesselraum.
> Aus 10 Stellen mit 64 Zeichen werden dann 8 Stellen mit 64 Zeichen mal
> die moeglichen Kombinationen fuer ; und & an allen moeglichen (10)
> Stellen. Ich wuerd mal schaetzen, Zeichen eins hat 10 Moeglichkeiten
> und Zeichen 2 dann die verbleibenden 9 zur Auswahl, also 90
> Moeglichkeiten. Mal 90 ist weniger als mal 64^2. Das Wissen um die zwei
> Zeichen schenkt dir also vom Aufwand her fast eine Stelle.

Eigentlich weiß ich ja 6 der maximal 9 Zeichen des PW (und auch dass sie
am Anfang stehen) ...
Wenn ich also eine Möglichkeit hätte einem "Cracktool" zu sagen nimm:
"Bekannten_Teil_des_Passwortes" + mache "brute-force-attacke" auf
Zeichen 7-9 dann sollte das ja möglich sein?.

Allerdings habe ich keine Möglichkeit gefunden das "john" mitzugeben
(oder jedem beliebigen Tool das ich noch nicht kenne) ...

>
> Alle Angaben ohne Gewaehr, mein Mathebuch ist schon umgezogen..

Ich sollte auch öfter rechnen als die arme HW mit unlösbaren Aufgaben zu
beschäftigen ;-).

> mfg
> pepe

Danke
MH


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)

Reply | Threaded
Open this post in threaded view
|

Re: Passwort cracken?

Joschka Sulzer-2
[hidden email] schrieb:

> Steffen Schulz schrieb:
>> On 060719 at 14:00, Moritz Lenz wrote:
>>>> auf jeden Fall z.B. die Sonderzeichen ";&" enthalten, könnte ich das
>>> [...]
>>>> Natürlich könnte ich auch das Passwort an mehreren Stellen ändern aber
>>>> das wäre ja langweilig ...
>>> Hast du es irgendwo als anderen Hash (z.B. reines MD5 oder sha1)
>>> rumliegen? das ist vielleicht leichter anzugreifen, weil es keinen salt
>>> benutzt.
>
> Die "shadow" wurde kopiert und darauf john losgelassen ...
>
>> Und: Klar, wenn ;& zwingend drin ist, reduziert das den Schluesselraum.
>> Aus 10 Stellen mit 64 Zeichen werden dann 8 Stellen mit 64 Zeichen mal
>> die moeglichen Kombinationen fuer ; und & an allen moeglichen (10)
>> Stellen. Ich wuerd mal schaetzen, Zeichen eins hat 10 Moeglichkeiten
>> und Zeichen 2 dann die verbleibenden 9 zur Auswahl, also 90
>> Moeglichkeiten. Mal 90 ist weniger als mal 64^2. Das Wissen um die zwei
>> Zeichen schenkt dir also vom Aufwand her fast eine Stelle.
>
> Eigentlich weiß ich ja 6 der maximal 9 Zeichen des PW (und auch dass
> sie am Anfang stehen) ...
> Wenn ich also eine Möglichkeit hätte einem "Cracktool" zu sagen nimm:
> "Bekannten_Teil_des_Passwortes" + mache "brute-force-attacke" auf
> Zeichen 7-9 dann sollte das ja möglich sein?.
>
> Allerdings habe ich keine Möglichkeit gefunden das "john" mitzugeben
> (oder jedem beliebigen Tool das ich noch nicht kenne) ...
>
>>
>> Alle Angaben ohne Gewaehr, mein Mathebuch ist schon umgezogen..
>
> Ich sollte auch öfter rechnen als die arme HW mit unlösbaren Aufgaben
> zu beschäftigen ;-).
>
>> mfg
>> pepe
>
> Danke
> MH
>
>

schau doch mal auf der jtr-mailingliste  im archiv unter
http://www.openwall.com/lists/ . ich meine da gabs mal nen ähnlichen
fall wie deinen, der mittels External-Mode behoben werden konnte
Sam


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)