Stratfor-Hack: Zehn Prozent der Passwörter in fünf Stunden geknackt

Rund 860.000 Password-Hashes hat The Tech Herald daraufhin untersucht, wie leicht sich die echten Passwörter zurückrechnen lassen. Schon nach sieben Minuten konnte ein fünfstelliger Teil der Kundenpasswörter rekonstruiert werden.

Artikel veröffentlicht am ,
Leichte Passwörter müssen nicht lang sein.
Leichte Passwörter müssen nicht lang sein. (Bild: Golem.de)

81.883 Passwörter konnte The Tech Herald aus der gehashten Passwortdatenbank von Statfor rekonstruieren. Aus dem Stratfor-Hack ist eine Liste von immerhin 860.160 Passwörtern hervorgegangen. Der Angriff auf die Passwörter war dabei besonders effizient.

7 Minuten für 25.000 Passwörter

Inhalt:
  1. Stratfor-Hack: Zehn Prozent der Passwörter in fünf Stunden geknackt
  2. Angriff auf Passwörter mit Billighardware

The Tech Herald hat verschiedene Wörterlisten benutzt, um die Passwörter zu erkennen. Mit einer kleinen Liste, bestehend aus einfachen Passwörtern, Namen und Wörtern aus dem Buch 1984 und unter anderem auch bereits zuvor geknackten und damit bekannten Passwörtern aus Facebook, Myspace, Singles.org, Gawker oder Hotmail gelang es in nur sieben Minuten, 25.690 Passwörter zu errechnen.

Mit einer mittleren Wortlistengröße, die unter anderem Wörter aus diversen Sprachen beinhaltet, Namen und auch Wörter aus dem Oxford English Dictionary, sowie weiteren früher geknackten Passwörtern konnte das Ergebnis fast verdoppelt werden. 21.933 weitere Passwörter wurden entdeckt. Allerdings braucht der Angriff mit rund 30 Minuten mehr als viermal so viel Zeit. Die halbe Stunde ist absolut gesehen aber immer noch lächerlich gering.

Mit der großen Wortliste und einigen Optimierungen wurden für den Rest der 81.883 Passwort-Hashes rund 4:15 Stunden benötigt. Alles in allem wurden nur rund 10 Prozent der Passwörter in 4 Stunden, 53 Minuten und 6 Sekunden geknackt, so The Tech Herald. In Relation zur Gesamtmasse der Passwörter ist das ein kleiner Teil. In absoluten Zahlen wird ein Angreifer aber auch schon mit der Weiterverarbeitung dieser 81.883 Passwörter genug Material für weitere Angriffe haben. Das Knacken der Passwörter dürfte damit noch den geringsten Teil der Arbeit ausmachen. Nun könnte ein Angreifer bei den Opfern nachrecherchieren, ob diese weitere Zugänge im Netz haben und das bekannte Passwort dort ausprobieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Angriff auf Passwörter mit Billighardware 
  1. 1
  2. 2
  3.  


Nimda.E 04. Jan 2012

Ich weis nicht was ihr Euch da alle aufregt, wer braucht schon Rechenpower wenn die User...

Anonymer Nutzer 04. Jan 2012

Ach, so ist das?? Na dann richt ich mir doch wieder mein geliebtes asdf als Passwort ein...

Loolig 04. Jan 2012

Was ist daran seltsam.. such in der Wiki nach MD5 ..

theonlyone 04. Jan 2012

Kollege von mir benutzt japanische Zeichen und da denke ich mir auch das sowas...



Aktuell auf der Startseite von Golem.de
Internet
Indien verbannt den VLC Media Player

Weder Downloadlink noch Webseite des VLC Media Players können von Indien aus aufgerufen werden. Der vermutete Grund: das Nachbarland China.

Internet: Indien verbannt den VLC Media Player
Artikel
  1. Chiptune in Echtzeit: Der Game Boy ist das neue Vinyl
    Chiptune in Echtzeit
    Der Game Boy ist das neue Vinyl

    MP3s aufnehmen kann jeder. Bastelfreudige Musiker veröffentlichen ihre Alben lieber auf Game-Boy- und Super-Nintendo-Modulen.
    Ein Bericht von Daniel Ziegener

  2. THG-Prämie: Das fragwürdige Abkassieren mit der eigenen Wallbox
    THG-Prämie
    Das fragwürdige Abkassieren mit der eigenen Wallbox

    Findige Vermittler bieten privaten Wallbox-Besitzern Zusatzeinnahmen für ihren Ladestrom. Wettbewerber sind empört.
    Ein Bericht von Dirk Kunde

  3. Wissenschaft: Der Durchbruch in der Kernfusion ist ein Etikettenschwindel
    Wissenschaft
    Der Durchbruch in der Kernfusion ist ein Etikettenschwindel

    National Ignition Facility hat das Lawson-Kriterium der Kernfusion erreicht, aber das gilt nur für echte Reaktoren, keine Laserexperimente.
    Ein IMHO von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Sapphire RX 6900 XT 939€, MSI RTX 3070 599€, G.Skill DDR4-3200 32GB 98€) • PS5 bestellbar • Games für PS5/PS4 bis 84% günstiger • Günstig wie nie: SSD 1TB/2TB, Curved Monitor UWQHD LG 38"/BenQ 32" • Razer-Aktion • Lego Star Wars Neuheiten • Bester Gaming-PC für 2.000€ [Werbung]
    •  /