Abo
  • IT-Karriere:

Stratfor-Hack: Zehn Prozent der Passwörter in fünf Stunden geknackt

Rund 860.000 Password-Hashes hat The Tech Herald daraufhin untersucht, wie leicht sich die echten Passwörter zurückrechnen lassen. Schon nach sieben Minuten konnte ein fünfstelliger Teil der Kundenpasswörter rekonstruiert werden.

Artikel veröffentlicht am ,
Leichte Passwörter müssen nicht lang sein.
Leichte Passwörter müssen nicht lang sein. (Bild: Golem.de)

81.883 Passwörter konnte The Tech Herald aus der gehashten Passwortdatenbank von Statfor rekonstruieren. Aus dem Stratfor-Hack ist eine Liste von immerhin 860.160 Passwörtern hervorgegangen. Der Angriff auf die Passwörter war dabei besonders effizient.

7 Minuten für 25.000 Passwörter

Inhalt:
  1. Stratfor-Hack: Zehn Prozent der Passwörter in fünf Stunden geknackt
  2. Angriff auf Passwörter mit Billighardware

The Tech Herald hat verschiedene Wörterlisten benutzt, um die Passwörter zu erkennen. Mit einer kleinen Liste, bestehend aus einfachen Passwörtern, Namen und Wörtern aus dem Buch 1984 und unter anderem auch bereits zuvor geknackten und damit bekannten Passwörtern aus Facebook, Myspace, Singles.org, Gawker oder Hotmail gelang es in nur sieben Minuten, 25.690 Passwörter zu errechnen.

Mit einer mittleren Wortlistengröße, die unter anderem Wörter aus diversen Sprachen beinhaltet, Namen und auch Wörter aus dem Oxford English Dictionary, sowie weiteren früher geknackten Passwörtern konnte das Ergebnis fast verdoppelt werden. 21.933 weitere Passwörter wurden entdeckt. Allerdings braucht der Angriff mit rund 30 Minuten mehr als viermal so viel Zeit. Die halbe Stunde ist absolut gesehen aber immer noch lächerlich gering.

Mit der großen Wortliste und einigen Optimierungen wurden für den Rest der 81.883 Passwort-Hashes rund 4:15 Stunden benötigt. Alles in allem wurden nur rund 10 Prozent der Passwörter in 4 Stunden, 53 Minuten und 6 Sekunden geknackt, so The Tech Herald. In Relation zur Gesamtmasse der Passwörter ist das ein kleiner Teil. In absoluten Zahlen wird ein Angreifer aber auch schon mit der Weiterverarbeitung dieser 81.883 Passwörter genug Material für weitere Angriffe haben. Das Knacken der Passwörter dürfte damit noch den geringsten Teil der Arbeit ausmachen. Nun könnte ein Angreifer bei den Opfern nachrecherchieren, ob diese weitere Zugänge im Netz haben und das bekannte Passwort dort ausprobieren.

Angriff auf Passwörter mit Billighardware 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 219,00€
  2. (z. B. Core i5 9600K + Gigabyte Z390 Aorus Master für 468,00€, Core i7 900K + MSI MPG Z390...
  3. GRATIS
  4. 59,99€ (Release am 15. November)

Nimda.E 04. Jan 2012

Ich weis nicht was ihr Euch da alle aufregt, wer braucht schon Rechenpower wenn die User...

Anonymer Nutzer 04. Jan 2012

Ach, so ist das?? Na dann richt ich mir doch wieder mein geliebtes asdf als Passwort ein...

Loolig 04. Jan 2012

Was ist daran seltsam.. such in der Wiki nach MD5 ..

theonlyone 04. Jan 2012

Kollege von mir benutzt japanische Zeichen und da denke ich mir auch das sowas...

PHPGangsta 03. Jan 2012

"The Tech Herald fordert Administratoren dazu auf, unsichere Passwörter gar nicht erst...


Folgen Sie uns
       


Fairphone 3 - Fazit

Behebt das Fairphone 3 die Mängel der Vorgänger? Wir haben es getestet.

Fairphone 3 - Fazit Video aufrufen
Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger

  1. Fridays for Future Klimastreiks online und offline

Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

    •  /