Zuhause Persönliche Finanzen Eine Fallstudie zur Verwendung von Windows-Passwort-Sicherheitsanfälligkeiten bei Hackern

Eine Fallstudie zur Verwendung von Windows-Passwort-Sicherheitsanfälligkeiten bei Hackern

Inhaltsverzeichnis:

Video: Fallstudie: Bobenheim-Roxheim Teil 3 Breite Anwendung von Advion®Ameisen Gel 2025

Video: Fallstudie: Bobenheim-Roxheim Teil 3 Breite Anwendung von Advion®Ameisen Gel 2025
Anonim

In dieser Fallstudie teilte Dr. Philippe Oechslin, ein unabhängiger Informationssicherheitsberater, seine jüngsten Forschungsergebnisse darüber, wie Hacker Verwenden Sie Windows-Passwort-Schwachstellen. Dies ist eine gute Information, die berücksichtigt werden muss, um beim Erstellen eigener Passwörter nicht gehackt zu werden.

Die Situation

Im Jahr 2003 entdeckte Dr. Oechslin eine neue Methode, um Windows-Passwörter zu knacken - jetzt allgemein als Regenbogen-Cracking bezeichnet. Dr. Oechslin hat beim Testen eines Brute-Force-Tools zum Knacken von Passwörtern herausgefunden, dass jeder, der das gleiche Tool zum wiederholten Erstellen der gleichen Hashes (kryptografische Darstellung von Passwörtern) verwendet, Zeit verschwendet.

Er glaubte, dass das Generieren eines riesigen Wörterbuchs aller möglichen Hashes es leichter machen würde, Windows-Passwörter zu knacken, aber dann wurde schnell klar, dass ein Wörterbuch der LAN Manager (LM) Hashes aller möglichen alphanumerischen Passwörter erfordern würde. über ein Terabyte Speicherplatz.

Während seiner Forschung entdeckte Dr. Oechslin eine Technik namens Time-Memory Trade-offs, wobei Hashes im Voraus berechnet werden, aber nur ein kleiner Bruchteil gespeichert wird (ungefähr einer von tausend). Dr. Oechslin entdeckte, dass die Art und Weise, wie die LM-Hashes organisiert sind, es Ihnen ermöglicht, jedes Passwort zu finden, wenn Sie einige Zeit damit verbringen, einige der Hashes neu zu berechnen. Diese Technik spart Speicher, benötigt aber viel Zeit.

Bei der Untersuchung dieser Methode fand Dr. Oechslin einen Weg, den Prozess effizienter zu gestalten, indem er eine der 250 Milliarden eindeutigen Hashes anhand einer Tabelle mit 250 Millionen Einträgen (1 GB Daten) und nur 4 Millionen Hash-Berechnungen durchführen. Dieser Prozess ist viel schneller als ein Brute-Force-Angriff, der durchschnittlich 50 Prozent der Hashes (40 Milliarden) generieren muss.

Diese Untersuchung basiert auf dem Fehlen eines zufälligen Elements, wenn Windows-Passwörter gehasht werden. Dies gilt sowohl für den LM-Hash als auch für den in Windows integrierten NTLM-Hash. Das gleiche Passwort erzeugt den gleichen Hash auf jedem Windows-Rechner. Obwohl bekannt ist, dass Windows-Hashes kein zufälliges Element haben, hat niemand eine Technik wie die von Dr. Oechslin entdeckt, um Windows-Passwörter zu knacken.

Dr. Oechslin und sein Team hatten ursprünglich ein interaktives Tool auf ihrer Website platziert, das es den Besuchern ermöglichte, Hashes einzureichen und sie geknackt zu bekommen. Innerhalb von sechs Tagen knackte das Tool 1.845 Passwörter in durchschnittlich 7.7 Sekunden! Sie können die Demo selbst ausprobieren.

Das Ergebnis

Also, was ist die große Sache, sagst du? Diese Methode zum Knacken von Passwörtern kann praktisch jedes alphanumerische Passwort in wenigen Sekunden knacken, während aktuelle Brute-Force-Tools mehrere Stunden dauern können. Dr. Oechslin und sein Forschungsteam haben eine Tabelle erstellt, mit der sie jedes Passwort aus Buchstaben, Zahlen und 16 weiteren Zeichen in weniger als einer Minute knacken können, um zu zeigen, dass Passwörter aus Buchstaben und Zahlen nicht gut genug sind.

Dr. Oechslin erklärte auch, dass diese Methode nützlich für ethische Hacker ist, die nur begrenzte Zeit haben, um ihre Tests durchzuführen. Unglücklicherweise haben böswillige Hacker den gleichen Vorteil und können ihre Angriffe durchführen, bevor sie jemand entdeckt!

Philippe Oechslin, PhD, CISSP, ist Dozent und wissenschaftlicher Mitarbeiter an der Eidgenössischen Technischen Hochschule in Lausanne und Gründer und CEO von Objectif Sécurité.

Eine Fallstudie zur Verwendung von Windows-Passwort-Sicherheitsanfälligkeiten bei Hackern

Die Wahl des Herausgebers

Wie man die Socialcast Mobile App benutzt - dummies

Wie man die Socialcast Mobile App benutzt - dummies

Sogar die stoischste Anwendung wie Microsoft Excel hat ein begleitendes Smartphone-App, natürlich hat Socialcast auch eine. Wenn es so wäre, wäre es nicht wirklich eine Ausrede zu sagen, dass Socialcast nicht sehr sozial wäre, wenn du es nicht mit in die große Welt außerhalb deiner Zelle mitnehmen könntest. Die mobile App ...

Wie man das App Verzeichnis von Yammer benutzt - dummies

Wie man das App Verzeichnis von Yammer benutzt - dummies

Sie haben vielleicht gehört: "Es gibt eine App dafür. "Nun, das ist der Fall bei Yammer, der als einzige Ressource für die Vernetzung am Arbeitsplatz funktioniert. Aber Yammer bietet Ihnen auch eine Menge Apps, mit denen Sie Ihr Arbeitsleben noch einfacher gestalten können. Es gibt zwei Möglichkeiten, auf das App-Verzeichnis zuzugreifen: Option ...

So ​​verwenden Sie die Yammer-Analysetools - Dummies

So ​​verwenden Sie die Yammer-Analysetools - Dummies

Yammer rühmt sich damit als "führendes soziales Unternehmensnetzwerk für Unternehmen" um die Arbeit intelligenter und schneller zu erledigen. "Woher weißt du, ob das wahr ist? Ein guter Weg, um zu sehen, wie es für Sie funktioniert, ist die Analyse von Yammer. Wie greifen Sie auf diese großartigen Tools zu? Es ist einfach. Log ...

Die Wahl des Herausgebers

Die Evolution von Distributed Computing für Big Data - Dummies

Die Evolution von Distributed Computing für Big Data - Dummies

Hinter allen wichtigen Trends des letzten Jahrzehnts, einschließlich Serviceorientierung, Cloud Computing, Virtualisierung und Big Data, ist eine grundlegende Technologie namens Distributed Computing. Einfach gesagt, ohne die Verteilung von Datenverarbeitung wäre keiner dieser Fortschritte möglich. Distributed Computing ist eine Technik, mit der einzelne Computer über geografische Gebiete hinweg miteinander vernetzt werden können, so als ob ...

Drei Anbieter mit Data Mining-Produkten - Dummies

Drei Anbieter mit Data Mining-Produkten - Dummies

Es gibt mehrere Anbieter, die Data-Mining-Produkte verkaufen, die Sie vielleicht in Betracht ziehen möchten. Verwenden Sie mit Ihrem Data Warehouse. Hier sind drei, die eine Überlegung wert sind. Microsoft Microsoft hat das serverseitige Data Mining mit Microsoft SQL Server 2005 eingeführt. Obwohl es nicht so ausgereift und ausgeklügelt wie SAS und SPSS ist, hat Microsoft im Laufe der Zeit seine Fähigkeit bewiesen ...

Grundlagen der Big-Data-Integration - Dummies

Grundlagen der Big-Data-Integration - Dummies

Die fundamentalen Elemente der Big-Data-Plattform verwalten Daten auf neue Weise verglichen mit der traditionellen relationalen Datenbank. Dies liegt daran, dass Skalierbarkeit und hohe Leistung erforderlich sind, um sowohl strukturierte als auch unstrukturierte Daten zu verwalten. Komponenten des Big-Data-Ökosystems von Hadoop bis NoSQL DB, MongoDB, Cassandra, ...

Die Wahl des Herausgebers

So ​​stellen Sie eine Verbindung zu Spotify Mobile her - Dummies

So ​​stellen Sie eine Verbindung zu Spotify Mobile her - Dummies

Die meisten modernen Smartphones sind Wi-Fi-fähig. In ein lokales Netzwerk können Sie Spotify-Tracks mithilfe von Wi-Fi auf Ihr Telefon streamen. Sie können Spotify Mobile zu Hause und über Wi-Fi-Netzwerke in Hotels und Cafés problemlos nutzen - Sie müssen nur sicherstellen, dass Sie angemeldet und verbunden sind. ...

Wie Spotify funktioniert - Dummies

Wie Spotify funktioniert - Dummies

Wie Spotify funktioniert, kann Auswirkungen auf den Festplattenspeicher Ihres Computers haben. Internetverbindung. Spotify funktioniert anders als viele andere Online-Musikdienste, weil es auf mehrere Arten angewiesen ist, um Ihnen reibungslos Musik ohne Verzögerungen zu liefern. In Computing-Sprechen, das Maß der Verzögerung zwischen Anfordern eines Songs und Hören es ...

So ​​erreichen Sie Spotify Support - Dummies

So ​​erreichen Sie Spotify Support - Dummies

Es kann vorkommen, dass Sie eine kleine Hilfe beim Navigieren und Verwenden von Spotify benötigen von deinen Spotify Freunden. Sie können jederzeit Support @ spotify per E-Mail senden. com mit Ihrer Frage oder melden Sie sich bei Twitter an und senden Sie einen Tweet an @spotify. Stellen Sie sicher, dass Sie alle Informationen einschließen, die dem Support-Team helfen könnten, einschließlich Ihres Benutzernamens, damit sie ...