Zum Inhalt springen

Brutforce Angriff berechnen


Rubinchen

Empfohlene Beiträge

Grüße,

mein Kollege in der Firma hat in einer Woche Prüfung

Nun hat er in einer Übungsaufgabe die besagt berechnen sie wie lange es dauert ein Passwort zu knacken.

Hier ist die besagte Aufgabe:

8-stellige Passwörter können mit einer Brute-Force-Attacke innerhalb von 30 Sekunden erraten werden. Daher wurde beschlossen,
die Passwortlänge auf 10 Zeichen zu erhöhen. Jede Stelle des Passwortes besteht aus einem von 94 möglichen Zeichen.
Die firmeninterne Passwortrichtlinie gibt vor, dass jedes Passwort nach spätestens 30 Tagen zu ändern ist.
Überprüfen Sie mithilfe einer Rechnung, ob jedes 10-stellige Passwort innerhalb der Gültigkeitsdauer von 30 Tagen durch eine
Brute-Force-Attacke erraten

Mich interessiert wie man das berechnet, da ich die Berechnung einfach nicht kenne.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

mein Ansatz wäre folgender:

1. Ermittlung der Variationen für ein 8- und ein 10-stelliges Passwort

Spoiler

94^8 Möglichkeiten zu 94^10 Möglichkeiten

2. Ermitteln wie hoch der Faktor zwischen den verschiedenen Anzahlen von Passwortmöglichkeiten ist

Spoiler

(94^10)/(94^8) = 94^(10-8) = 94^2 = 94 * 94 = 8836 

3. Berechnung der benötigten Zeit mit diesem Faktor auf Basis des Wissens, dass man für ein 8-stelliges Passwort 30 Sekunden benötigt.

Spoiler

8836 * 30 Sekunden bzw. 8836 * 0,5 Minuten = 4418 Minuten = 4418 / 60 Stunden = 73,63 Stunden = 73,63 /24 Tage = ~ 3 Tage

4. Vergleich der ermittelten Zeit mit dem Zeitraum von 30 Tagen

Spoiler

3 Tage sind weniger als 30 Tage. Ergo hieße das, dass auch ein 10-stelliges Passwort nicht ausreichen würde.

Allerdings ist es lange her, dass ich mich mit solchen Aufgaben beschäftigt habe. Das ist also keine Garantie, dass der Ansatz richtig ist. 😅

Link zu diesem Kommentar
Auf anderen Seiten teilen

@Rienne hat es schon schön ausformuliert.

Ich frage mich allerdings ob die Aufgabe nicht irgendwie sinnlos ist (also abgesehen von der Abfrage mathematischer Kenntnisse)? Wenn ein 8 stelliges Passwort innerhalb von 30 Sekunden geknackt werden kann (was noch zu beweisen wäre), wie soll dann ein 10 stelliges Passwort 30 Tage gegen einen Brute Force Angriff bestehen? Klar kann man das rechnerisch beweisen, aber da sagt mir doch schon der gesunde Menschenverstand, dass das nicht geht. Vor allem wenn ich das zugrundeliegende Alphabet nicht erweitere.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 54 Minuten schrieb TooMuchCoffeeMan:

Ich frage mich allerdings ob die Aufgabe nicht irgendwie sinnlos ist (also abgesehen von der Abfrage mathematischer Kenntnisse)? Wenn ein 8 stelliges Passwort innerhalb von 30 Sekunden geknackt werden kann (was noch zu beweisen wäre), wie soll dann ein 10 stelliges Passwort 30 Tage gegen einen Brute Force Angriff bestehen? Klar kann man das rechnerisch beweisen, aber da sagt mir doch schon der gesunde Menschenverstand, dass das nicht geht. Vor allem wenn ich das zugrundeliegende Alphabet nicht erweitere.

Da stimm ich dir nicht zu. Bei Potenzen kommen teilweise sehr unvorhergesehene Ergebnisse raus. Vor allem wenn man es noch nicht so häufig gesehen hat.

So wie hier auch. Durch die zwei Zeichen verlängert sich die Dauer um den Faktor 9000. Wenn man auf 11 statt auf 10 Zeichen erhöhen würde, wäre man weit über das Ziel hinaus. Wie soll man das in der Ausbildung abschätzen dass 2 viel zu wenig sind und bei drei das Ziel erreicht?

Link zu diesem Kommentar
Auf anderen Seiten teilen

der Faktor bleibt aber gleich.

erhöht man die Anzahl der stellen um 2 ist der Faktor immer 94*94.

eine sehr grobe Abschätzung wäre dann:

94x94 -> 100x100 = 10k 
30s * 10k = 300k

1 Tag = 86400 Sekunden ~ 100.000
300/100 = 3 Tage

für 3 Stellen mehr hat man 100x100x100 = 1.000.000, also 30 Millionen Sekunden
30.000/100 = 300 Tage

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...