Brutforce Angriff berechnen

[Rubinchen]

Grüße,

mein Kollege in der Firma hat in einer Woche Prüfung

Nun hat er in einer Übungsaufgabe die besagt berechnen sie wie lange es dauert ein Passwort zu knacken.

Hier ist die besagte Aufgabe:

8-stellige Passwörter können mit einer Brute-Force-Attacke innerhalb von 30 Sekunden erraten werden. Daher wurde beschlossen,
die Passwortlänge auf 10 Zeichen zu erhöhen. Jede Stelle des Passwortes besteht aus einem von 94 möglichen Zeichen.
Die firmeninterne Passwortrichtlinie gibt vor, dass jedes Passwort nach spätestens 30 Tagen zu ändern ist.
Überprüfen Sie mithilfe einer Rechnung, ob jedes 10-stellige Passwort innerhalb der Gültigkeitsdauer von 30 Tagen durch eine
Brute-Force-Attacke erraten

Mich interessiert wie man das berechnet, da ich die Berechnung einfach nicht kenne.

[Rienne]

Hallo,

mein Ansatz wäre folgender:

1. Ermittlung der Variationen für ein 8- und ein 10-stelliges Passwort

Spoiler

94^8 Möglichkeiten zu 94^10 Möglichkeiten

2. Ermitteln wie hoch der Faktor zwischen den verschiedenen Anzahlen von Passwortmöglichkeiten ist

Spoiler

(94^10)/(94^8) = 94^(10-8) = 94^2 = 94 * 94 = 8836 

3. Berechnung der benötigten Zeit mit diesem Faktor auf Basis des Wissens, dass man für ein 8-stelliges Passwort 30 Sekunden benötigt.

Spoiler

8836 * 30 Sekunden bzw. 8836 * 0,5 Minuten = 4418 Minuten = 4418 / 60 Stunden = 73,63 Stunden = 73,63 /24 Tage = ~ 3 Tage

4. Vergleich der ermittelten Zeit mit dem Zeitraum von 30 Tagen

Spoiler

3 Tage sind weniger als 30 Tage. Ergo hieße das, dass auch ein 10-stelliges Passwort nicht ausreichen würde.

Allerdings ist es lange her, dass ich mich mit solchen Aufgaben beschäftigt habe. Das ist also keine Garantie, dass der Ansatz richtig ist. 😅

[Rubinchen]

Vielen Lieben Dank!! 

[TooMuchCoffeeMan]

@Rienne hat es schon schön ausformuliert.

Ich frage mich allerdings ob die Aufgabe nicht irgendwie sinnlos ist (also abgesehen von der Abfrage mathematischer Kenntnisse)? Wenn ein 8 stelliges Passwort innerhalb von 30 Sekunden geknackt werden kann (was noch zu beweisen wäre), wie soll dann ein 10 stelliges Passwort 30 Tage gegen einen Brute Force Angriff bestehen? Klar kann man das rechnerisch beweisen, aber da sagt mir doch schon der gesunde Menschenverstand, dass das nicht geht. Vor allem wenn ich das zugrundeliegende Alphabet nicht erweitere.

[alex123321]

vor 54 Minuten schrieb TooMuchCoffeeMan:

Ich frage mich allerdings ob die Aufgabe nicht irgendwie sinnlos ist (also abgesehen von der Abfrage mathematischer Kenntnisse)? Wenn ein 8 stelliges Passwort innerhalb von 30 Sekunden geknackt werden kann (was noch zu beweisen wäre), wie soll dann ein 10 stelliges Passwort 30 Tage gegen einen Brute Force Angriff bestehen? Klar kann man das rechnerisch beweisen, aber da sagt mir doch schon der gesunde Menschenverstand, dass das nicht geht. Vor allem wenn ich das zugrundeliegende Alphabet nicht erweitere.

Da stimm ich dir nicht zu. Bei Potenzen kommen teilweise sehr unvorhergesehene Ergebnisse raus. Vor allem wenn man es noch nicht so häufig gesehen hat.

So wie hier auch. Durch die zwei Zeichen verlängert sich die Dauer um den Faktor 9000. Wenn man auf 11 statt auf 10 Zeichen erhöhen würde, wäre man weit über das Ziel hinaus. Wie soll man das in der Ausbildung abschätzen dass 2 viel zu wenig sind und bei drei das Ziel erreicht?

[_n4p_]

der Faktor bleibt aber gleich.

erhöht man die Anzahl der stellen um 2 ist der Faktor immer 94*94.

eine sehr grobe Abschätzung wäre dann:

94x94 -> 100x100 = 10k 
30s * 10k = 300k

1 Tag = 86400 Sekunden ~ 100.000
300/100 = 3 Tage

für 3 Stellen mehr hat man 100x100x100 = 1.000.000, also 30 Millionen Sekunden
30.000/100 = 300 Tage