Frage zu bruteforce

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von splashed, 24. März 2008 .

Schlagworte:
  1. 24. März 2008
    Hallo!

    Wenn bruteforce nach passwörter brutet, nimmt er die Passwörter stück für stück aus der passwordlist oder macht er auch kombinationen?
    z.B:
    PW.txt:
    ABCD1234
    p5oVz'4;
    etc

    bruteforce:
    1. ABCD1234
    2. p5oVz'4;
    3. ABCD p5oV
    4. ABCD z'4
    5. ABCD oVz'
    6. oV AB '4 CD
    oder werden die einfach nur nacheinander abgefragt ?
    also:
    bruteforce:
    1. ABCD1234
    2. p5oVz'4;
    3. fertig!
    DANKE!
     
  2. 24. März 2008
    AW: Frage zu bruteforce

    Also soweit ich weiß macht der bei ner Liste alle nacheinander und keine Kombinationen aus einzelnen Wörtern!

    Also kommt drauf an womit du brutest. Musst uns schon sagen. Sagen wir du brutest MSSQL mit SQLck.exe, dann keine Kombis

    greez

    //edit:

    Das würde sonst auch viiiiiel zu lange dauern. Da gäbs ja zig Möglichkeiten!
     
  3. 24. März 2008
    AW: Frage zu bruteforce

    Er nimmt nur die Pws di inner List stehen sonst wäre das ja nen heilloses durcheinander
     
  4. 24. März 2008
    AW: Frage zu bruteforce

    Wie schon gesagt : Mach mal genauere angaben !

    Mit was Brutetest du?
    Was willst du bruten?

    Hängt nämlich wirklich von dem Tool ab dass du benutzt!
    Als Beispiel JTR : Bei der dicitionary-attacke geht er alle in der wordlist angegebenen PWs durch. Dabei steht pro Zeile ein PW und dieses wird unverändert, so wie is in der Wordlist steht, genutzt. Natürlich gibt es jetzt Tools die die Funktion bieten mit , z.T. auch veränderbaren Regeln, die PWs on-the-flow zu verändern. Bei JTR wäre das z.B. die -rules Funktion. Bei AD die onflow word manipulation.

    greetz
     
  5. 24. März 2008
    AW: Frage zu bruteforce

    das bedeutet also, das passwort, welches geknackt werden soll muss 1zu1 in der list stehen !
    man bräuchte dann doch pw lists mit min 10 gb !
     
  6. 24. März 2008
    AW: Frage zu bruteforce

    Es gibt natürlich noch andere Bruter die sachen aus der liste Kombinieren.
    "Joa solche lists gibt es auch, hab hier noch auf irgendnem server ne 29gb liegen. ^^
    Was natürlich völliger schwachsinn ist und zu nichts zu gebrauchen."
    Kleine Brutlists sind immer besser da es nicht so viel Zeit kostet es zu bruten und weil man in eine kleine einfach alle häufigstens pw's abspeichern kann und somit sie auch viel effizienter erscheinen.

    cheers
     
  7. 25. März 2008
    AW: Frage zu bruteforce

    wie heißen diese buter ?

    also wenn ich ein z.B. passwort hab das so aussieht:
    A2i3kk29dad3
    dann kann man es doch vergessen zu bruten?
     
  8. 25. März 2008
    AW: Frage zu bruteforce

    sagen wir mal, du brutest mit folgendem charset:
    abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890

    dann beträgt die anzahl der möglichen kombinationen: 62^12 = 3.226.266.762.397.899.821.056
    (wenn du genau die enthaltenen buchstaben kennen würdest wären es nur noch 8^12 = 68.719.476.736 möglichkeiten, deshalb ist es ja so sinnvoll lange passwörter mit allen möglichen sonderzeichen zu haben)

    das letzte mal als ich gebrutet habe (md5-hash-kollisionen), hab ich wenn ich mich richtig erinnere ungefähr 140 passes pro sekunde gehabt (bin mir aber nicht mehr so sicher; schon lange her)...

    nun kannst du dir ausrechnen, wie lange zu bruten musst...

    achja: bruten ist alle möglichen kombinationen aus einem bestimmten zeichenvorrat ausprobieren, dictionary-attack ist das ausprobieren mit einer bereits erstellten wortliste, so wie du es meinst (den unterschied solltest du dir merken )
     
  9. 25. März 2008
    AW: Frage zu bruteforce

    bruteforce heisst eigentlich alle möglichen kombinationen auszuprobieren... das was du da oben erwähnst nennt man eher dictionary-attack (Wörterbuch-attacke)...

    je nach programm werden normal beide methoden unterstützt... gibst an für bruteforce länge z.b. 6 und zeichen z.b. 0123456789 (alle zahlen), dann generiert das programm alle möglichen kombinationen bis 6 stellen mit den zahlen und probiert sie natürlich aus
    also:
    0 bis 999999

    geht natürlich auch mit buchstaben, sonderzeichen etc.^^

    wenn ein programm diese brute-force attacke von haus aus nicht unterstützt (nur wörterlist-attacke) gibt es noch genug programme die bruteforce-wörterlisten generieren... z.b. DICTMAKE
    hab mir damit auch welche generiert....z.b:
    Alle.Zahlen.Kombinationen.bis.6.Stellen.txt 8,35MB (wie das oben genannte beispiel)
    Alle.Buchstaben.Kombinationen.bis.4.Stellen.txt 2,70MB (wäre dann von a bis zzzz)

    für das passwort: A2i3kk29dad3
    bräuchteste also bruteforce bis mind. Länge 12 mit allen buchstaben und zahlen... würde sehr lange dauern zum bruten
    wie gesagt entweder das programm unterstützt diese methode oder du machst dir so eine wörterliste...
     
  10. 25. März 2008
    AW: Frage zu bruteforce

    Ich mag jetzt nicht klug n....

    Aber eine Kombination aus einer Liste sind Rainbow-Tables...
    Eine BruteForce ist eine schleife die das alphabet oder das ascii table in einer schleife heraufläuft.

    Brutforce (Länge irrelevant) Like :
    aaaaaaaaa
    aaaaaaaab
    aaaaaaaac
    ...
    aaaaaaaaz
    aaaaaaaba
    aaaaaaabb
    ...
    aaaaaaabz
    ...
    aaaaaaaca
    aaaaaaacb

    Kann mich auch irren aber eine BruteForce ist in meinen augen DEFINITIV NICHT eine Kombination aus in einer Liste eingetragener wörter/phrase.
     
  11. 25. März 2008
    AW: Frage zu bruteforce

    meinst du nicht es fällt einem admin auf
    wenn er mit einer flut von 2gb passes auf seinen admin account zugeballert wird?
     
  12. 25. März 2008
    AW: Frage zu bruteforce

    wenn du dich nun auf meinen beitrag beziehst irrst du dich^^

    ob das programm nun die wörter selber generiert oder ob sie nun schon generiert in einer liste drin stehen ist doch total egal, das ergebnis ist das gleiche..

    ich hoffe du weisst was hashes sind hat mit diesem thema aber nichts zu tun, weil es überhaupt nicht gleichzusetzen ist mit einer wordlist^^
     
  13. 25. März 2008
    AW: Frage zu bruteforce

    bis ich das Passwort hätte, würde ich ja nicht mal mehr leben....
    also ist bruteforce eher dafür gedacht, irgendeinen usernamen mit irgendeinem pw zu erraten.
    statt ein bestimmten user ?!


    welche möglichkeiten gibt es noch, einen wpa handshake also *.cap habe, zu cracken ?bzw zu bruten ?
    ich habe mir mit passwordpower ein paar listen erstellt, aber machen die auch sinn ?

    hat jmd ein paar gute alphanummerische passwortlisten ?
     
  14. 25. März 2008
    AW: Frage zu bruteforce

    BruteForce ist ja wie der Name schon sagt, bloß "Rohe Gewalt" und daher die letzte alle Möglichkeiten, wenn keine anderen Angriffe Erfolg haben oder erfolgversprechend sind!

    Heutzutage ist es Möglich 2^56 (DES Schlüssellänge) Schlüssel in durchschnittlich einer Woche zu knacken! Die 62^12 entsprechen 2^~71.5 was mit genügend Kapital heutzutage - meiner Meinung nach - auch in dem Bereich des Möglichen liegen mag!


    WPA kann man NICHT knacken! Man kann lediglich ein unsicheres Passwort finden, also eines was in Wörterbüchern existiert oder sehr sehr kurz ist!
    Eine spezielle Linux Distribution glaube ich hat viele Funktionen die solche Angriffe möglich machen bzw beschleunigen. Dort sind auch gute Wörterbücher vorhanden!
     
  15. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.