Nachdem wir vor kurzem darüber diskutiert haben, ob Passwörter eigentlich überhaupt noch sicher sind, noch mal ein paar Fakten zum Thema:
- SSH-Honeypot Ich habe jetzt seit etwas über einen Monat einen SSH-Honeypot auf meinem Server laufen. Die Anzahl der probierten unterschiedlichen Root-Passwörter liegt bei sage und schreibe 360. Und alles kein Brute-Force sondern Pille-Palle-Wortlisten. Hier ist das Live-Log
- Lange Passwörter unknackbar Ein super simples Passwort wie ichgehmalbierholen (18 Zeichen, nur Kleinbuchstaben) braucht bei Annahme eines Core-i7 auf einem Core mit der höchsten Rategeschwindigkeit des schlechtesten Algorithmus(MySQL-Fast von http://calc.opensecurityresearch.com mit 43K Tests/Sekunde) im schlechtesten Fall bis zu 23 Billionen Jahre bis der Komplette Passwortraum geraten wurde. Gehe ich mal von einer 10-fachen Rechnerleistung aus mit je 16 Kernen pro Rechner und 1000 Rechnern, dann bleiben immer noch 140.000 Jahre für einen Brute-Force-Angriff übrig.
- SSH-Brute-Force SSH-Brute Force ist um Welten langsamer als lokales BruteForce, bei dem man Zugriff auf die Hashes hat. IMHO Niemals knackbar ohne eine zusätzliche Sicherheitslücke.
Ich würde sagen, Brute-Force ist total irrelevant, weil der Aufwand gigantisch hoch ist und jedes halbwegs gut verwuerfelte Wortspiel aus Kleinbuchstaben mit mehr als 14 Zeichen in keiner realistischen Zeit per Brute Force knackbar ist.
Was natürlich übel sein könnte, ist die Verwundbarkeit von einigen Hash-Algorithmen - wovon ich keine Ahnung habe - so dass durch schlaue Köpfe auf alten Systemen Passwörter einfach abgefischt werden könnten. Weiss da jemand etwas genaueres dazu zu sagen?
Was auch noch übel ist, sind irgendwelche Passwörter die in irgendwelchen Configdateien im Klartext rumliegen und Standardpasswörter, die weit verbreitet im Einsatz sind.
Auch übel wenn irgendwelche Default-Passwörter auf unsicheren Geräten eingesetzt werden. Im vergangenen Jahr gab es da z. B. mal wieder eine Sicherheitslücke, mit der man sich vom IPMI(Server-Management) das Passwort per Browser im Klartext anzeigen lassen konnte, wenn man sich nur auf den richtigen Port (weiss gerade nicht mehr welcher das war irgendwas >50000) von dem Gerät verbindet. Einen APC Stromverteiler mit LAN-Schnittstelle habe ich hier noch rumliegen, der hat ne Backdoor drin, über die sich jeder das Passwort selber neu setzen kann, btw. das bestehende per Memory-Dump anzeigen.
Eine Ursache von sicherheitstechnischen Katastrophen entstehen meiner Ansicht nach durch Verkettung von mehreren Sicherheitsschwachstellen, die alle jeweils eine einzelne Reduktion der Sicherheit zu Folge haben und in Gänze dann die Zugriffshürde auf einen Zaun von 20 cm Höhe zusammenschrumpfen lassen. Deswegen finde ich einen gewissen Sicherheitspuffer auch wünschenswert. Wenn dass dann im Hinblick auf BruteForce die 1000 Jahre sind um ein Passwort zu knacken, die durch die ganzen dummen Zufälle dann auf 50 Jahre zusammenschrumpfen, dann ist man froh so viel Puffer gehabt zu haben.
Lesezeichen