---

HI
Jeg søger en tabel der viser hvor hurtig et password kan gættes alt efter
hvor mange tegn der benyttes, om der benyttes tal og special tegn, gerne
også med forskellige maskiner.
Det skal bruges til at illustrere vigtigheden i at benytte fornuftige
password.

MVH
Ove Hvam Andersen

---

"Ove Hvam Andersen" <oha@kpk-vinduer.dk> wrote in message
news:MJTE6.55059$o4.4666996@news010.worldonline.dk...
> HI
> Jeg søger en tabel der viser hvor hurtig et password kan gættes alt efter
> hvor mange tegn der benyttes, om der benyttes tal og special tegn, gerne
> også med forskellige maskiner.
> Det skal bruges til at illustrere vigtigheden i at benytte fornuftige
> password.
>
> MVH
> Ove Hvam Andersen

Lige off the top of my head mener jeg at 3 chars er cracket på under 1
sekund, og 4 på under et minut.. ved ikke med andre..

skohorn

---

Bent skohorn skrev:

>Lige off the top of my head mener jeg at 3 chars er cracket på under 1
>sekund, og 4 på under et minut.. ved ikke med andre..

Så lang tid tager det da kun med et langsomt program eller en
langsom computer. Jeg kan gøre det væsentligt hurtigere.

Hvis dine tal holdst stik, ville det tage 46'656'000'000 minutter
at knække 10 tegn. Det er knap 89 år.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

Hej Bertel Lund Hansen <nospamto@lundhansen.dk>

>>Lige off the top of my head mener jeg at 3 chars er cracket på under 1
>>sekund, og 4 på under et minut.. ved ikke med andre..
>
>Så lang tid tager det da kun med et langsomt program eller en
>langsom computer. Jeg kan gøre det væsentligt hurtigere.

Det er jo ikke nok blot at sammensætte kombinationerne; programmet
skal også checke validiteten af kombinationerne.

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" <larskim@mail.com> wrote
> Det er jo ikke nok blot at sammensætte kombinationerne; programmet
> skal også checke validiteten af kombinationerne.

Jeg tror nu ikke det er det der trækker tænderne ud.. ikke hvis du cracker
op mod password hashes ihvertfald... remote bruteforcing er derimod noget
hen ved håbløst..

> --
> Lars Kim Lund
> http://www.net-faq.dk/

bent

---

Hej "Bent skohorn" <a@b.c>

>Jeg tror nu ikke det er det der trækker tænderne ud.. ikke hvis du cracker
>op mod password hashes ihvertfald...

Nej? Jeg ville have troet det tog flere cpu-cykler end selve det at
beregne kombinationerne, men det afhænger nok af hvor let man kan
afgøre om en kode er valid eller ej.

> remote bruteforcing er derimod noget hen ved håbløst..

Jo, især hvis man ikke har et passende interface.

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" <larskim@mail.com> wrote
> Hej "Bent skohorn" <a@b.c>
>
> >Jeg tror nu ikke det er det der trækker tænderne ud.. ikke hvis du
cracker
> >op mod password hashes ihvertfald...
>
> Nej? Jeg ville have troet det tog flere cpu-cykler end selve det at
> beregne kombinationerne, men det afhænger nok af hvor let man kan
> afgøre om en kode er valid eller ej.

som regel bruger man samme krypteringsmekanisme som da passwordet blev
cryptet , og starter bare fra en ende af.. så snart man har cryptet det
rigtige ord vil resultatet jo være magen til det mman matcher det op imod.

> > remote bruteforcing er derimod noget hen ved håbløst..
>
> Jo, især hvis man ikke har et passende interface.

Det laver man da. Men det er noget juks alligevel. En sysadm med lidt
snusfornuft stopper det hurtigt.

> Lars Kim Lund
> http://www.net-faq.dk/

bent

---

Hej "Bent skohorn" <a@b.c>

>som regel bruger man samme krypteringsmekanisme som da passwordet blev
>cryptet , og starter bare fra en ende af.. så snart man har cryptet det
>rigtige ord vil resultatet jo være magen til det mman matcher det op imod.

Jaja, men spørgsmålet er om det er selve beregningen af koderne eller
checket der tager tid. Konklusionen vil også afhænge af hvad man
betragter som kode og hvad (hvilke beregninger) der hører til at
checke kodens validitet.

Ikke så interessant, lad os stoppe her.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <larskim@mail.com> wrote:

>Hej "Bent skohorn" <a@b.c>
>
>>Jeg tror nu ikke det er det der trækker tænderne ud.. ikke hvis du cracker
>>op mod password hashes ihvertfald...
>
>Nej? Jeg ville have troet det tog flere cpu-cykler end selve det at
>beregne kombinationerne, men det afhænger nok af hvor let man kan
>afgøre om en kode er valid eller ej.

Den oprindelige Unix-password-kryptering var omhyggeligt designet
så det tog en temmelig stor del af et sekund (på datidens
maskiner) at tjekke et password. Det satte den gang grænsen for
hvor mange man kunne afprøve på begrænset tid.

De moderne passwordalgoritmer tager da vist også lidt tid at
tjekke, men jeg har ikke styr på hvor meget.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Følgende tabel fandt jeg i en bog om netværks sikkerhed:

Dette er en tabel der viser hvor lang tid det tager for en supercomputer
(hvilken vides ikke) at knække passwords.

Password eksempel:| Antal Tegn | Store bogstaver| Tal | Spicial tegn | Tid
maspar | 6 | - | -
| - | 1 min
ma83ar | 6 | - | Ja
| - | 6 min
masPAR | 6 | Ja | -
| - | 1 time
ma8%AR | 6 | Ja | Ja | Ja
| 29 timer
stenbolt | 8 | - | -
| - | 9 timer
Pl+16?as | 8 | Ja | Ja |
Ja | 29 år

Kilde: Lokalnetsikkerhed - Teknisk forlag
--Kilde(Står i bogen): Uni-c

Håber at det er læseligt

Mhv
Anders Lund

---

Snuggle Puss and Anders Lund sat in a meadow and agreed on this:

>Følgende tabel fandt jeg i en bog om netværks sikkerhed:
>
>Dette er en tabel der viser hvor lang tid det tager for en supercomputer
>(hvilken vides ikke) at knække passwords.

<snip>

>Kilde: Lokalnetsikkerhed - Teknisk forlag
>--Kilde(Står i bogen): Uni-c
>
>Håber at det er læseligt

Det var det så ikke. Er den her (lidt) bedre?

>Password eksempel:| Antal Tegn | Store bogstaver| Tal | Spicial tegn | Tid
>maspar | 6 | - | - - | 1 min
>ma83ar | 6 | - | Ja- | 6 min
>masPAR | 6 | Ja | - - | 1 time
>ma8%AR | 6 | Ja | Ja | Ja | 29 timer
>stenbolt | 8 | - | - - | 9 timer
>Pl+16?as | 8 | Ja | Ja | Ja | 29 år

--
Mvh, Christian

Bliv fri for spam! - http://www.sneakemail.com

---

Hvis du laver nogle ordentlige password filer og knækker fra kan det gøres
ret så hurtigt.

Har selv lavet test på min maskine (pentium2 350 Mhz) og knækket 6 tegn's
password på sekunder.

/ Jacob

---

"Jacob Christiansen" <j@t.dk> wrote in message
news:9dcm8e$8tk$1@news.inet.tele.dk...
>
> Hvis du laver nogle ordentlige password filer og knækker fra kan det gøres
> ret så hurtigt.
>
> Har selv lavet test på min maskine (pentium2 350 Mhz) og knækket 6 tegn's
> password på sekunder.

uhadada.. var dit password pisnar og havde du tilfældigvis en wordlist der
stod pisnar i?

du skal ikke komme og påstå at du har bruteforced 6 char passwd's på
sekunder... medmindre passwordet var aaaaaa .. pfft... bullshit

bent

> / Jacob
>
>

---

Hej Bent.

> du skal ikke komme og påstå at du har bruteforced 6 char passwd's på
> sekunder... medmindre passwordet var aaaaaa .. pfft... bullshit

Agree ! Hverken Cain eller Lopht kan prestere den hastighed, med mindre
passwordet er i wordlist ..

Måske vi her har det første eksempel på "Lost time" i Danmark ??

... Hey Jacob .. du vågnede ikke op ude på en mark, indsmurt i noget
mærkeligt blæver .. vel ??

*Fnis* ... El

---

Ove Hvam Andersen wrote:

> HI
> Jeg søger en tabel der viser hvor hurtig et password kan gættes alt efter
> hvor mange tegn der benyttes, om der benyttes tal og special tegn, gerne
> også med forskellige maskiner.
> Det skal bruges til at illustrere vigtigheden i at benytte fornuftige
> password.


Min PIII 700 Mhz gætter 80.000-90.000 kombinationer i sekundet, herfra
kan du selv regne videre. Typisk bliver 3% gættet inden for de første 10
sekunder og 10% gættet inden for den første time. Efter 2 dage er
40%-50% gættet.

PS: Et godt gammelt NT4.0 passwords er bygget op i blokke af 7 tegn,
hver blok kan knækkes selvstændigt. Dette gører denne type passwords
meget nemmere at gætte.

---

Christian E. Lysel wrote in <news:3BF8409B.40200@wmdata.com>:

>> HI
>> Jeg søger en tabel der viser hvor hurtig et password kan gættes
>> alt efter hvor mange tegn der benyttes, om der benyttes tal og
>> special tegn, gerne også med forskellige maskiner.
>> Det skal bruges til at illustrere vigtigheden i at benytte
>> fornuftige password.

Der findes mange, her er en:

http://www.lockdown.co.uk/security/combi.php

Jeg har IKKE regnet tallene igennem selv. Det må være op til dig selv
om du vil tage dem for gode varer.

> Min PIII 700 Mhz gætter 80.000-90.000 kombinationer i sekundet,
> herfra kan du selv regne videre. Typisk bliver 3% gættet inden for
> de første 10 sekunder og 10% gættet inden for den første time.
> Efter 2 dage er 40%-50% gættet.

Undskyld? 3%, 10% og 50% af hvad?

100k passwords i sekundet er ret langsomt, hvis du skal knække mere end
de allersimpleste passwords.

--
Niels Callesøe - nørd light @work
"Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet"
Disclaimer: http://www.spacefish.net/nica/index.php3?step=disclaim

---

Niels Callesøe wrote:

>>Min PIII 700 Mhz gætter 80.000-90.000 kombinationer i sekundet,
>>herfra kan du selv regne videre. Typisk bliver 3% gættet inden for
>>de første 10 sekunder og 10% gættet inden for den første time.
>>Efter 2 dage er 40%-50% gættet.
>>
>
> Undskyld? 3%, 10% og 50% af hvad?


Den totale mængde af password i en given installation, hvor man ikke er
opmærksom på sikkerhed.


> 100k passwords i sekundet er ret langsomt, hvis du skal knække mere end
> de allersimpleste passwords.

Problemet er blot at mange password er de allersimpleste, fx bamse1,
eller <userid> eller <userid>1

---

Christian E. Lysel wrote:

>Problemet er blot at mange password er de allersimpleste, fx bamse1,
>eller <userid> eller <userid>1

PIS!

Forfra igen...

--
"...personality goes a long way."

http://chran.dyndns.dk - Nu med misbrug!

---

On 20 Nov 2001 00:28:34 GMT, Niels Callesøe <niels2000@spamcop.net> wrote:
> Christian E. Lysel wrote in <news:3BF8409B.40200@wmdata.com>:

>> Min PIII 700 Mhz gætter 80.000-90.000 kombinationer i sekundet,
>> herfra kan du selv regne videre. Typisk bliver 3% gættet inden for
>> de første 10 sekunder og 10% gættet inden for den første time.
>> Efter 2 dage er 40%-50% gættet.
>
> Undskyld? 3%, 10% og 50% af hvad?
>

Og hvilken algoritme knækkes. Iterative runder af md5 kan sagtens gøre
underværker...

--
Jesper

---

> PS: Et godt gammelt NT4.0 passwords er bygget op i blokke af 7 tegn,
> hver blok kan knækkes selvstændigt. Dette gører denne type passwords
> meget nemmere at gætte.

Øh, det med 7 er godt nok, men godt nok forkert..

SAM-filen krypterer i blokke af 8 tegn, derfor er 7 tegn, det bedste man kan
få - tjao og så 14, etc. - men så plejer folk at skrive dem ned og så.....

Læs mere i Hacking Exposed

/Tr

---

Troels Larsen wrote:
>
> 14, etc. - men så plejer folk at skrive dem ned og så.....

Så har folk da en dårlig hukomelse. Mit password består
af 16 tilfældige tegn, og jeg har absolut intet problem
med at huske det. (-:

--
Kasper Dupont

---

Kasper Dupont skrev:

>Så har folk da en dårlig hukomelse. Mit password består
>af 16 tilfældige tegn, og jeg har absolut intet problem
>med at huske det. (-:

ER de også tilfældige, eller er det ikke en eller anden forkortelse
eller noget i den dur?

Tilfældig er det vel kun hvis det er PCen der har spyttet den ud. Det
med at kaste sine fingre tilfældigt ned giver nok oftere tryk på
tasterne i midten af tastaturet end f.eks. *-tasten på det numeriske
tastatur.

venligst,
Lasse Hedegaard

--
Fjern SIM-låsen fra din mobiltelefon: http://www.simlock.dk/
>>> Vær med i konkurrencen om gratis unlocking! <<<

---

In article <83sa0u4rdvuf57onef976bnohjdkaj58n6@news.tele.dk>,
Lasse Hedegaard <laxxe@nospam.dk> wrote:

> Tilfældig er det vel kun hvis det er PCen der har spyttet den ud.

Tilfældige er de vel kun, hvis PC'en har spyttet dem ud ved at "kigge"
på en eller anden ekstern kilde (digitaliseret støj af en eller anden
art, fx). Hvis den bare har genereret med en eller anden
pseudo-tilfældighedsgenerator, er jeg sikker på at min hjerne rummer
mere entropi end computeren

/Jakob

---

Jakob Færch wrote:
>
> In article <83sa0u4rdvuf57onef976bnohjdkaj58n6@news.tele.dk>,
> Lasse Hedegaard <laxxe@nospam.dk> wrote:
>
> > Tilfældig er det vel kun hvis det er PCen der har spyttet den ud.
>
> Tilfældige er de vel kun, hvis PC'en har spyttet dem ud ved at "kigge"
> på en eller anden ekstern kilde (digitaliseret støj af en eller anden
> art, fx). Hvis den bare har genereret med en eller anden
> pseudo-tilfældighedsgenerator, er jeg sikker på at min hjerne rummer
> mere entropi end computeren

Jeg bruger Linux indbyggede tilfældigtalsgenerator, der
kombinerer input fra eksterne kilder med en kryptografisk
stærk pseudotilfældigtalsgenerator. Den har som standard
512 bytes entropi, og man kan selv vælge om man vil nøjes
med pseudotilfældige tal når entropien er brugt op, eller
man vil vente på input fra eksterne kilder.

Og jeg bruger disse tal til at vælge tegn fra mængden af
alle cifre, store og små bogstaver og nogle specialtegn.

--
Kasper Dupont

---

Troels Larsen wrote:

> Øh, det med 7 er godt nok, men godt nok forkert..


Jeg er ikke helt sikker om det er 6,7 eller 8, men blokke er de delt op
i. Dog er det anderledes i Windows 2000, og NT4.0 har da også en patch
der ændre dette.


> SAM-filen krypterer i blokke af 8 tegn, derfor er 7 tegn, det bedste man kan
> få - tjao og så 14, etc. - men så plejer folk at skrive dem ned og så.....

Dvs. du mener det er en forbedring af sikkerheden at dele det op i
blokke, der kan analyseres selvstændigt?

Jeg har kun erfaringer med at det er mange mange gange hurtigere end en
traditionelle UNIX passwords.

Sidst jeg kørte en passwordknækker på en SAM-fil, testede den
180.000.000 (eller måske er der en fejl i passwordknækkeren jeg brugere)
kombinationer i sekundet. SAM-filen var knap 100kb stor, og de første 10
sekunder knune skærmen ikke følge med alle de kombinationer der ramte
rigtigt. Efter 2 minutter, gættede den 2 rigtige kombinationer i
sekundet. Efter 2 minutter var der mange hele passwords og halve
passwords, og tit var det ikke svært at gætte resten selv.

Det har jeg aldrig oplevet med en UNIX passwd-fil.

---

The password search time with respect to the password and charset
size.
The search speed is supposed equal to 100,000 passwords per second (a
medium speed).

psw length / charset
26 (no case, letters only)
36 (no case, letters&digits)
52 (case sensetive)
96 (all printable)

4
0
0
1 minute
13 minutes

5
0
10 minutes
1 hour
22 hours

6
50 minutes
6 hours
2.2 days
3 monthes

7 22 hours
9 days
4 monthes
23 years

8
24 days
10.5 monthes
17 years
2287 years

9
21 monthes
32.6 years
881 years
219,000 years

10
45 years
1159 years
45,838 years
21 million years





Alle tal med forbehold
d.v.s. 10 chr alle tegn tager ca 21 mil år

Med venlig hilsen, Lars
www.complex-data.dk www.pc-doktoren.dk
Tlf: 48188551 Fax: 48188551 Hotline:40188551 alle dage 7oo-22oo
kompetence koster penge - inkompetence koster MANGE penge.



On Wed, 28 Nov 2001 23:40:21 +0100, "Troels Larsen"
<troels@illuminati.dk> wrote:

>> PS: Et godt gammelt NT4.0 passwords er bygget op i blokke af 7 tegn,
>> hver blok kan knækkes selvstændigt. Dette gører denne type passwords
>> meget nemmere at gætte.
>
>Øh, det med 7 er godt nok, men godt nok forkert..
>
>SAM-filen krypterer i blokke af 8 tegn, derfor er 7 tegn, det bedste man kan
>få - tjao og så 14, etc. - men så plejer folk at skrive dem ned og så.....
>
>Læs mere i Hacking Exposed
>
>/Tr
>

---

<complex@pc.dk> wrote in message
news:psmb0usmofgb1dmlhb33kmqpqkh7195cr9@4ax.com

> The password search time with respect to the password and charset
> size.
> The search speed is supposed equal to 100,000 passwords per second (a
> medium speed).

Og ligesome som sidste er medium speed en 386sx eller en ES10K