- 17.05.25
- 15:08
- Artikel
-
+1
RTX 5090 knackt Passwörter in Minuten: So schützen sich Nutzer
Fazit aus dem Artikel: Microsoft hat ~6944 Passwort-spraying Angriffe pro Sekunde, also mit geknakten Passworten und geleakten Email-Adressen.
Dadurch wird nie ein Anmelde-Konto gesperrt, bruteforce wird da nie angewand. 2FA ist besser als ein Passwort allein, aber nicht phishing resistent.
Die Tabelle gibt Zeiten für das bruteforcen von bcrypt an. Laut Statistiken, dauert es jedoch meist nur 50% der angegebenen Zeit ein Passwort zu brutforcen, egal bei welchem Hashverfahren.
Sieht so aus, dass sich die Zeit zum Bruteforcen jedes Jahr um 30% - 50% (3090 -> 4090 -> 5090 ...) verkürzt, das ist dann auch bei Wörterbuch + "Schema" Attaken so.
In Microsofts Active Directory wid jedoch NTLM V2 (~MD4) benutzt, das lässt sich mega schneller bruteforcen, siehe die Tabelle MD5 von 2023,
alle Zeiten durch 2, da die 5090 doppelt so schnell ist bei Zahl, klein-, Großbuchstaben, Sonderzeichen als die 4090, dann wieder durch 2 weil nach ca. 50% das Passwort ermittelt ist.
Bruteforcen (hashcat) bis 8, maximal 9 Zeichen, dann Wörterbuch + Schema Attacken. 40 bis 60% der Passworte sind dann meist nach max 24 Stunden geknackt (Passwort Audit im AD).
Dem Hacker in der Firma reicht allerdings ein gephishtes Passwort. Das ist mit ein Grund, warum Firmen schnell erledigt sind.
Wer ein knackbares Passwort nutzt, egal mit welchem Hashverfahren es gespeichert wird ist sobald die Datenbank von Häckern erbeutet wird Opfer, da alle Zusatzinformationen
(Hashverfahren, KDF-Iretationen, Salt, Pepper, TOTP-Code, ...) in der Datenbank stehen.
4 stellige PIN + 2FA = Opfer
Viele nutzen: Wort aus dem Lexikon dann 1 bis 6 Zahlen dann Sonderzeichen oder erst das Sonderzeichen
(Sonnenschein123456! / Sonnenschein!123456 / !SonnenSchein123456!), alles Opfer.
14 stelliges Passwort nach einem Schema? Bei 2,5 Stunden geht es los, bis 72 Stunden.
Der Mensch kann Passworte nicht, das Passwort ist tot und überlebt nur noch ein bischen mit Passwortmanager und zufälligen Passworten ab 15 Zeichen + 2FA, bitte nicht phishen lassen...
Passkey (Fido 2) ist die Alternative, selbst wenn diese beim User in einem synchronisierbaren "Safe" gespeichert werden.
Ich nutze YubiKeys (PassKey / TOTP) und Windows-Hello via TPM 2.0, sowie Bitwarden bei unwichtigen Passkeys und für die Passworte, TOTP.
Kommentare
5
Kommentare
geschrieben
0
Antworten
erhalten
2
Likes
erhalten
RTX 5090 knackt Passwörter in Minuten: So schützen sich Nutzer
@Uwe Lange: Ohne Quantenrechner: Nach Statistiken wird nach ca. 50 % der Zeit meist das Passwort gefunden.
Die 164 Jahre für ein zufälliges 8 stelliges PW gelten nur für "bcrypt" mit 600000 KDC-Iritationen, schwächere Verschlüsselungsverfahren, weniger KDC-Iritationen ... verkürzen die benötigte Zeit gewaltig.
RTX 5090 knackt Passwörter in Minuten: So schützen sich Nutzer
@c0d3r9: Du teilst also lieber dein Geheimnis (Passwort) mit dem Dienst den du nutzen möchtest (BSP: Ama**n), inkl. 2FA?
Ich nicht, ich gebe lieber einen öffentlichen Schlüssel an den Anbieter.
Wir nutzen seit 13 Jahren mehrere YubiKeys (früher für 2FA, jetzt für Passkey und TOTP, mit PIN Schutz und das TPM 2.0 mit Windows Hello. PIN, Fingerabdruck und Gesichtserkennung sind lokal im Sicherheitschip der Geräte gespeicherte, ein Hacker irgendwo auf der Welt ist changenlos. Mein Geld bleibt auf meinem Konto.
Ein Fingerabdruck und die damit erstellte Fingerabdruckattrappe nutzt dir alleine nichts, du benötigst dann noch mindestens ein Gerät deines Opfers.
Bei einem Passwortmanager im Web kannst du dich mit der Fingerabdruckattrappe (oder einem Foto) auch nicht anmelden, die Prüf-Daten sind dort überhaupt nicht vorhanden.
Vor einem aussperren bei einem "Dienst" wegen Passkeys habe ich nicht, es gibt zu 99,9% immer ein Resetfeature.
Zitat: "...der heilige Gral für Ermittlungsbehörden." Selten so gelacht.
Ermittlungsbehörden, fast ausschließlich kriminelle haben mit denen Probleme, für die Meisten sind die kein Problem.
Ermittlungsbehörden beschlagnamen deine Geräte, wenn es nötig sein sollte, ja sie dürfen dein Gesicht vor das Gerät halten oder deinen Finger drauflegen zum Entsperren. Passwort, PIN -> Beugehaft in unser Demokratie, Exploids oder, oder...
"Satiere: Ach die wollen die nur auf deine Kosten einkaufen?" ;-)
In unfreundlichen Ländern oder Kriminellen reicht auch dein Kopf oder dein Finger, der Rest ist überflüssig, ach du hast eine PIN oder ein Password? Die Foltern dich einfach bis du nachgibst oder tot bist.
RTX 5090 knackt Passwörter in Minuten: So schützen sich Nutzer
@Peppermint: Bei Passwortspraying wird überhaupt nichts gesperrt, die Scripte schauen 1x pro Stunde vorbei und probieren das nächste geleakte Passwort aus. 24 Stunden am Tag, 365 Tage pro Jahr bei Millionen Accounts, bis eins funktioniert.
RTX 5090 knackt Passwörter in Minuten: So schützen sich Nutzer
PS: Man sperrt sich bei Passkeys nicht aus, es gibt ohne Passwort Möglichkeiten der Rücksetzung.
RTX 5090 knackt Passwörter in Minuten: So schützen sich Nutzer
Fazit aus dem Artikel: Microsoft hat ~6944 Passwort-spraying Angriffe pro Sekunde, also mit geknakten Passworten und geleakten Email-Adressen.
Dadurch wird nie ein Anmelde-Konto gesperrt, bruteforce wird da nie angewand. 2FA ist besser als ein Passwort allein, aber nicht phishing resistent.
Die Tabelle gibt Zeiten für das bruteforcen von bcrypt an. Laut Statistiken, dauert es jedoch meist nur 50% der angegebenen Zeit ein Passwort zu brutforcen, egal bei welchem Hashverfahren.
Sieht so aus, dass sich die Zeit zum Bruteforcen jedes Jahr um 30% - 50% (3090 -> 4090 -> 5090 ...) verkürzt, das ist dann auch bei Wörterbuch + "Schema" Attaken so.
In Microsofts Active Directory wid jedoch NTLM V2 (~MD4) benutzt, das lässt sich mega schneller bruteforcen, siehe die Tabelle MD5 von 2023,
alle Zeiten durch 2, da die 5090 doppelt so schnell ist bei Zahl, klein-, Großbuchstaben, Sonderzeichen als die 4090, dann wieder durch 2 weil nach ca. 50% das Passwort ermittelt ist.
Bruteforcen (hashcat) bis 8, maximal 9 Zeichen, dann Wörterbuch + Schema Attacken. 40 bis 60% der Passworte sind dann meist nach max 24 Stunden geknackt (Passwort Audit im AD).
Dem Hacker in der Firma reicht allerdings ein gephishtes Passwort. Das ist mit ein Grund, warum Firmen schnell erledigt sind.
Wer ein knackbares Passwort nutzt, egal mit welchem Hashverfahren es gespeichert wird ist sobald die Datenbank von Häckern erbeutet wird Opfer, da alle Zusatzinformationen
(Hashverfahren, KDF-Iretationen, Salt, Pepper, TOTP-Code, ...) in der Datenbank stehen.
4 stellige PIN + 2FA = Opfer
Viele nutzen: Wort aus dem Lexikon dann 1 bis 6 Zahlen dann Sonderzeichen oder erst das Sonderzeichen
(Sonnenschein123456! / Sonnenschein!123456 / !SonnenSchein123456!), alles Opfer.
14 stelliges Passwort nach einem Schema? Bei 2,5 Stunden geht es los, bis 72 Stunden.
Der Mensch kann Passworte nicht, das Passwort ist tot und überlebt nur noch ein bischen mit Passwortmanager und zufälligen Passworten ab 15 Zeichen + 2FA, bitte nicht phishen lassen...
Passkey (Fido 2) ist die Alternative, selbst wenn diese beim User in einem synchronisierbaren "Safe" gespeichert werden.
Ich nutze YubiKeys (PassKey / TOTP) und Windows-Hello via TPM 2.0, sowie Bitwarden bei unwichtigen Passkeys und für die Passworte, TOTP.