Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Schönes Beispiel, wie wichtig sichere Passwörter sind
Schönes Beispiel, wie wichtig sichere Passwörter sind
Marcel_75@work
05.07.11
14:40
Habe gerade mit John the Ripper (Jumbo Patch)
getestet, wie lange er bei einem relativ einfachen Benutzer-Passwort (
sicher1
) aktuell benötigt, es zu knacken:
1. GUID ermittlen:
dscl localhost -read /Search/Users/test | grep GeneratedUID | cut -c15-
0FB547B8-1FEC-4621-9604-FBEB50CB3A21
2. SHA1 hash extrahieren
sudo cat /var/db/shadow/hash/0FB547B8-1FEC-4621-9604-FBEB50CB3A21 | cut -c169-216
AB24FE9FF609BF24E18C7838BF6F64ECF0C67BF75692E51B
3. Eine Textdatei mit dem Usernamen und dem Hashwert erstellen und "john" darauf los lassen:
/Users/Shared/John_TEST/run/john /Users/Shared/sha1.txt
Loaded 1 password hash (Mac OS X 10.4+ salted SHA-1 [32/64])
sicher1 (test)
guesses: 1 time: 0:00:04:32 (3) c/s: 2575K trying: sicher1
Es brauchte wie man sieht nicht einmal 5 Minuten!
Wie ich finde ein sehr schönes Beispiel um zu zeigen, dass man auf jeden Fall Passwörter mit einer Mischung aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern benutzen sollte!
Hilfreich?
0
Kommentare
Marcel_75@work
05.07.11
15:40
PS: Eventuell wäre auch noch wichtig zu wissen, dass das Auslesen der GUID und die Ermittlung des dazugehörigen SHA1 hash auch im SingleUserMode möglich ist, der Befehl muss nur leicht abgewandelt werden!
dscl localonly -read /Local/Default/Users/test GeneratedUID | cut -c15-
Hilfreich?
0
Krisse
05.07.11
15:56
Hast Du das einfach im Terminal eingegeben oder hast Du dafür noch ein zusätzliches Programm oder so gebraucht?
Ich halte es so, dass ich einen Kennwortstamm aus den von Dir genannten Groß- und Kleinbuchstaben und Ziffern habe, welcher durch einen individuellen Code für die unterschiedlichen Dienste ergänzt wird. Auf Sonderzeichen habe ich verzichtet, weil ich verhindern wollte, dass ich meinen Kennwortstamm irgendwann bei einer Seite mal nicht verwenden kann, weil das oder die Sonderzeichen nciht unterstützt werden. Und bei der Masse an Diensten, die sich so ansammeln hielt ich das für sehr wahrscheinlich.
Ciao Krisse
Hilfreich?
0
_mäuschen
05.07.11
16:19
Das ging ja schnell
john test.ash
Loaded 1 password hash (Mac OS X 10.4+ salted SHA-1 [32/32])
test23 ( ? )
guesses: 1 time: 0:00:00:01 (3) c/s: 356762 trying: test23
Aber an meinem Admin Passwort arbeitet john nun schon über eine Stunde
und wer weiss wie lange das noch dauert.
Hilfreich?
0
Duck Dodgers
05.07.11
16:51
Interessant und hoffe, dass nun einige Ihr Passwort ändern
Werde es mal ausprobieren, ob er meins findet ... ich bezweifle es
Hilfreich?
0
julesdiangelo
05.07.11
17:09
Wichtig ist noch zu erwähnen, dass man bei jedem Dienst auch wirklich ein anderes Passwort haben sollte.
Gibt genug Shops die z.B. abchecken ob das Email/Paypal Passwort das gleiche ist wie das des Shops.
Ob absichtlich oder gehackt sei dahingestellt.
Ein Merksatz mit einer Veränderlichen für den Dienst, davon jeweils die Anfangsbuchstaben.
Ersetzungen wie
nicht
#
ein
1
ein ! am Ende
Und schon hat man ein tolles Passwort, für welches man sich genau einen Satz merken muss und an einer Stelle einfach den Anfangsbuchstaben des Dienstes bei dem man sich gerade einloggen will einsetzt.
Bsp:
Das ist ein superduper Passwort für xxx !
Di1sPfM!
Das wäre das Passwort für MTN
Di1sPfP!
Das wäre das Passwort für Paypal.
Di1sPfR!
Das wäre das Passwort für den Root-Account.
In diesem Fall sind es nur 8 Zeichen, aber ich würd gern wissen, wie lang John dafür benötigt.
„bin paranoid, wer noch?“
Hilfreich?
0
snowman-x
05.07.11
17:27
coole idee
Hilfreich?
0
Mr. Fuchs
05.07.11
17:38
Bei meinen 21 Stellen kann der John lange knobeln...
Hilfreich?
0
Marcel_75@work
05.07.11
19:01
Krisse
Hast Du das einfach im Terminal eingegeben oder hast Du dafür noch ein zusätzliches Programm oder so gebraucht?
Das Auslesen der GUID und die Ermittlung des SHA1 Hash funktioniert mit Mac OS X Bordmitteln.
Das knacken des Passwortes kann dann auf einem beliebigen Rechner erfolgen, das einzige was man da dann noch benötigt ist ein Tool wie "jack" (siehe Link ganz oben).
Hilfreich?
0
WALL*E
05.07.11
19:24
julesdiangelo
Den Spaß an solchen Systemen verderben einem nur die Anbieter, die eine Obergrenze für die PW-Länge haben wie bsp. Adobe (12 Zeichen) oder Skype (20 Zeichen). Was zur Hölle soll das?!
Hilfreich?
0
_mäuschen
05.07.11
19:26
Erstaunlich was ein
x
ausmachen kann (s.o.)
john test.ash
Loaded 1 password hash (Mac OS X 10.4+ salted SHA-1 [32/32])
test23
x
( ? )
guesses: 1 time:
0:02:52:32
(3) c/s: 1265K trying: test23
x
Hilfreich?
0
sadf432f
05.07.11
19:37
Auf die Gefahr hin, dass ich was nicht verstanden habe:
Für den SHA1 Hash muss ich doch das Passwort eingeben, welches ich rausfinden möchte, oder?
Oder kann ich den Schritt auch an einem anderen Rechner machen?
Hilfreich?
0
blackadder
05.07.11
19:39
Sonderzeichen, zumindest auf der Tastatur die über den Ziffern, wäre auch nicht schlecht, nur leider werden diese gerade von den Seiten die besonders auf Sicherheit achten sollten nämlich Versicherungen und Banken meistens nicht erlaubt. Ärgert mich immer wieder.
Hilfreich?
0
Marcel_75@work
05.07.11
19:46
Marcel_75@work
Das knacken des Passwortes kann dann auf einem beliebigen Rechner erfolgen, das einzige was man da dann noch benötigt ist ein Tool wie "jack" (siehe Link ganz oben).
Ob das wirklich auf einem anderen Rechner funktioniert, muss ich zugegebenermaßen erst noch einmal überprüfen, war eventuell ein Schnellschuss...
Hilfreich?
0
Marcel_75@work
05.07.11
23:08
Marcel_75@work
Marcel_75@work
Das knacken des Passwortes kann dann auf einem beliebigen Rechner erfolgen, das einzige was man da dann noch benötigt ist ein Tool wie "jack" (siehe Link ganz oben).
Ob das wirklich auf einem anderen Rechner funktioniert, muss ich zugegebenermaßen erst noch einmal überprüfen, war eventuell ein Schnellschuss...
Ok, habe das jetzt noch einmal überprüft: Man kann, wenn man erst einmal den Benutzernamen und den dazugehörigen SHA1 Hash hat, auf einem beliebigen anderen Rechner in aller Seelenruhe das Passwort knacken lassen.
Hilfreich?
0
sadf432f
05.07.11
23:29
Aber wie komme ich denn an den Hash, wenn ich dafür sudo brauche?
Hilfreich?
0
julesdiangelo
05.07.11
23:40
Single User Mode
„bin paranoid, wer noch?“
Hilfreich?
0
sierkb
06.07.11
00:22
Thematisch passend dazu auch:
Dave Dribin: How Mac OS X Implements Password Authentication, Part 2
Dave Dribin: How Mac OS X Implements Password Authentication, Part 1
heise security: Cracker-Bremse
Passwörter unknackbar speichern
, Druck-Version:
Hilfreich?
0
Marcel_75@work
06.07.11
11:04
smfoo
Aber wie komme ich denn an den Hash, wenn ich dafür sudo brauche?
Nicht missverstehen, so lange ein Angreifer nicht mindestens Administrator-Rechte erlangt (und damit bekommt er ja über sudo leicht auch root-Rechte), kommt er nicht an die SHA-1 Hashwerte, da das Verzeichniss "shadow" natürlich entsprechend geschützt ist.
Aber natürlich gibt es immer wieder Sicherheitslücken, bei denen z.B. ein "privilege escalation" genau das ermöglicht …
Außerdem müsste diese Sicherheitslücke dann aber auch noch "von außen" (also per Internet bzw. Netzwerk) ausnutzbar sein, damit es wirklich gefährlich wird.
Vielleicht hat ja jemand hier im Forum den Überblick, ob es seit 10.0.0 überhaupt schon einmal eine Lücke in Mac OS X gab, die ermöglichte, remote root-Rechte zu erlangen? Dazu muss man fairerweise aber auch noch die Angriffsvektoren "Flashplayer-PlugIn", "Browser" (z.B. Firefox oder Chrome) etc. im Auge haben.
Gefährlich ist eben, wie ja auch julesdiangelo schon anmerkte, der SingleUserMode!
I
n dem Zusammenhang sollte man überdenken, ob man dem Schlüsselbund nicht lieber ein Passwort unabhängig vom Anmelde-Passwort des Benutzers gibt!
@sierkb: Kenne den heise-Artikel, wenn ich mich recht entsinne, müssten solche Techniken aber wenn schon von Apple in das System implementiert werden, oder irre ich mich?
War auf alle Fälle überrascht, wie einfach sich das Passwort (trotz salt) knacken lässt …
Hilfreich?
0
Marcel_75@work
16.08.11
10:41
Für 10.7 Lion gibt es übrigens auch ein interessantes Tool -
DaveGrohl
:
Es kann auch den Hash extrahieren, so dass man alternative Tools wie oben genanntes
John the Ripper
nutzen kann.
Hilfreich?
0
Marcel_75@work
16.08.11
10:57
PS: Natürlich kann man auch in Lion den Hash-Wert direkt im Terminal extrahieren (als root bzw. per sudo):
dscl . -read /Users/<Username> ShadowHashData | cut -f9-25 -d" " | cut -f3 -d ":" | tr -d ' '
Hilfreich?
0
SPmaniac
16.08.11
12:33
Hilfreich?
0
fluppy
16.08.11
12:51
SPmaniac, gut zu wissen, danke.
Hilfreich?
0
Sascha77
16.08.11
13:17
SPmaniac, genau darauf wollte ich auch gerade hinweisen!
Zeigt schön, dass diese ganzen kryptischen Sonderzeichen im Kampf gegen automatische Passworträuber kaum was bringen. Aber man selbst kann sie sich kaum merken!
Was zählt, ist einfach die Anzahl der Zeichen-Kombinationsmöglichkeiten. Also besser eine längere Aneinanderreihung von normalen Wörtern, die man gut im Kopf behält.
Hilfreich?
0
Marcel_75@work
16.08.11
13:49
In dem Zusammenhang sei auch auf diesen Artikel verwiesen:
Hilfreich?
0
Marcel_75@work
16.08.11
15:06
Und eine kontroverse Diskussion zum Thema gibt es dank dieser Seite …
Hilfreich?
0
Marcel_75@work
22.08.11
17:39
MacMark hat übrigens vor wenigen Tagen einen interessanten Artikel zum
Passware Kit Forensic
veröffentlicht:
Bei mir ist das Passwort im 8.59 GB großen RAM dump file sogar mehr als 30 mal vorhanden …
Da kann man eigentlich nur hoffen, dass Apple das Problem auch wirklich ernst nimmt und das möglichst zeitnah fixt.
Hilfreich?
0
Marcel_75@work
16.03.12
11:19
Marcel_75@work
Wie ich finde ein sehr schönes Beispiel um zu zeigen, dass man auf jeden Fall Passwörter mit einer Mischung aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern benutzen sollte!
Vielleicht sollte man an dieser Stelle noch einmal ergänzen, dass vor allem auch die
Länge
des Passwortes einen entscheidenden Einfluss auf die Sicherheit hat.
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.