Wenn Sie den Artikel “Prozess zur Wiederherstellung des Passworts” gelesen haben, dann wissen Sie, dass wir zwei Methoden des Passwortermittlung nutzen: das Ausprobieren anhand eines Wörterbuchs (die optimale Variante) und den Brute-Force-Angriff anhand einer Maske (eine sehr ressourcenintensive Arbeit). Unten kalkulieren wir die Chancen auf die Wiederherstellung des Passworts für jeden Typ der Leistung.

Wiederherstellen eines schwachen Passworts

Wir haben einen gute Datenbank der populärsten (schwachen) Passwörter angelegt. Dies sind tatsächliche Passwörter, die vielfach von verschiedenen Menschen für den Schutz ihrer Daten benutzt wurden. Die Ranglisten beginnt mit den allen bekannten "123456", "password", "qwerty", "abc123" usw. und enthält 3 Millionen der beliebtesten Passwörter. Solche Passwörter werden häufig aus banaler Trägheit, sich schwierige Passwörter zu merken, genutzt, was sie sehr angreifbar macht.

Das Ausprobieren von 3 Millionen Passwörtern für eine beliebige Datei ist eine Sache von höchstens einigen Minuten für unseren Rechnercluster. Diese Leistung erbringen wir kostenlos als angenehmes Geschenk für alle unsere Besucher. Die Chancen des Ermittelns eines schwachen Passworts ist nicht sehr groß — etwa 22%, ausgehend von unserer internen Statistik. Es lohnt sich aber unter dem Aspekt der augenblicklichen Ausführung der Leistung.

Wiederherstellen eines starken Passworts

Wenn der Angriff anhand der Datenbank schwacher Passwörter nicht erfolgreich war, gehen wir zur zweiten Phase über — zum Ausprobieren der Passwörter anhand der Hauptdatenbank. Unsere Datenbank enthält gegenwärtig über 20 Milliarden tatsächlicher Passwörter. Das Ausprobieren anhand dieses Wörterbuchs dauert etwas länger (bis zu 24 Stunden) und erfolgt bereits kostenpflichtig. Aber auch das Ergebnis ist recht wahrscheinlich: gemäß der Statistik ermitteln wir das richtige Passwort in 61% der Fälle.

Brute-Force-Angriff mit vorgegebener Maske

Die Brute-Force-Methode hat 100% Chancen auf die Ermittlung des Passworts, denn dies ist auch das direkte Ausprobieren aller möglichen Kombinationen. Aber man muss verstehen, dass die Zahl der Varianten selbst der weniger langen Passwörter groß ist. Es existieren z.B. über 67 Quintillionen (67 * 1018) Varianten für Passwörter aus 10 Zeichen. Dies ist eine Aufgabe, der selbst die leistungsfähigsten Supercomputer, noch Ihr Portemonnaie gewachsen sind.

Ein Brute-Force-Angriff wird angewandt, wenn Ihnen die Struktur des Passworts bekannt ist, d.h. wenn Sie die maximale (oder sogar die genaue) Länge des Passworts und die Zusammensetzung der in ihm verwendeten Zeichen wissen. Wenn das Passwort z.B. 8 Zeichen lang ist und nur aus Großbuchstaben des englischen Alphabets besteht, existieren nur 217 Milliarden Varianten. Ein solches Passwort kann durchaus auf einem leistungsfähigen GPU-Server ermittelt werden. Wenn die Länge des Passworts jedoch 9 Zeichen lang ist, so erhöht sich die Zahl der Varianten auf 5 Trillionen. Die Aufgabe ist um ein Vielfaches schwieriger, aber bei entsprechend großem Wunsch und finanziellen Möglichkeiten durchaus lösbar: in unserem Rechnercluster ermitteln wir ein solches Passwort in ein-zwei Wochen.

Berücksichtigen Sie aber, dass Sie nur dann eine 100%ige Erfolgschance haben, wenn Sie die richtige Maske angeben. Falls im Passwort auch nur ein von Ihnen nicht berücksichtigtes Zeichen enthalten ist, sind alle Anstrengungen umsonst.

Abschluss

Die obigen Ausführungen zusammenfassend haben wir eine Tabelle der Chancen auf die Ermittlung eines Passworts erstellt:

Art des Angriffs Dauer Preis Erfolgschancen
Wiederherstellen eines schwachen Passworts Einige Minuten Kostenlos ≈ 22%
Wiederherstellen eines starken Passworts Bis zu 24 Stunden Ab $29 ≈ 61%
Brute-Force-Angriff mit vorgegebener Maske Abhängig von der Komplexität der Maske Auf Anfrage 100% (wenn die Maske richtig angegeben ist)

Siehe auch

Zurück