brute force

Jetpack Bloat Myth?

Der Beitrag im BruteProtect-Blog über den „Jetpack Bloat Myth“ in drei Absätzen erklärt: BruteProtect ist ein Plugin, das mithilfe zentralisierter IP-Sperrlisten Brute-Force Angriffe auf das CMS WordPress blockiert. Entwickelt und…

WordPress Brute Force Hall of Shame

Hier gab es noch vor einiger Zeit eine Liste mit tausenden IP-Adressen. Diese Liste existiert hier nicht mehr und ich empfehle auch nicht, sie einzusetzen. Es macht, aber dazu unten,…

Warum Passwörter immer leichter zu knacken sind.

Ein herrlich informativer, schrecklich beängstigender und den Glauben an selbst ausgedachte (aber dennoch "gute") Passwörter auf ein Minimum reduzierender Artikel auf ars technica: Why passwords have never been weaker - and crackers have never been stronger. Der detaillierte Artikel zusammengefasst: Je öfter Hacker durch Datenlecks und nicht genügend gesicherte Speichersysteme an tatsächlich verwendete Passwörter rankommen, desto besser werden die Algorithmen, um noch unbekannte Passwörter knacken zu können. Der vielleicht wichtigste Hinweis im ganzen Artikel:
The most important attribute of any passcode is that it be unique to each site. (...) It's also important that a password not already be a part of the corpus of the hundreds of millions of codes already compiled in crackers' word lists, that it be randomly generated by a computer, and that it have a minimum of nine characters to make brute-force cracks infeasible. Since it's not uncommon for people to have dozens of accounts these days, the easiest way to put this advice into practice is to use program such as 1Password or PasswordSafe. Both apps allow users to create long, randomly generated passwords and to store them securely in a cryptographically protected file that's unlocked with a single master password. Using a password manager to change passcodes regularly is also essential.

Neujahrsvorsatz 2012: Endlich bessere Passwörter.

Ben Gross, immer für fundierte Artikel zum Thema Sicherheit gut, plädiert für bessere Passwörter als Neujahrsvorsatz 2012. Was mich am meisten an seinem Beitrag schockiert, ist wie schnell Brute-Force-Attacken mittlerweile sein können.
Realistically, it’s getting to the point where unless you have a pretty fantastic password, if your password is in a database of poorly hashed passwords then someone with a bit of time can discover it. Why is that you might ask? Whitepixel the purveyors of fine open source GPU accelerated password hashing software report that it currently achieves 33.1 billion password/sec on 4 x AMD Radeon HD 5970 for MD5 hashes. This is fast enough to make rainbow tables (pre-computed hashes for a dictionary attack) much less compelling. If the attacker has any additional personal information this significantly increases the chance of a successful attack since so many people use bits of personal information in their passwords.
33,1 Milliarden Passwörter in der Sekunde!