Wie lange braucht ihr mit der OpenCrack LiveCD um euer Windows Passwort herauszufinden?

http://ophcrack.sourceforge.net/


Bei mir hat das auf einem Athlon 1 GHz TB mit 512 MB Ram nur 8 Minuten gedauert. :shock:

wie lang ist denn dein pw und wie ist es zusammengesetzt? ist es ein ganzes wort, so wundert mich das nicht.

Bitter. Allerdings wohl auch nicht grad das beste, wenn man sich die Beschränkung auf 14 Zeichen und bestimmte Buchstaben anschaut.

Bei mir hat das auf einem Athlon 1 GHz TB mit 512 MB Ram nur 8 Minuten gedauert. :shock:

Also ich finde das jetzt nicht sonderlich schockierend, da ich das Windows Passwort auch nicht als Schutz ansehe, sondern nur, dass ein DAU halt nicht mal schnell an den PC kommt.

Aber wenn jemand wirklich an die Daten auf dem PC will legt er einfach ne kleine Live CD ein, USB Stick und zieht sich das, was er braucht, fertig.

Es sei denn du hast deine hyperdupersensiblen Dateien mit EFS verschlüsselt. Dann lohnen sich die "8 Minuten" eher :ulol:

Wie wir ja wissen, werden wichtige Daten mit TrueCrypt verschlüsselt. Da kannst du dir bestenfalls den Container ziehen, aber der Datenbrei bringt dir nicht mal beim Frühstück etwas.

Unabhängig davon wäre es aber cool so ein Programm ohne die genannten Einschränkungen zu haben.

CIA Commander, 2 Sekunden...

Leere Paßwörter sind schon was tolles...

wie lang ist denn dein pw und wie ist es zusammengesetzt? ist es ein ganzes wort, so wundert mich das nicht.

Natürlich nicht.
Es ist ein wilder Buchstaben und Zahlensalat und besteht aus 8 Buchstaben.

Natürlich nicht.
Es ist ein wilder Buchstaben und Zahlensalat und besteht aus 8 Buchstaben.
Zeichen.

Zeichen.

Nein, denn Zeichen würde bedeuten, daß auch /("&$§(" & Co im Passwort enthalten wäre, was aber nicht der Fall war, da es sich nur um Buchstaben und Zahlen handelte, aber das sagte ich bereits.

ach so, weil es sich um buchstaben UND zahlen handelt, sind es "8 buchstaben".

Demnach sind das hier: 03jve832 acht buchstaben, ergo ist jeder einzelne davon ein buchstabe ergo ist "3" bei dir also ein buchstabe.

wow.

Wie lange braucht ihr mit der OpenCrack LiveCD um euer Windows Passwort herauszufinden?Welches XP Passwort? An der PC-Steckdosenleiste hängt ein Vorhängeschloss.

Welches XP Passwort? An der PC-Steckdosenleiste hängt ein Vorhängeschloss.

Dann muß man halt einfach mal ein anderes Stromkabel für das PC Netzteil mitbringen und anschließen.

Ein Schutz ist das jedenfalls nicht.
Mein Tower ist wenigstens abschließbar, auch vorne am bzw, inkl. Einschaltknopf.

mööp =)

mööp =)
Kein Spam bitte. Oder hast Du uns gerade Dein XP-Passwort mitgeteilt?

Kein Spam bitte. Oder hast Du uns gerade Dein XP-Passwort mitgeteilt?
Ne, ders immer so drauf.

Bei mir wurden komischer weise nur die ersten 7 Stellen erkannt, alle danach jedoch nicht. Wie kann das sein? Ich dachte Windows würde das ganze PW als einen Hash abspeichern? Wenn diese Live CD jetzt aber nur die ersten 7 Stellen in der Rainbow Table findet, spricht das doch aber dafür, dass Windows den PW Hash anders handhabt und aufsplittet? :conf2:

mal blöde gefragt taugt das was mit dem EFS ? das war doch früher zu win2000 zeiten nicht besonders.

Ansonsten die beste verschlüsselung nutzt nichts wenn die PWs nichts taugen ;)

irgendson schweizer institut hatte sogar mal ne online berechnung wie lange in etwa ein CPU bräuchte um ein eingegebenes PW zu kancken ... ab 8 stellenw ar mans chon ganz gut dabei und ab 12 konnte man von hinreichens sicher reden ;) natürlich mit Alphanumerischem zeichen satz.

im 7zip helpfile is auch ne tabelle mit passwortlängen und wie lange man braucht zum knacken

mal blöde gefragt taugt das was mit dem EFS ? das war doch früher zu win2000 zeiten nicht besonders.

Das EFS von XP ist noch nicht geknackt worden.

Jetzt bitte keine Postings darüber, dass EFS doch mit AEFSDR geknackt worden ist.
Das stimmt nämlich nicht, AEFSDR kann efs nur knacken wenn mindestens ein kleiner Teil der EFS Zertifikate vorhanden ist.
Wenn also keine Teile von EFS Zertifikaten auf dem System sind, dann ist EFS auch heute noch sicher.

http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/57091&words=EFS&T=efs%20

121Ah;5819394']CIA Commander, 2 Sekunden...

Jop, hatte hier auch mal eine Diskette mit einem alten CIA Commander, da konnte man das PW einfach so ändern ohne Wartezeit ^^

Das EFS von XP ist noch nicht geknackt worden.

Jetzt bitte keine Postings darüber, dass EFS doch mit AEFSDR geknackt worden ist.
Das stimmt nämlich nicht, AEFSDR kann efs nur knacken wenn mindestens ein kleiner Teil der EFS Zertifikate vorhanden istExistieren normalerweise keine Zertifikate auf einem System mit EFS-Dateien?

Ich habe meines auf einer Smart Card :)

Und eine Anmerkung: Es ist und bleibt eben ein Bruteforce Angriff, der extrem selten zum Erfolg kommt, weil einige Faktoren zutreffen müssen.

-Lokaler Admin muss recovery Agent sein (bei XP muss dieser erst angelegt werden)
-im Falle von Win2000 muss ein lokal gespeicherter SYSKEY vorliegen

und dann muss man auch noch das Passwort für den evtl. gefundenen Private Key haben.

Wer hier von "EFS ist geknackt" spricht, sollte sich nochmal etwas intensiver mit seinem Windows beschäftigen.
Gerade in diesem Bereich wird derartig viel Scheiße abgesondert und von Lemmingen wiedergekäut, dass es einfach nicht mehr schön ist. :(

Gruß und guten Morgen,
=)

Bei mir wurden komischer weise nur die ersten 7 Stellen erkannt, alle danach jedoch nicht. Wie kann das sein? Ich dachte Windows würde das ganze PW als einen Hash abspeichern? Wenn diese Live CD jetzt aber nur die ersten 7 Stellen in der Rainbow Table findet, spricht das doch aber dafür, dass Windows den PW Hash anders handhabt und aufsplittet? :conf2:

Falsch gedacht.
Es gibt zwei verschiedene Verfahren Hashes zu generieren (wobei eines eigentlich kein Hash-Verfahren ist) und beide werden gleichzeitig benutzt: LMHash und NTHash.
Beide unterscheiden sich massiv in der Sicherheit und wenn man LMHash nicht benötigt (was bei fast jedem Anwender der Fall sein dürfte, da es nur noch wegen irgendwelcher uralt OS aus Kompatibilitätsgründen aktiviert ist) so sollte man es per lokaler Gruppenrichtlinie deaktivieren.
Oder ein Passwort > 14 Zeichen benutzen
Oder bestimmte Unicode Zeichen verwenden, dann wird auch kein LMHash generiert.

Wenn ich mal Zeit habe, evtl. heute abend, schreibe ich mal einen kleinen Artikel über die Windows Passwortsicherheit, wo welche Passwörter liegen, was die Sicherheitsprobleme sind etc.

Viele Grüße,
MK und ab an den Schreibtisch. :)

Dann auch glaich mit bissl genauer Qnleitung wie man den LMHash deaktiviert.

Steht oben absolut ausreichend beschreiben.

-Passwort > 14 Zeichen => kein LMHash
->1 bestimmtes Unicode Zeichen => kein LMHash (Liste habe ich nur in Büchern, findet man auch per Google)
-LMHash in der lokalen Sicherheitsrichtlinie deaktivieren.

Anmerkung: Durch letzteren Punkt wird der aktuelle LMHash nicht gelöscht. Es wird lediglich beim Passwordwechsel keiner mehr angelegt. Also direkt nach setzen dieses Punktes das Password wechseln.

Gruß,
=)

Existieren normalerweise keine Zertifikate auf einem System mit EFS-Dateien?
Doch, man muß die Certs eben von Hand exportieren.

im 7zip helpfile is auch ne tabelle mit passwortlängen und wie lange man braucht zum knacken

Wo? Konnte es auf die schnelle nicht finden :(.

CMIA Complete AsA

Achtet aber bitte darauf was ihr macht ;) und legt euch erstmal ein Backup der momentanen Einstellungen zu. Das geht auch super mit der Soft und läßt sich genauso super zurückspielen. Habs nur mit NT5.x getestet.
Die GUI verfügt über Tooltips!

Keine Installation, eine Exe, "ein" Fenster, läuft auf einer "nackten" XP Installation, auf deutsch.

http://cmia.backtrace.org/de_screenshot.html (LMHash ist auch dabei ;) )

edit:
Man muß mit der Meinung der Autoren nicht bei jedem Punkt 100% übereinstimmen. Man kann aber ggbf. wie gesagt alles zurückdrehen, wenn man ein Backup angelegt hat. Dafür sind wohl alle sicherheitsrelevanten Einstellungen in einem Fenster aufgelistet und die Einstellungen überschaubar. Immerhin besser bzw. bequemer als in gpedit oder gar Regedit rumzusurfen.

http://www.microsoft.com/germany/technet/sicherheit/newsletter/kennwoerter.mspx


Alles zum Thema LMHash, NTHash und Unicodezeichen!!!!!!


mfg

http://www.microsoft.com/germany/technet/sicherheit/newsletter/kennwoerter.mspx


Alles zum Thema LMHash, NTHash und Unicodezeichen!!!!!!


mfg

Danke für diesen Link.

http://www.microsoft.com/germany/technet/sicherheit/newsletter/kennwoerter.mspx


Alles zum Thema LMHash, NTHash und Unicodezeichen!!!!!!Ruhig ;) LMHash wird benötigt, falls man win95/Win98 im (Heim)Netzwerk hat. Wer das mittlerweile gut ausschliessen kann -> weg damit. Paßwort/Phrase beim Ändern irgendwo sinnig einen Buchstaben mehr anhängen und fertig.


Ich hab mich gestern irgendwie 2x vom Router abgeschnitten :D Merkt euch also was ihr da macht ;) Trotzdem eine geniale simple Soft.

Nicht alle Einstellungen wirken Global. Prüft also ggbf. unter anderen Usern wie es ausschaut. Läuft zB. unter dem Eingeschränkten ohne Probleme. Fangt aber mit dem Admin an.

Länger als 8 Minuten bin ich eh nie vom PC weg.

Und? :| 8 Minuten. Hmm... Ist das der Standardstuhlgang? :up:

Und? :| 8 Minuten. Hmm... Ist das der Standardstuhlgang? :up:

OMG OMG OMG

:up::up:


Roooflez!!

Hmm...immer wenn ich die OPHCrack-Live-CD mit FF runterlade hört der Download bei 107MB auf und speichert als erfolgreich ab.

Das Ding ist doch aber 477MB gross. Hat noch jemand das Problem?


mfg

Wie wäre es mit DownThemAll?

Wo? Konnte es auf die schnelle nicht finden :(.

7zip helpfile > general information > 7zip format > runterscrollen > Tips for selecting password length

ach so, weil es sich um buchstaben UND zahlen handelt, sind es "8 buchstaben".

Demnach sind das hier: 03jve832 acht buchstaben, ergo ist jeder einzelne davon ein buchstabe ergo ist "3" bei dir also ein buchstabe.

wow.

Ergo bist Du ein abgefuckter Klugscheißer, richtig?

Ein wenig unschön und blumig ausgedrückt, aber es geht in die richtige Richtung. :)