19.11.2010 14:50
GPUs knacken Passwörter in der Cloud
Der Kölner Blogger Thomas Roth hat mit Unterstützung von Amazons Service Elastic Compute Cloud (EC2) und der seit kurzem angebotenen "Cluster GPU Instances" (GPU-Modul Tesla M2050 von Nvidia) eine Textdatei mit 14 SHA1-Hashes in 49 Minuten per Bruteforce geknackt. Die Passwörter hatten eine Länge von 1-6 Zeichen. Die Details beschreibt Roth in seinem Blog.
Durch Amazons EC2 kann jedermann kurzfristig und für kleines Geld Rechnerkapazitäten anmieten, ohne zunächst in die Anschaffung der Hardware investieren zu müssen. Eine Stunde Rechenzeit hätte in der Konfiguration des Bloggers mit lediglich 2,10 US-Dollar zu Buche geschlagen. Bereits vor Einführung der GPU-Option war EC2 als effizientes Werkzeug für Passwortknacker bekannt.
Roths Demonstration ist eindrucksvoll, doch über seine Aussage, nach der man SHA1 nicht länger nutzen will, kann man trefflich streiten. So hat er lediglich relativ kurze Passwörter zurückberechnet, von denen man in der Praxis ohnehin Abstand nehmen sollte. Mit jedem zusätzlichen Zeichen schießt der Aufwand zum Brechen des Hashes exponentiell in die Höhe. Grundsätzlich sind längere Passwörter mit einer Mindestlänge von 12 Zeichen zu empfehlen.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
