[TYPO3-german] Password cracker/checker

[Fabian Koenig]

*script-kiddie-kenntnisse von damals hervorkram*

Da ich mich zuuuuuufaelligerweise mal mit dem Thema beschaeftigt habe 
(*hust*), muss ich euch "leider" mitteilen, dass das ganze nicht 
wirklich spassig wird.

Ein bruteforce- / dictonary-attack stellt sich dahingehend als schwierig 
heraus, da einige Wortlisten gut und gerne (im simplen txt-format) an 
die 500MB umfassen. Klingt krass, ist aber so. :-P

Aber das ist ja noch nicht das Problem!
Wer mal z.B. einen bruteforce durchlaufen ließ weiß, dass soetwas gerne 
mal Stunden dauern kann, bei EINEM (!!!) Account.
(bruteforce, NICHT dictonary! dictonary geht natuerlich schneller.)


Beruecksichtigt man dann noch den zur Verfuegung stehenden Speicher (RAM 
@ Server), die Prozessorleistung (@Server), die Anzahl der zu pruefenden 
Accounts (@Datenbank) und die "lahmarschigkeit" von PHP und JavaScript 
(welches benoetigt wird, damit man nicht nach 30 Sekunden einen timeout 
bekommt), dann stellt man ganz schnell fest, dass daraus gut und gerne 
bei 100 Datensaetzen ein paar Tage fuer den Test draufgehen.


Checkt man allerdings lediglich gegen eine Wordlist (dictionary) und hat 
viele Accounts (mein kleinstes Projekt hat ~200 BE-User und TAUSENDE 
FE-User (welche wir mal außen vor lassen)), kann man trotzdem mit 
stundenlangen Tests rechnen. Denn fuer jedes einzelne "Wort" muessen 
ALLE BE-User gegengeprueft werden.


Das macht bei halbwegs guten Wortlisten (mind. 100.000 Woerter) und etwa 
100 BE-Usern laut Grundschul-Mathematik (100.000 * 100) etwa, bzw. genau 
10.000.000 (ZEHN MILLIONEN!!!) Checks.
(Und 100.000 Woerter sind NICHT wirklich sehr umfangreiche Listen! Da 
gibt es vieeeel groessere!!)



Also dann, viel Spass dabei ;-)




Elmar Athmer schrieb:
> Hi
> 
> Gibt es für Typo3 irgendeinen Password Cracker, Checker oder ähnliches?
> 
> Google spuckt zu Typo3 und Password Cracking/weak passwords etc. nicht
> sonderlich viel brauchbares aus.
> 
> Als Backendplugin macht es ja vielleicht nicht so viel Sinn
> (Performance, und eigentlich Laufzeit nachts oder so über längere Zeit).
> Ich stelle mir ein Programm/(Shell?)-Script vor, dass ich als Cronjob
> auf dem Server starte und dass dann auf die Datenbank zugreift und
> Wörtebuchattacken ausführt, Wörterbuchattacken mit Zahl angehängt,
> Benutzernamen überprüft, oder halt alles andere mögliche triviale was
> manchen Benutzern einfällt als Passwort zu nehmen...
> 
> Kennt einer hier was (kann man bestehende Unixtools dafür
> konfigurieren?)? z.B. ein Shellscript, dass mir aus der DB die
> Passwörter+Benutzernamen zieht, in eine Datei schreibt und dann z.B.
> john the ripper o.ä. drauf los lässt...
> 
> Alternativ überlege ich sowas selber zu schreiben, wahrscheinlich ist C
> da am sinnvollsten. Vielleicht hat hier ja einer Tipps was man da
> beachten sollte (wobei das ja etwas offtopic wird, und ich im Bezug auf
> Password-Cracker schreiben auch noch nix selber gegoogled habe).
> 
> 
> Was habt ihr da so an Erfahrungen und Vorschlägen?
> 
> 
> Gruß
> Elmar
> 
> 
>