Passwort knacken

Im Kryptanalyse und Computersicherheit, Passwort knacken ist der Prozess der Wiederherstellung von Passwörtern[1] aus Daten das wurde von a aufbewahrt oder übertragen Computersystem in verurteilter Form. Ein gemeinsamer Ansatz (Brute-Force-Angriff) soll wiederholt Vermutungen für das Passwort versuchen und es gegen einen verfügbaren Überprüfen Kryptografischer Hash des Passworts.[2] Eine andere Art von Ansatz ist das Kennwortsprühen, das häufig automatisiert wird und im Laufe der Zeit langsam auftritt, um unter Verwendung einer Liste gemeinsamer Passwörter unentdeckt zu bleiben.[3]

Der Zweck des Passwort -Crackings könnte darin bestehen, einem Benutzer ein vergessenes Passwort wiederherzustellen (da die Installation eines völlig neuen Kennworts Systemverwaltungsberechtigte beinhaltet), nicht autorisierte Zugriff auf ein System zu erhalten oder als vorbeugende Maßnahme zu fungieren, bei denen eine vorbeugende Maßnahme fungiert Systemadministratoren Überprüfen Sie, ob leicht knackbare Passwörter. Auf der Basis von Datei für Datei wird das Kennwortriss verwendet, um Zugriff auf digitale Beweise zu erhalten, auf die ein Richter Zugriff zugelassen hat, wenn die Berechtigungen einer bestimmten Datei eingeschränkt sind.

Zeit für Passwortsuche benötigt

Die Zeit zum Knacken eines Passworts hängt mit Bitstärke zusammen (sehen Passwortstärke), was ein Maß für das Passwort ist Entropieund die Details, wie das Passwort gespeichert wird. Für die meisten Methoden des Kennwortrisses erfordern der Computer viele Kandidatenkennwörter, von denen jedes überprüft wird. Ein Beispiel ist rohe Gewalt Cracking, bei dem ein Computer versucht jeder Möglicher Schlüssel oder Passwort, bis es erfolgreich ist. Bei mehreren Prozessoren kann diese Zeit durch die Suche aus der letzten möglichen Gruppe von Symbolen und zu Beginn gleichzeitig optimiert werden, wobei andere Prozessoren platziert werden, um eine bestimmte Auswahl möglicher Passwörter zu durchsuchen.[4] Häufigere Methoden des Kennwortrisses, wie z. Wörterbuchangriffe, Musterprüfung, Substitution der Wortlisten usw. Versuchen Sie, die Anzahl der erforderlichen Versuche zu verringern, und wird normalerweise vor der Brute -Kraft versucht. Eine höhere Kennwortbitstärke erhöht exponentiell die Anzahl der Kandidatenkennwörter, die im Durchschnitt überprüft werden müssen, um das Passwort wiederherzustellen, und reduziert die Wahrscheinlichkeit, dass das Kennwort in jedem Cracking -Wörterbuch zu finden ist.[5]

Die Möglichkeit, Passwörter mit Computerprogrammen zu knacken, ist auch eine Funktion der Anzahl der möglichen Kennwörter pro Sekunde, die überprüft werden können. Wenn dem Angreifer ein Hash des Zielkennworts zur Verfügung steht, kann diese Zahl in Milliarden oder Billionen pro Sekunde vorhanden sein, da ein Offline -Angriff ist möglich. Wenn nicht, hängt die Rate davon ab, ob die Authentifizierungssoftware festlegt, wie oft ein Kennwort ausprobiert werden kann, entweder nach Zeitverzögerungen. Captchas, oder erzwungene Aussperrung nach einigen fehlgeschlagenen Versuchen. Eine andere Situation, in der schnelles Erraten möglich ist, ist, wenn das Passwort zur Bildung a verwendet wird kryptografischer Schlüssel. In solchen Fällen kann ein Angreifer schnell prüfen, ob ein erratenes Passwort erfolgreich verschlüsselte Daten dekodiert.

Für einige Arten von Kennwort-Hash können gewöhnliche Desktop-Computer über hundert Millionen Passwörter pro Sekunde testen, wobei Passwort-Cracking-Tools, die auf einer CPU mit allgemeinem Zweck ausgeführt werden[1][6][7] (Sehen: Johannes der Ripper Benchmarks).[8] Die Rate des Kennwortraten hängt stark von der kryptografischen Funktion ab, die vom System zum Generieren von Kennworthashes verwendet wird. Eine geeignete Passwort -Hashing -Funktion wie z. Bcryptist viele Größenordnungen besser als eine naive Funktion wie einfach MD5 oder Sha. Ein benutzererisches Kennwort mit acht Zeichen mit Zahlen, gemischten Fall und Symbolen mit häufig ausgewählten Kennwörtern und anderen ausgewählten Wörterbuchstimmungen erreicht laut NIST eine geschätzte 30-Bit-Stärke. 230 ist nur eine Milliarde Permutationen[9] und wäre in Sekundenschnelle geknackt, wenn die Hashing -Funktion naiv ist. Wenn gewöhnliche Desktopcomputer in einem Rissbus kombiniert werden, wie es möglich ist BotnetsDie Fähigkeiten des Passwort -Cracks werden erheblich erweitert. In 2002, verteilt.net erfolgreich einen 64-Bit gefunden RC5 Schlüssel in vier Jahren, in einem Aufwand, der zu verschiedenen Zeiten über 300.000 verschiedene Computer umfasste und die durchschnittlich über 12 Milliarden Schlüssel pro Sekunde erzeugte.[10]

Grafikverarbeitungseinheiten Kann das Kennwortriss um den Faktor von 50 bis 100 über allgemeine Computer für bestimmte Hashing -Algorithmen beschleunigen. Ab 2011 behaupten verfügbare kommerzielle Produkte die Möglichkeit, auf einem Standard-Desktop-Computer mit einem High-End-Grafikprozessor bis zu 2.800.000.000 Passwörter eine Sekunde auf einem Standard-Desktop-Computer zu testen.[11] Ein solches Gerät kann an einem Tag ein 10-Buchstaben-Einzelfallkennwort knacken. Die Arbeiten können über viele Computer verteilt werden, um eine zusätzliche Beschleunigung proportional zur Anzahl der verfügbaren Computer mit vergleichbarem GPUs zu erzielen. Einige Algorithmen laufen jedoch langsam oder sind sogar speziell so konzipiert, dass sie langsam auf GPUs ausgeführt werden. Beispiele sind Des, Triple Des, Bcrypt, Scrypt, und Argon2.

Das Aufkommen im letzten Jahrzehnt[wenn?] von Hardware Beschleunigung in a GPU Es hat ermöglicht, die Ressourcen zu verwenden, um die Effizienz und Geschwindigkeit eines Brute -Force -Angriffs für die meisten Hashing -Algorithmen zu erhöhen. 2012 stellte die Stricture Consulting Group einen 25-GPU-Cluster vor, der eine Brute-Force-Angriffsgeschwindigkeit von 350 Milliarden Vermutungen pro Sekunde erreichte Passwortkombinationen in 5,5 Stunden. Verwendung von OCl-Hashcat Plus auf einem virtuellen OpenCL Clusterplattform,[12] Die Linux-basierte GPU -Cluster wurde verwendet, um "90 Prozent der 6,5 -Millionen -Passwort -Hashes der Benutzer von LinkedIn zu knacken".[13]

Für einige bestimmte Hashing -Algorithmen passen CPUs und GPUs nicht gut. Für zahlreiche Hardware ist erforderlich, um hohe Geschwindigkeiten zu betreiben. Benutzerdefinierte Hardware kann verwendet werden FPGA oder Asic Technologie. Die Entwicklung beider Technologien ist komplex und (sehr) teuer. Im Allgemeinen sind FPGAs in kleinen Mengen günstig, ASICs sind in (sehr) großen Mengen günstiger, energieeffizienter und schneller. Im Jahr 1998 die Elektronische Grenzfundament (EFF) erstellte einen dedizierten Passwortcracker mit ASICS. Ihre Maschine, Tiefes Rissbrach in 56 Stunden einen DES-56-Bit-Schlüssel und testete über 90 Milliarden Schlüssel pro Sekunde.[14] Im Jahr 2017 zeigen durchgesickerte Dokumente, dass ASICs für ein militärisches Projekt zum Code des gesamten Internets verwendet werden.[15] Das Entwerfen und Erstellen von ASIC-Basic-Passwort-Crackern wird für Nichtregierungsversorgung außer Reichweite außerhalb der Reichweite sein. Seit 2019 unterstützt John the Ripper das Kennwortriss für eine begrenzte Anzahl von Hashing -Algorithmen mit FPGAs.[16] Kommerzielle Unternehmen verwenden jetzt FPGA-basierte Setups für das Kennwortriss.[17]

Leicht zu erinnern, schwer zu erraten

Kennwörter, die schwer zu erinnern sind, verringern die Sicherheit eines Systems, weil

  • Benutzer müssen möglicherweise das Passwort mit einer unsicheren Methode aufschreiben oder elektronisch speichern.
  • Benutzer benötigen häufige Kennwort zurückgesetzt, und
  • Benutzer verwenden das gleiche Passwort eher wieder.

In ähnlicher Weise sind die Anforderungen an die Kennwortstärke, z. "Haben Sie eine Mischung aus Groß- und Kleinbuchstaben und Ziffern" oder "monatlich ändern", desto größer ist der Grad, in dem Benutzer das System untergraben.[18]

In "die Erinnerung und Sicherheit von Passwörtern",[19] Jeff Yan et al. Untersuchen Sie die Auswirkungen von Ratschlägen, die Benutzern über eine gute Auswahl an Passwort gegeben werden. Sie fanden heraus, dass Passwörter, die auf dem Denken einer Phrase und dem ersten Buchstaben jedes Wortes beruhen, genauso unvergesslich sind wie naiv ausgewählte Passwörter und genauso schwer zu knacken wie zufällig generierte Passwörter. Die Kombination von zwei nicht verwandten Wörtern ist eine weitere gute Methode. Ein persönlich entworfener "Algorithmus"Für die Erzeugung dunkeler Passwörter ist eine weitere gute Methode.

Das Auffordern von Benutzern, sich ein Kennwort zu erinnern, das aus einer "Mischung aus Groß- und Kleinbuchstaben" besteht CRACK FÜR 7-Buchstaben-Passwörter, weniger, wenn der Benutzer einfach einen der Buchstaben aktiviert). Bitten der Benutzer, "beide Buchstaben als auch Ziffern" zu verwenden, führen häufig zu leicht zu begünstigten Substitutionen wie 'E' → '3' und 'I' → '1': Substitutionen, die den Angreifern bekannt sind. In ähnlicher Weise ist das Eingeben des Kennworts eine Tastaturzeile höher, die den Angreifern bekannt ist.

Untersuchungen in einem Artikel im April 2015 von mehreren Professoren unter Carnegie Mellon Universität Zeigt, dass die Auswahl der Menschen für die Kennwortstruktur häufig zu einigen bekannten Mustern folgt. Infolgedessen können Passwörter viel leichter gerissen sein als ihre mathematischen Wahrscheinlichkeiten[Klarstellung erforderlich] würde sonst anzeigen. Passwörter, die eine Ziffer enthalten, enthalten sie beispielsweise überproportional am Ende des Passworts.[20]

Vorfälle

Am 16. Juli 1998, Zertifikat berichtete über einen Vorfall, bei dem ein Angreifer 186.126 verschlüsselte Passwörter gefunden hatte. Als sie entdeckt wurden, hatten sie bereits 47.642 Passwörter geknackt.[21]

Im Dezember 2009 eine große Passwortverletzung von Rockyou.com trat auf, die zur Veröffentlichung von 32 Millionen Passwörtern führten. Der Angreifer hat dann die vollständige Liste der 32 Millionen Passwörter (ohne andere identifizierbare Informationen) zum Internet durchgesickert. Kennwörter wurden in ClearText in der Datenbank gespeichert und über eine SQL -Injektionsanfälligkeit extrahiert. Das Imperva Application Defense Center (ADC) führte eine Analyse zur Stärke der Passwörter durch.[22]

Im Juni 2011, NATO (North Atlantic Vertragsorganisation) erlitt eine Sicherheitsverletzung, die zur Veröffentlichung von First- und Nachnamen, Benutzernamen und Passwörtern für mehr als 11.000 registrierte Benutzer ihres E-Bookshop führte. Die Daten wurden als Teil von durchgesickert Operation Antisec, eine Bewegung, die umfasst Anonym, Lulzsecund andere Hacking -Gruppen und Einzelpersonen.[23]

Am 11. Juli 2011, Booz Allen Hamilton, ein großes amerikanisches Beratungsunternehmen, das eine beträchtliche Menge an Arbeit für das Pentagon, hatte seine Server gehackt von Anonym Und am selben Tag durchgesickert. "Das Leck, das als" Military Meltdown Montag "bezeichnet wird Uscentcom, Socom, das Marine Corps, verschiedene Luftwaffe Einrichtungen, Heimatschutz, Außenministerium Mitarbeiter und was wie Auftragnehmer des privaten Sektors aussieht. "[24] Es wurde festgestellt ungesalzen SHA-1und wurde später vom ADC -Team unter analysiert Impervaund enthüllte, dass selbst einige Militärpersonal Passwörter so schwach wie "1234" verwendeten.[25]

Am 18. Juli 2011 verbot Microsoft Hotmail das Passwort: "123456".[26]

Im Juli 2015 nannte sich eine Gruppe "das Impact -Team" Stahl die Benutzerdaten von Ashley Madison.[27] Viele Passwörter wurden mit beiden relativ starken Hashs gehasht Bcrypt Algorithmus und der schwächere MD5 Hash. Das Angriff des letzteren Algorithmus ermöglichte es, dass rund 11 Millionen Klartextkennwörter durch Passwort Cracking Group Cynosure Prime wiederhergestellt werden.[28]

Verhütung

Eine Methode, um zu verhindern, dass ein Passwort geknackt wird, besteht darin, sicherzustellen, dass Angreifer nicht einmal auf das Hashed -Passwort zugreifen können. Zum Beispiel auf der Unix BetriebssystemHashed -Passwörter wurden ursprünglich in einer öffentlich zugänglichen Datei gespeichert /etc/passwd. Auf modernen UNIX -Systemen (und ähnlichen) Systemen hingegen werden sie in der gespeichert Schattenkennwort Datei /etc/Shadow, die nur für Programme zugänglich ist, die mit verbesserten Berechtigungen ausgeführt werden (d. H. "System" -Regilegien). Dies erschwert es einem böswilligen Benutzer, in erster Linie die Hash -Passwörter zu erhalten, aber viele Sammlungen von Passwort -Hashes wurden trotz eines solchen Schutzes gestohlen. Und einige gängige Netzwerkprotokolle übertragen Kennwörter in ClearText oder verwenden schwache Herausforderungen/Antwortschemata.[29][30]

Ein anderer Ansatz besteht darin, einen ortsspezifischen geheimen Schlüssel mit dem Passwort-Hash zu kombinieren, der die Klartextkennwortwiederherstellung verhindert, selbst wenn die Hash-Werte geplant sind. Jedoch Privilegienkalation Angriffe, die geschützte Hash -Dateien stehlen können, können auch das Geheimnis der Site aufdecken. Ein dritter Ansatz ist die Verwendung Schlüsselableitungen Dies verringert die Rate, bei der Passwörter erraten werden können.[31]: 5.1.1.2

Eine andere Schutzmaßnahme ist die Verwendung von Salz, ein zufälliger Wert, der für jedes Passwort eindeutig ist, das in das Hashing aufgenommen wird. Salz verhindert, dass mehrere Hashes gleichzeitig angegriffen werden, und verhindert auch die Schaffung vorbereiteter Wörterbücher wie z. Regenbogentische.

Moderne Unix -Systeme haben die traditionellen ersetzt Des-basierte Passwort Hashing -Funktion Krypta() mit stärkeren Methoden wie z. Crypt-Sha, Bcrypt, und Scrypt.[32] Andere Systeme haben ebenfalls begonnen, diese Methoden zu übernehmen. Zum Beispiel verwendeten die Cisco iOS ursprünglich eine reversible Vigenère Chipher Um Passwörter zu verschlüsseln, verwendet aber jetzt MD5-Crypt mit einem 24-Bit-Salz, wenn der Befehl "Geheimnis aktivieren" verwendet wird.[33] Diese neueren Methoden verwenden große Salzwerte, die Angreifer daran hindern, Offline -Angriffe effizient gegen mehrere Benutzerkonten gleichzeitig zu steigern. Die Algorithmen sind auch viel langsamer auszuführen, was die Zeit, die für einen erfolgreichen Offline -Angriff erforderlich ist, drastisch erhöht.[34]

Viele Hashes, die zum Speichern von Passwörtern verwendet werden, wie z. MD5 und die Sha Die Familie ist für schnelle Berechnungen mit geringen Speicheranforderungen und effizienter Implementierung in Hardware ausgelegt. Mehrere Instanzen dieser Algorithmen können parallel auf ausgeführt werden Grafikverarbeitungseinheiten (GPUs), Geschwindigkeitsrisse. Infolgedessen sind schnelle Hashes bei der Verhinderung von Passwortrissen auch bei Salz unwirksam. Etwas Schlüsselstrecke Algorithmen, wie z. Pbkdf2 und Crypt-Sha Berechnen Sie iterativ Passwort -Hashes und können die Rate, mit der Passwörter getestet werden können, erheblich reduzieren, wenn die Iterationszahl hoch genug ist. Andere Algorithmen, wie z. Scrypt sind SpeicherharteDas heißt, sie benötigen zusätzlich zu zeitaufwändigen Berechnungen relativ große Mengen an Speicher und sind daher schwieriger mit GPUs und benutzerdefinierten integrierten Schaltungen zu knacken.

2013 langfristig Passwort Hashing -Wettbewerb wurde angekündigt, einen neuen Standardalgorithmus für Passworthashing zu wählen,[35] mit Argon2 2015 als Gewinner ausgewählt. Ein weiterer Algorithmus, Ballon, wird empfohlen von NIST.[36] Beide Algorithmen sind speicherhärt.

Lösungen wie a Sicherheitstoken Gib ein formeller Beweis Antwort durch ständiges Verschieben des Passworts. Diese Lösungen verringern abrupt den für verfügbaren Zeitrahmen für Brute -Forcing (Der Angreifer muss das Passwort in einer einzigen Schicht brechen und verwenden) und reduzieren den Wert der gestohlenen Passwörter aufgrund seiner kurzen Gültigkeit.

Software

Es gibt viele Software -Tools für Passwort -Cracking, aber die beliebtesten[37] sind Flugzeugcrack-ng, Kain & Abel, Johannes der Ripper, Hashcat, Hydra, Dave Grohl, und Elcomsoft. Viele Software zur Unterstützung von Rechtsstreitigkeiten Die Pakete enthalten auch die Funktionalität des Kennwortrisses. Die meisten dieser Pakete verwenden eine Mischung von Rissstrategien. Algorithmen mit Brute-Force- und Wörterbuchangriffen, die sich als die produktivste erweisen.[38]

Die erhöhte Verfügbarkeit von Rechenleistung und Anfängerfreundlichkeit automatisierter Passwort -Cracking -Software für eine Reihe von Schutzschemata hat es ermöglicht, die Aktivität zu übernehmen Skript Kinder.[39]

Siehe auch

Verweise

  1. ^ a b Oclhashcat-Lite-Erweiterte Kennwortwiederherstellung. Hashcat.net. Abgerufen am 31. Januar 2013.
  2. ^ Montoro, Massimiliano (2005). "Cain & Abel-Benutzerhandbuch: Brute-Force-Passwort Cracker". oxid.it (nicht mehr existierende). Archiviert vom Original am 20. August 2013. Abgerufen 13. August, 2013.{{}}: CS1 Wartung: Ungeeignete URL (Link)
  3. ^ "Was ist das Kennwortsprühen? Wie kann man Passwortsprühangriffe stoppen".
  4. ^ Bahadursingh, Roman (19. Januar 2020). "Ein verteilter Algorithmus für Brute -Force -Kennwortrisse bei N -Prozessoren". doi:10.5281/Zenodo.3612276.
  5. ^ Lundin, Leigh (11. August 2013). "Pins und Passwörter, Teil 2". SLEUTHSAYERS.org. Orlando.
  6. ^ Alexander, Steven. (20. Juni 2012) Der Fehlercharmer: Wie lange sollten Passwörter dauern?. Bugcharmer.blogspot.com. Abgerufen am 31. Januar 2013.
  7. ^ CryptoHaze -Blog: 154 Milliarden NTLM/Sec auf 10 Hashes. Blog.cryptoHaze.com (15. Juli 2012). Abgerufen am 31. Januar 2013.
  8. ^ John the Ripper Benchmarks. openwall.info (30. März 2010). Abgerufen am 31. Januar 2013.
  9. ^ Burr, W. E.; Dodson, D. F.; Polk, W. T. (2006). "Richtlinie für elektronische Authentifizierung". NIST. doi:10.6028/nist.sp.800-63v1.0.2. Abgerufen 27. März, 2008.
  10. ^ "64-Bit-Schlüsselprojektstatus". Verteilt.net. Archiviert von das Original am 10. September 2013. Abgerufen 27. März, 2008.
  11. ^ Kennwortwiederherstellungsgeschwindigkeitstabelle, aus Elcomsoft. Ntlm Passwörter, Nvidia Tesla S1070 GPU, abgerufen am 1. Februar 2011
  12. ^ "VCL Cluster -Plattform". mosix.cs.huji.ac.il.
  13. ^ "25-GPU-Cluster rissen jedes Standard-Windows-Passwort in <6 Stunden". 2012.
  14. ^ "Eff des Cracker -Maschine bringt der Krypto -Debatte ehrlich". Eff. Archiviert von das Original am 1. Januar 2010. Abgerufen 7. Juni, 2020.
  15. ^ Biddle, Sam (11. Mai 2017). "NYU hat versehentlich militärischem Code-brechens Computerprojekt für das gesamte Internet ausgesetzt". Der Abfang.
  16. ^ "Ankündigen-[OpenWall-Announce] John the Ripper 1.9.0-Jumbo-1". openwall.com.
  17. ^ "Bcrypt -Passwort extrem langsam? Nicht, wenn Sie Hunderte von FPGAs verwenden!". Mittel. 8. September 2020.
  18. ^ Verwaltung der Netzwerksicherheit. Fred Cohen & Associates. All.net. Abgerufen am 31. Januar 2013.
  19. ^ Yan, J.; Blackwell, A.; Anderson, R.; Grant, A. (2004). "Kennwort -Auswendigbarkeit und Sicherheit: Empirische Ergebnisse" (PDF). IEEE Security & Privacy Magazine. 2 (5): 25. doi:10.1109/msp.2004.81. S2CID 206485325.
  20. ^ Steinberg, Joseph (21. April 2015). "Neue Technologie knackt 'starke' Passwörter - was Sie wissen müssen". Forbes.
  21. ^ "Cert in-98.03". Archiviert von das Original Am 9. Juli 2010. Abgerufen 9. September, 2009.
  22. ^ "Verbraucherkennwort schlechteste Praktiken" (PDF). Imperva.com.
  23. ^ "NATO Hack Angriff". Das Register. Abgerufen 24. Juli, 2011.
  24. ^ "Anonymous leckt 90.000 militärische E -Mail -Konten bei der letzten Antisec -Angriff". 11. Juli 2011.
  25. ^ "Militär Passwortanalyse". Imperva.com. 12. Juli 2011.
  26. ^ "Microsoft's Hotmail Bans 123456". Imperva.com. 18. Juli 2011. archiviert von das Original am 27. März 2012.
  27. ^ "Ashley Madison: Hacker Dump Stolen Dating Site Daten". Bankinfosecurity.com. Abgerufen 11. April, 2021.
  28. ^ "Forscher knacken 11 Millionen Ashley Madison Passwörter". Bankinfosecurity.com. Abgerufen 11. April, 2021.
  29. ^ Sänger Abe (November 2001). "Keine Klartextkennwörter" (PDF). Anmeldung. 26 (7): 83–91. Archiviert (PDF) Aus dem Original am 24. September 2006.
  30. ^ "Kryptanalyse des Point-to-Point-Tunneling-Protokolls von Microsoft". Schneier.com. 7. Juli 2011. Abgerufen 31. Januar, 2013.
  31. ^ Grassi, Paul A (Juni 2017). "SP 800-63B-3-Richtlinien für digitale Identität: Authentifizierung und Lebenszyklusmanagement" (PDF). NIST. doi:10.6028/nist.sp.800-63b.
  32. ^ Ein zukunftsanpassbares Passwortschema. Usenix.org (13. März 2002). Abgerufen am 31. Januar 2013.
  33. ^ Mdcrack FAQ 1.8. Keiner. Abgerufen am 31. Januar 2013.
  34. ^ Passwortschutz für moderne Betriebssysteme. Usenix.org. Abgerufen am 31. Januar 2013.
  35. ^ "Passwort Hashing -Wettbewerb". Archiviert von das Original am 2. September 2013. Abgerufen 3. März, 2013.
  36. ^ "NIST SP800-63B Abschnitt 5.1.1.2" (PDF). nvlpubs.nist.gov.
  37. ^ "Top 10 Passwort Cracker". Sekten. Abgerufen 1. November, 2009.
  38. ^ "Bleiben Sie sicher: Sehen Sie, wie Passwort Crackers funktionieren - Keeper Blog". Keeper Security Blog - Cybersecurity News & Product Updates. 28. September 2016. Abgerufen 7. November, 2020.
  39. ^ Anderson, Nate (24. März 2013). "Wie ich ein Passwort -Cracker geworden bin: Cracking -Passwörter ist offiziell eine" Skript Kiddie "-Aktivität jetzt". ARS Technica. Abgerufen 24. März, 2013.

Externe Links