Brute-Force: Möglichkeiten berechnen

[vonTurnundTaxis]

> Wieso sieht dein Schlüssel verdächtig aus wie eine Seriennummer?
Ich frage mich ohnehin, weshalb hier jemand bei einer (augenscheinlich) illegalen Aktivität unterstützt wird.

[hardfalcon]

Warum sollte man die Sicherheit von Seriennummern nicht auf den Prüfstand stellen dürfen? Es gibt Leute, die werden bezahlt, nur um Schwachstellen bei der Implementierung von Seriennummern in einem Programm zu finden (die Beseitigung der Schwachstellen kostet nochmal extra ^^).

[vonTurnundTaxis]

Aber sicher doch ... dann werden die Seriennummern gegen Bruterforce gewappnet, gell?

[hardfalcon]

Man kann z.B. statistische Schwächen eleminieren (so wie sie vermutlich im neuen Zufallszahlengenerator für Vista enthalten sein dürften). Oder die Methode "Seriennummer" gleich ganz in Frage stellen.

[Daniel P.]

Wer hat eigentlich gesagt, dass meine Schlüssel eine Seriennummer ist

*TMoeböseanguckentut*

Desweiteren lass ich mir hier keine illegalen Sachen unterstellen - denn das ist es nicht. Hier geht es lediglich um eine theoretische Frage. Mir geht es, wie es auch schon hardfalcon schrieb, um eine Art "Härtetest" einer Schnittstelle, die mit PHP verwendet wird. Diese erwartet so einen Schlüssel und lässt nur authorisierte Nummern zu. Hat man einen gültigen Schlüssel, kann man mit der Schnittstelle kommunizieren, ansonsten nicht. Im Prinzip funktioniert das wie eine Passwort-Abfrage, halt nur für Software und nicht für Endanwender. Mich interessiert nur, ob man so einen Schlüssel auch durch Brut-Force erzeugen kann - können schon, nur dauert's IMHO zu lange (65.000 Jahre). Damit ist für mich die Schnittstelle mehr oder weniger sicher und unüberwindbar, wenn man keinen gültigen Schlüssel hat. Aber falls jemand noch eine Idee hat (oder einen kleinen ASM-Code), dann immer her damit

[ZeHa]

Ich find's eher lächerlich, wie schnell immer alle illegal! schreien... Mann Mann Mann, hier werden auch Cheating- und Anti-Cheating-, Cracking- und Anti-Cracking-Sachen besprochen, wer sagt denn bitte, daß das immer gleich alles böse angewendet werden muß?!

[hardfalcon]

Der Präventiv-Staat scheint bei manchen Wählern ja auf fruchtbaren Boden gefallen zu sein...

[ZeHa]

Wie sollen Dinge verhindert werden, wenn keiner weiß, wie sie funktionieren?

[Zaphod]

Oh man, als ob jede Beschäftigung mit Kombinatorik einem zum Schwerverbrecher macht.
Damit muss sich übrigens *jeder* Informatikstudent beschäftigen.

Es sind mehr Kombinationen, weil ein Passwort ja *bis* 6 zeichen lang ist, aber auch kürzer sein kann.
Die gesammtzahl der Kombinationen ist also:
36+(36*36)+(36*36*36)+(36*36*36*36)+(36*36*36*36*36)+(36*36*36*36*36*36)
=2.238.976.116 Kombinationen. Für einen Bruteforce angriff sind das ohnehin viel zu viele Kombinationen um wirklich praktikabel zu sein. Rainbowtables sind ja auch nicht für BruteForce angriffe da, sondern für lookup angriffe.

Sagen wir du brauchst nur eine hundertstel Sekunde zum validieren eines Versuchs (was bei den meisten Szenarios schon sehr unrealistisch ist), dann wäre ein kompletter Durchlauf immer noch ca 259,14 Tage lang... brauchst du zur validierung 1/10 Sekunde kannst du dir leicht ausrechnen wieviele Jahre du auf das Ergebnis wartest.

[TMoe]

Ich habe nichts von illegal gesagt, ich wollte vielmehr auf die Ähnlichkewit hinweisen da Seriennummern nicht zufällig sondern nach einem System erstellt werden, wodurch sich die Nummer der möglichen Varianten stark reduzieren lässt. Er könnte ja zum Beispiel auch Seriennummern für sein nächstes großes Projekt auf statistische Schwachstellen prüfen wollen.

Der Grund weshalb ich diese Frage aufgebracht habe ist, dass wir den Bruteforce-Prozess optimieren könnten, würden wir das System hinter den Nummern kennen (sofern es eins gibt).