WinAce und seine Paswortverschlüsselung

Hi Allerseits.

Ich benutze oft & gern das Packprogramm „WinAce“, das laut Werbung eine BOMBENSICHERE Paßwortverschlüsselung hat.
Und laut einer aktuellen PC-Zeitschrift handelt es sich dabei sogar um Blowfish, einen - meines Wissens - ziemlich sicheren Algorithmus.
Aber hier kommt der Pferdefuß:
Vor nicht allzu langer Zeit hielt ich in einem Kaufhaus ein Password-Cracking-Kit in den Händen, bei dem damit geworben wurde, dass man damit problemlos auch WinAce-Passwörter knacken kann.
Kann das (zumindest bei der jetzigen WinAce-Version) denn wirklich sein?
Oder darf ich damit verschlüsselte Dateien als momentan „unknackbar“ ansehen?

cu

Mit einer sogenannten Brute-Force-Attack (alle Komibnationen ausprobieren) kannst Du jedes Verschlüsselungsprinzip aktueller Programme knacken.
Wie lange Du für einen solchen erfolgreichen Angriff brauchst, hängt von vielen Faktoren ab - Passwortlänge, Komplexität des Paßwortes, Rechnerleistung…

Theoretisch ist es also möglich, aber willst Du Deinen Rechner 20 Jahre lang durchlaufen zu lassen, um ein ACE-Archiv zu knacken???

Hi,
da unten steht es: theoretisch ist es immer möglich.

In der Praxis sieht es häufig unterschiedlich gut aus.
Ich kann mich an den WinZip-Hack vor einigen Jahren erinnern: der Angriff war, trotz anerkannt guter Verschlüsselung, erstaunlich schnell und erfolgreich.
Das lag an der Implementierung bei WinZip. Die Angreifer haben nicht die Verschlüsselung an sich, sondern die Rahmenbedingungen analysiert und stießen dabei auf dicke Scheunentore.

Evtl. gibt es bei WinACE etwas Ähnliches?

Gruß

J.

Hallo,

je länger das Passwort, desto schwerer zu knacken. Und um so mehr Zahlen und Sonderzeichen Du in dem Passwort benutzt, deston komplizierter wird das Knacken.

In der Regel werden Passwörter so geknackt, dass ein Brute Force Angriff ausgeführt wird, also einfach ALLE Möglichkeiten durchprobiert werden.

Da ist ganz klar, dass längere Passwörter höhere Sicherheit bedeuten. Passwörter wie „3hIdkn82xK“ oder so sind natürlich sicherer als „Michael“ oder Dein Geburtstag.

Daniel

Danke für die Hinweise Allerseits.
Dass man per Brute Force letztendlich jedes Passwort knacken kann, ist mir zwar freilich schon klar, aber ist WinAce auch gegen AUTOMATISIERTE Brute-Force-Attacken geschützt (dass also irgendeine anderes Programm - anstelle eines Menschen - alle Kombinationen durchprobiert)?
Und wie sieht es mit anderweitigen Attacken aus?
Ist WinAce softwareseitig gegen Angriffe einigermaßen sicher?
Oder ist es vielleicht sogar sehr leicht zu knacken?
Gibt es darüber irgendwelche Testberichte?

cu

„Knacken von Kennwörtern“ einmal allgemein betrachtet:

Die Frage muß nicht lauten „Ist das sicher?“ sondern eher „Mit welchem finanziellen, technischen und zeitlichen Aufwand muß man rechnen?“, denn eins ist klar, solange solche Verschlüsselungsalgorithmen von Menschenhand entwickelt werden, ist jeder Schutz knackbar.

Erst wenn wir Rechner entwickeln, die eigenständig denken und sowas entwickeln können, können wir auch von einer fast 100%igen Sicherheit ausgehen.

Es gibt heutzutage zwar Methoden, die wirklich schon sehr gut sind, nur kann ein Schutz nur so gut sein wie der Benutzer, der sich das Kennwort merken muß und niemand wird sich ein Kennwort von sagen wir mal 4000 Zeichen merken können/wollen.

Ich als Supporter habe ansich jeden Tag mit „Normalanwendern“ zu tun, die aber auch wirklich überall zum einen ein zu kurzes und - was noch viel schlimmer ist - das selbe Kennwort eingeben (bzw. meist sogar noch eingeben lassen durch Autovervollständigen, etc. )…und wundern sich dann, wieso das nicht sicher ist.

Bzgl. Kennwörter bei Packprogrammen und dgl. hat sich etwas recht nützliches bewährt, was das ganze schon mal sehr viel sicherer macht…URLs, denn da sind Buchstaben, Zahlen und Sonderzeichen drin. Sie können lang sein und man kann sie sich dennoch merken. Brute-Force Methoden brauchen dafür SEEEEHR lange…selbst mit P4-Systemen sind das einige 100 Jahre. Sicher, auf Crays und Quantenrechnern sicher weniger lang, aber wer hat auch schon 'ne Cray im Keller?

Wer seine ganze Kiste dichtmachen möchte, kann ja mal einen Blick hierher werfen: http://www.drivecrypt.com/

Das DriveCrypt PlusPack hat auch einen Bootschutz mit drin. Ohne dem bis zu 4-zeiligen AES-gecryptetem Kennwort und USB-Token bzw. Smartcard kommt keiner an die Daten. Sehr sinnvoll z.B. bei Laptops!

Bisher hat es m.W. niemand geschaft den Schutz zu umgehen.