1. Foren
  2. Kommentare
  3. Internet-Forum
  4. Alle Kommentare zum Artikel
  5. › WLAN-Tracking und Datenschutz…

Hashing anonymisiert nicht,

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 14:14

    ... sondern pseudonymisiert höchstens. So oder so bringt das Hashing von MAC-Adressen nichts, es gibt einfach zu wenige mögliche Adressen:

    MAC-Adressen haben 48 bit.
    Die erste Hälfte der MAC-Adressen ist der sog. Organisationally Unique Identifier (OUI). Es gibt etwa 24215 verschiedene OUIs. Praktisch gibt es also ca 24215*2^24= 4.1E11 verschiedene MAC-Adressen, also ungefähr 400 Milliarden. Damit bräuchte man schon sehr langsame Hashfunktionen, damit man den Hash nicht in sehr kurzer Zeit auf eine MAC-Adresse zurückführen könnte.

  2. Re: Hashing anonymisiert nicht,

    Autor: ibsi 09.01.19 - 15:45

    Wenn man das mit einem Tagessalt hasht (also jeden Tag ein neuer Salt), dann könnte man das meiner Meinung nach hin bekommen. Am nächsten Tag bin ich dann halt ein neuer Kunde.

  3. Re: Hashing anonymisiert nicht,

    Autor: Shismar 09.01.19 - 19:10

    Zum einen kann man die MAC salzen, wenn man unbedingt möchte und zum anderen sind Hash-Funktionen nun einmal nicht reversibel. D.h., selbst wenn Du den Hash in Deiner rainbow table aller möglichen MAC-Adressen gefunden hast (keine Ahnung ob es die gibt), so ist immer noch nicht bekannt, welche der mehreren Millionen MAC-Adressen die den gleichen Hash bilden die richtige ist. (Angenommen ein einigermaßen aktuelles und nicht kompromittiertes Hash-Verfahren)

    Also, nein, der Hash lässt sich nicht auf die Adresse zurückführen, für die er generiert wurde.


    Ein Tagesdatum als Salt hätte den Vorteil, dass zum einen eine rainbow table unrealistisch würde, weil für jeden Tag zu generieren, und man für die Dauer des Tages Bewegungen verfolgen kann. Danach kann man den Hash wegwerfen, weil sehr sicher nie wieder mit der gleichen MAC den gleichen Hash haben wird.

  4. Re: Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 19:53

    Ein ausreichend langer Salt, der zeitnah verworfen wird, kann tatsächlich etwas bringen.

    Zum Brechen von ungesalzenen MAC-Adress-Hashes brauch es keine Rainbowtables. Eine Million MAC-Adressen aus Hashes wiederherzustellen dauert keine fünf Minuten auf einer (gar nicht so neuen) Grafikkarte. Bei Verfahren wie md5 oder sha-256 sind mir keine Kollisionen untergekommen.

  5. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 19:56

    Die Frage muss man natürlich schon stellen, wie viel hashes pro Sekunde kann ein schnelles System berechnen. Das hängt natürlich Algorithmus ab. Aber grundsätzlich ist die Gefahr natürlich hoch das es hier live von einem billigen Gerät berechnet werden muss, und eine High End Workstation kann es evtl. in akzeptabler Zeit Bruteforcen, dann nützt auch ein Salt nichts mehr.

    Und es ist halt die Frage ob man so etwas wie eine Mac oder eine IP Adresse (zumindest IPv4) überhaupt mittels eines Hashes anonymisieren kann, da es einfach zu wenige gibt

  6. Re: Hashing anonymisiert nicht,

    Autor: M-M 09.01.19 - 20:06

    Eine Nvidia RTX 2080 FE kommt mit hashcat auf fast 40 Milliarded md5-Hashes pro Sekunde :D (siehe https://gist.github.com/epixoip/23068f4bc81db505115c43e7751522f2). Bei bcrypt oder scrypt sieht das aber schon anders aus.

    Interessant wäre es, wenn man scrypt ASIC miner zum Hash-Brechen nutzen könnte.

  7. Re: Hashing anonymisiert nicht,

    Autor: Anonymer Nutzer 09.01.19 - 20:13

    Shismar schrieb:
    --------------------------------------------------------------------------------
    > zum
    > anderen sind Hash-Funktionen nun einmal nicht reversibel. D.h., selbst wenn
    > Du den Hash in Deiner rainbow table aller möglichen MAC-Adressen gefunden
    > hast, so ist immer noch nicht bekannt, welche
    > der mehreren Millionen MAC-Adressen die den gleichen Hash bilden die
    > richtige ist.
    Es gibt 2^46 verschiedene MAC-Adressen und md5 hat 2^128 verschiedene Möglichkeiten.
    Damit sind Kollisionen zwar möglich, aber extrem unwahrscheinlich und wenn, dann werden es wohl auch nur 2 MACs sein, die den gleichen md5-Hash haben.

  8. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 20:21

    M-M schrieb:
    --------------------------------------------------------------------------------
    > Ein ausreichend langer Salt, der zeitnah verworfen wird, kann tatsächlich
    > etwas bringen.
    >
    Nur wie Zeitnah will man so einen Salt verwerfen wenn man laut Aussage der Betreiber sicher stellen will das Jeder Besucher nur ein mal Gezählt wird, da kann man diesen nicht sehr oft verwerfen

  9. Re: Hashing anonymisiert nicht,

    Autor: Anonymer Nutzer 09.01.19 - 20:27

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > M-M schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein ausreichend langer Salt, der zeitnah verworfen wird, kann
    > tatsächlich
    > > etwas bringen.
    > >
    > Nur wie Zeitnah will man so einen Salt verwerfen wenn man laut Aussage der
    > Betreiber sicher stellen will das Jeder Besucher nur ein mal Gezählt wird,
    > da kann man diesen nicht sehr oft verwerfen
    Auch wenn der Betreiber das natürlich am liebsten über Jahre tracken würde, reicht es aus, einmal am Tag den Key zu verwerfen.
    Damit wird zwar nur sichergestellt, dass jeder Besucher nur einmal am Tag getrackt wird, aber das reicht schon aus.

  10. Re: Hashing anonymisiert nicht,

    Autor: robinx999 09.01.19 - 20:37

    Hängt dann aber natürlich Trotzdem von dem Verfahren ab einige simple lassen ja trotzdem zu das man mehrere Millionen pro Sekunde durchprobiert mit einer schnellen Grafikkarte. Also braucht es ein Verfahren welches gegenüber Bruteforce Atacken einigermaßen Resistent ist und gleichzeitig ausreichend schnell von Billigen Messgeräten erzeugt werden kann.

  11. Re: Hashing anonymisiert nicht,

    Autor: Anonymer Nutzer 09.01.19 - 21:07

    Es ist nicht so entscheidend ob man nun eine echte Mac Adresse oder ein Pseudonym hat.

    Der Datenschutz-Gau passiert wenn man irgendwo das Bewegungsprofil (Pseudonym/Hash, wasauchimmer) einer Person zuordnen kann. Etwa einer Zahlungskarte, einem Foto einer Überwachungskamera etc.

    Wenn ich jeden Tag ein neues Salt verwende, aber jeden Tag das Profil der Kundenkarte der Person A zuordne dann ist dieses Salt völlig irrelavant. Denn ab dann weiß ich was Person A jeden Tag gemacht hat.

    Am besten das Ganze bleiben lassen. Denn die Verantwortlichen denken sie haben alles super anonymisiert, arbeiten in großem Stil mit den Daten, geben sie weiter (alles anonym, lol), und sobald jemand diese Daten mit anderen Daten zusammenführt kommt plötzlich was völlig Dummes raus.

    zB eine Taxizentrale (NY oder so) hat mal anonyme Daten zu Fahrten veröffentlicht. Die Daten hat jemand mit Paparazzi Fotos kombiniert (Taxinummer + Person am Foto), und schon hatte man Bewegungsdaten von vielen bekannten Personen.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Java Backend Entwickler (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), Augsburg, Landshut, Nürnberg, Regensburg
  2. Applikationsentwickler (m/w/d)
    Propan Rheingas GmbH & Co. KG, Brühl
  3. Software- / System-Architekt (m/w/d)
    ifm-Unternehmensgruppe, Tettnang
  4. Product Manager (m/w/d) Data Driven Development im Bereich Hogrefe Innovation Lab
    Hogrefe-Verlag GmbH & Co. KG, Göttingen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (stündlich aktualisiert)
  2. 30,49€
  3. 7,99€ (UVP 19,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bowers & Wilkins PX7 S2 im Test: Guter ANC-Kopfhörer für windstille Tage
Bowers & Wilkins PX7 S2 im Test
Guter ANC-Kopfhörer für windstille Tage

Der PX7 S2 von Bowers & Wilkins ist ein guter ANC-Kopfhörer, der sich im Test mit einer starken Konkurrenz von sechs ANC-Kopfhörern beweisen muss.
Ein Test von Ingo Pakalski

  1. Nuratrue Pro Nura bringt neue In-Ears mit 3D-Sound und Lossless-Audio
  2. Master & Dynamic MW75 ANC-Kopfhörer mit Knopfsteuerung kostet 600 Euro
  3. Dyson Zone ANC-Kopfhörer hat einen eingebauten Luftreiniger

Directus: Schneller zur Backend-API mit dem Headless CMS
Directus
Schneller zur Backend-API mit dem Headless CMS

Web-, Mobile- oder gar Print-Frontends können sehr verschieden sein. Eine Backend-API mit einem Headless CMS vereinfacht das. Directus zeigt, wie.
Eine Anleitung von Jonathan Schneider


    Technics EAH-A800 im Praxistest: Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer
    Technics EAH-A800 im Praxistest
    Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer

    Technics' neuer ANC-Kopfhörer EAH-A800 ist eine der besten Alternativen zu Sonys Oberklasse-Kopfhörer WH-1000XM5. Im Bereich Akkulaufzeit liefert er sogar Spitzenleistung.
    Ein Test von Ingo Pakalski


      1. Gewobag: 500 Ladepunkte für Mieter in Berlin geplant
        Gewobag
        500 Ladepunkte für Mieter in Berlin geplant

        Mieter der Berliner Gewobag sollen bis Ende 2024 etwa 500 Ladepunkte für ihre E-Autos nutzen können. Die Gesellschaft verfügt über 16.000 Stellplätze.

      2. Fake-Polizei-Anrufe: Bundesnetzagentur meldet starken Anstieg von Beschwerden
        Fake-Polizei-Anrufe
        Bundesnetzagentur meldet starken Anstieg von Beschwerden

        Seit März wachsen die Beschwerden stark an, weil Betrüger automatische Ansage von Polizei, BKA, Interpol oder Europol versenden. Dabei täuschen sie echte Telefonnummern vor.

      3. 5G: Huawei und Ericsson erfreut über Sicherheitscheck des BSI
        5G
        Huawei und Ericsson erfreut über Sicherheitscheck des BSI

        Huawei betont, dass seine Produkte bereits nach ähnlichen Kriterien wie jetzt vom BSI auditiert wurden. Auch Ericsson will voll kooperieren.


      1. 07:18

      2. 23:59

      3. 18:32

      4. 17:54

      5. 17:15

      6. 17:00

      7. 16:30

      8. 16:00