Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Folgenschwerer PSN-Hack: Persönliche…
  6. Thema

Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Nof 27.04.11 - 11:22

    Wir sind als Firmenteil verkauft worden haben ein Kopie eines Kundenportals bekommen und beim einrichten der Datenbank ist mir dann aufgefallen das ich von 3000 Kunden und den Administratoren/Kundenbetreuern die Kennwörter geraden im Klartext vor mir hab. Gültige Kennwörter von Leuten die Gutschriften erstellen. Ein Sicherheitsempfinden bei amerikanischen/asiatischen Firmen scheint es nicht zu geben. 6 Monate nachdem ich das gemeldet hab konnte ich mich noch immer mit dem Administrator an der Seite Anmelden. Ich bin eigentlich viel zu ehrlich.

  2. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Auf_zum_Atom 27.04.11 - 11:26

    fool schrieb:
    --------------------------------------------------------------------------------

    > So funktioniert das mit dem Salt nicht, das Salt wird normalerweise per
    > Zufall ermittelt und dann zusammen mit dem verschlüsselten Passwort
    > gespeichert. Salt schützt nicht gegen brute force, sondern gegen rainbow
    > tables. Dafür muss es nicht geheimer sein als das verschlüsselte Passwort
    > selbst.
    Das ist sogar noch einfacher für den Angreifer, denn in "meiner" Version müsste der Angreifer noch auf den Quelltext des Hash-Generierung-Programms kommen (welcher im Normalfall auf einem anderen Server liegt), in "deiner" Version muss der Angreifer neben dem Passwort-Hash nur noch zusätzlich den Salt aus der DB auslesen (was ihm bei einem Vollzugriff auf die Datenbank nicht schwer fallen dürfte).

  3. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: GodsBoss 27.04.11 - 11:33

    > Selbst wenn alle Passwörter mit Salt verschlüsselt sind,

    Gehasht, nicht verschlüsselt.

    > hilft das nichts
    > gegen Wörterbuchangriffe. Komplexe Passwörter wären in so einem Fall
    > verhältnismäßig sicher, aber bei 75 Millionen Usern gibt es bestimmt genug,
    > die per simplem brute force noch gefunden werden können. Eine
    > Wörterbuchdatei einmal pro Salt durchzugehen, kann relativ schnell gehen.

    Das „relativ“ ist hier entscheidend: Wenn kein Salt oder nur ein einziger Salt für alle Passwörter verwendet wurde, unterscheidet sich der Aufwand für einen einzigen User im Gegensatz zu 75 Millionen Usern nur marginal – einmal Hashes berechnen, vergleichen. Wird pro Passwort ein Salt verwendet, unterscheidet sich der Aufwand um den Faktor 75 Millionen.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  4. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: elgooG 27.04.11 - 12:16

    Ich hatte auch schon mal das Vergnügen eine solche Datenbank zu sehen, wo zwar alle Kennwörter verschlüsselt waren...ABER...ein schlauer Admin hatte die Idee x-Null-Spalten dahinter einzufügen, damit man scrollen muss (!) und dort nochmal in einer Spalte eine Kopie der Kennwort-Spalte in Klartext.

    Ich dachte ich flippe aus, speziell weil es darum ging die Administration in Sachen Sicherheit zu beraten. Wenn es dann schon mal so anfängt, möchte man nur mehr lachend weglaufen. xD

  5. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: DrKrieger 27.04.11 - 14:12

    antares schrieb:
    --------------------------------------------------------------------------------
    > ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter seiner
    > Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT
    > weitgehend witzlos. Allerdings schafft eine aktuelle Grafikkarte auch ihre
    > 800 Mio MD5-Hashes pro Sekunde. Also lieber gleich live ran.

    ganz einfach, mach einen account vor dem datendiebstahl mit einem bekannten passwort, wovon du automatisch natürlich auch den md5 hash besitzt...

    ca voila! du hast jetzt deinen eigenen md5 hash mit dem salt von sony, jetzt kannst du einen bruteforce angriff auf den salt starten da alle anderen daten dir ja bereits bekannt sind.

    oder vergesse ich etwas?

  6. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: GodsBoss 27.04.11 - 14:24

    > > ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter
    > seiner
    > > Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT
    > > weitgehend witzlos. Allerdings schafft eine aktuelle Grafikkarte auch
    > ihre
    > > 800 Mio MD5-Hashes pro Sekunde. Also lieber gleich live ran.
    >
    > ganz einfach, mach einen account vor dem datendiebstahl mit einem bekannten
    > passwort, wovon du automatisch natürlich auch den md5 hash besitzt...
    >
    > ca voila! du hast jetzt deinen eigenen md5 hash mit dem salt von sony,
    > jetzt kannst du einen bruteforce angriff auf den salt starten da alle
    > anderen daten dir ja bereits bekannt sind.
    >
    > oder vergesse ich etwas?

    Ja, so einfach ist das nämlich nicht.

    Du hast dein Passwort P. Der Salt S ist unbekannt. Aus P und S wird der Hash H berechnet. Den erhältst du durch den Zugriff auf die Datenbank.

    Klar kannst du jetzt einen Bruteforce-Angriff starten, indem du lauter X wählst und prüfst, ob h(X+P) = H gilt (mit h Hashfunktion und + Zeichenkettenkonkatenation). Oder h(P+Y) = H. Oder h(X+P+Y) = H. Allerdings könnten X bzw. Y so gigantisch sein, dass du viel zu viele Versuche bräuchtest.

    Außerdem könnte dir noch was anderes passieren: Du findest eine Kollision. Sprich, du findest ein X, für das h(P+X) = H, suchst dann für einen anderen Hash H' aus der Liste ein P', für das h(P'+X) = H' gilt, willst dich mit dem Passwort P' anmelden, aber du erhältst als Antwort, dass das falsche Passwort gegeben wurde.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  7. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: DrKrieger 27.04.11 - 14:40

    ja, die länge des salts ist ein gutes argument.

    das md5 ein gewisses maß an anfälligkeit für kollisionen besitzt ist mir noch von meinen eigenen versuchen bekannt meine passwörter zu knacken. in den rainbow tables steht mein (altes & neues) passwort jedenfalls bis heute noch nicht.

    das sony nicht gerade der experte in sicherheitsfragen ist hat man ja auch hieran gemerkt:

    zitat: [...] "m" is supposed to be a random number and for some reason Sony used the same random number all the time...
    -- fail0verflow 2010



    1 mal bearbeitet, zuletzt am 27.04.11 14:41 durch DrKrieger.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler
  2. INTENSE AG, Würzburg, Köln, Saarbrücken
  3. SEG Automotive Germany GmbH, Stuttgart
  4. SCHILLER Medizintechnik GmbH, Feldkirchen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 56€ (Bestpreis!)
  2. (u. a. 20% auf ausgewählte Monitore)
  3. (u. a. Sennheiser HD 4.50R für 99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

  1. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  2. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  3. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.


  1. 18:18

  2. 18:00

  3. 17:26

  4. 17:07

  5. 16:42

  6. 16:17

  7. 15:56

  8. 15:29