Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Folgenschwerer PSN-Hack: Persönliche…
  6. Thema

Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Nof 27.04.11 - 11:22

    Wir sind als Firmenteil verkauft worden haben ein Kopie eines Kundenportals bekommen und beim einrichten der Datenbank ist mir dann aufgefallen das ich von 3000 Kunden und den Administratoren/Kundenbetreuern die Kennwörter geraden im Klartext vor mir hab. Gültige Kennwörter von Leuten die Gutschriften erstellen. Ein Sicherheitsempfinden bei amerikanischen/asiatischen Firmen scheint es nicht zu geben. 6 Monate nachdem ich das gemeldet hab konnte ich mich noch immer mit dem Administrator an der Seite Anmelden. Ich bin eigentlich viel zu ehrlich.

  2. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Auf_zum_Atom 27.04.11 - 11:26

    fool schrieb:
    --------------------------------------------------------------------------------

    > So funktioniert das mit dem Salt nicht, das Salt wird normalerweise per
    > Zufall ermittelt und dann zusammen mit dem verschlüsselten Passwort
    > gespeichert. Salt schützt nicht gegen brute force, sondern gegen rainbow
    > tables. Dafür muss es nicht geheimer sein als das verschlüsselte Passwort
    > selbst.
    Das ist sogar noch einfacher für den Angreifer, denn in "meiner" Version müsste der Angreifer noch auf den Quelltext des Hash-Generierung-Programms kommen (welcher im Normalfall auf einem anderen Server liegt), in "deiner" Version muss der Angreifer neben dem Passwort-Hash nur noch zusätzlich den Salt aus der DB auslesen (was ihm bei einem Vollzugriff auf die Datenbank nicht schwer fallen dürfte).

  3. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: GodsBoss 27.04.11 - 11:33

    > Selbst wenn alle Passwörter mit Salt verschlüsselt sind,

    Gehasht, nicht verschlüsselt.

    > hilft das nichts
    > gegen Wörterbuchangriffe. Komplexe Passwörter wären in so einem Fall
    > verhältnismäßig sicher, aber bei 75 Millionen Usern gibt es bestimmt genug,
    > die per simplem brute force noch gefunden werden können. Eine
    > Wörterbuchdatei einmal pro Salt durchzugehen, kann relativ schnell gehen.

    Das „relativ“ ist hier entscheidend: Wenn kein Salt oder nur ein einziger Salt für alle Passwörter verwendet wurde, unterscheidet sich der Aufwand für einen einzigen User im Gegensatz zu 75 Millionen Usern nur marginal – einmal Hashes berechnen, vergleichen. Wird pro Passwort ein Salt verwendet, unterscheidet sich der Aufwand um den Faktor 75 Millionen.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  4. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: elgooG 27.04.11 - 12:16

    Ich hatte auch schon mal das Vergnügen eine solche Datenbank zu sehen, wo zwar alle Kennwörter verschlüsselt waren...ABER...ein schlauer Admin hatte die Idee x-Null-Spalten dahinter einzufügen, damit man scrollen muss (!) und dort nochmal in einer Spalte eine Kopie der Kennwort-Spalte in Klartext.

    Ich dachte ich flippe aus, speziell weil es darum ging die Administration in Sachen Sicherheit zu beraten. Wenn es dann schon mal so anfängt, möchte man nur mehr lachend weglaufen. xD

  5. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: DrKrieger 27.04.11 - 14:12

    antares schrieb:
    --------------------------------------------------------------------------------
    > ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter seiner
    > Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT
    > weitgehend witzlos. Allerdings schafft eine aktuelle Grafikkarte auch ihre
    > 800 Mio MD5-Hashes pro Sekunde. Also lieber gleich live ran.

    ganz einfach, mach einen account vor dem datendiebstahl mit einem bekannten passwort, wovon du automatisch natürlich auch den md5 hash besitzt...

    ca voila! du hast jetzt deinen eigenen md5 hash mit dem salt von sony, jetzt kannst du einen bruteforce angriff auf den salt starten da alle anderen daten dir ja bereits bekannt sind.

    oder vergesse ich etwas?

  6. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: GodsBoss 27.04.11 - 14:24

    > > ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter
    > seiner
    > > Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT
    > > weitgehend witzlos. Allerdings schafft eine aktuelle Grafikkarte auch
    > ihre
    > > 800 Mio MD5-Hashes pro Sekunde. Also lieber gleich live ran.
    >
    > ganz einfach, mach einen account vor dem datendiebstahl mit einem bekannten
    > passwort, wovon du automatisch natürlich auch den md5 hash besitzt...
    >
    > ca voila! du hast jetzt deinen eigenen md5 hash mit dem salt von sony,
    > jetzt kannst du einen bruteforce angriff auf den salt starten da alle
    > anderen daten dir ja bereits bekannt sind.
    >
    > oder vergesse ich etwas?

    Ja, so einfach ist das nämlich nicht.

    Du hast dein Passwort P. Der Salt S ist unbekannt. Aus P und S wird der Hash H berechnet. Den erhältst du durch den Zugriff auf die Datenbank.

    Klar kannst du jetzt einen Bruteforce-Angriff starten, indem du lauter X wählst und prüfst, ob h(X+P) = H gilt (mit h Hashfunktion und + Zeichenkettenkonkatenation). Oder h(P+Y) = H. Oder h(X+P+Y) = H. Allerdings könnten X bzw. Y so gigantisch sein, dass du viel zu viele Versuche bräuchtest.

    Außerdem könnte dir noch was anderes passieren: Du findest eine Kollision. Sprich, du findest ein X, für das h(P+X) = H, suchst dann für einen anderen Hash H' aus der Liste ein P', für das h(P'+X) = H' gilt, willst dich mit dem Passwort P' anmelden, aber du erhältst als Antwort, dass das falsche Passwort gegeben wurde.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  7. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: DrKrieger 27.04.11 - 14:40

    ja, die länge des salts ist ein gutes argument.

    das md5 ein gewisses maß an anfälligkeit für kollisionen besitzt ist mir noch von meinen eigenen versuchen bekannt meine passwörter zu knacken. in den rainbow tables steht mein (altes & neues) passwort jedenfalls bis heute noch nicht.

    das sony nicht gerade der experte in sicherheitsfragen ist hat man ja auch hieran gemerkt:

    zitat: [...] "m" is supposed to be a random number and for some reason Sony used the same random number all the time...
    -- fail0verflow 2010



    1 mal bearbeitet, zuletzt am 27.04.11 14:41 durch DrKrieger.

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Wirecard Service Technologies GmbH, Aschheim/München
  2. Dataport, verschiedene Einsatzorte (Home-Office möglich)
  3. IP Dynamics GmbH, Mitte Deutschland
  4. Kardex Deutschland GmbH, deutschlandweit

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 99,00€
  2. GRATIS
  3. (u. a. Star Wars, Architecture und Minecraft)
  4. 114,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. Eon-Studie Netzausbau kostet maximal 400 Euro pro Elektroauto
  2. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  3. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

  1. WebGL: Google legt einheitliche Texturkomprimierung offen
    WebGL
    Google legt einheitliche Texturkomprimierung offen

    Gemeinsam mit einem Partner hat Google einen einheitlichen Codec zur Texturkomprimierung offengelegt. Das soll die Übertragung von Bildern und vor allem Texturen im Web für 3D-Anwendungen deutlich beschleunigen.

  2. Gaming Disorder: WHO stuft Spielesucht endgültig als Krankheit ein
    Gaming Disorder
    WHO stuft Spielesucht endgültig als Krankheit ein

    Die Weltgesundheitsorganisation (WHO) hat Computerspielsucht auf ihrer Jahresversammlung abschließend als Krankheit anerkannt. Bundesgesundheitsminister Jens Spahn geht davon aus, dass die Krankenkassen künftig Behandlungskosten übernehmen.

  3. Neuronale Netzwerke: KI-Forscher erwecken die Mona Lisa zum Leben
    Neuronale Netzwerke
    KI-Forscher erwecken die Mona Lisa zum Leben

    In Kooperation mit Samsung stellen Forscher eine Software vor, die mit möglichst wenigen Quellbildern Gesichter auf andere Gesichter in Videoclips übertragen kann. Das funktioniert bei echten Menschen und Gemälden - und lässt etwa die Mona Lisa zu einer sprechenden Person werden.


  1. 14:24

  2. 13:04

  3. 12:42

  4. 12:16

  5. 11:42

  6. 11:26

  7. 11:20

  8. 11:12