Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Gehackt: Bethesda Softworks empfiehlt…

"Passwörter ausgelesen"

  1. Thema

Neues Thema Ansicht wechseln


  1. "Passwörter ausgelesen"

    Autor: M_v_O 14.06.11 - 07:19

    Das habe ich bei den anderen Hacks letzte Zeit auch schon gelesen. Heißt das etwa, die speichern alle die Userpasswörter im KLARTEXT? Oder was?

  2. Re: "Passwörter ausgelesen"

    Autor: coldstorm 14.06.11 - 07:49

    Nicht zwingend, aber eben auch nicht sicher genug. Möglicherweise wird hier z.B. ein altes Verschlüsselungsverfahren genutzt. Im Beispiel MD5 ließe sich dann ein mögliches Passwort via Rainbowtables ermitteln. Für welche weiteren, für "Verschlüsselung" genutzten Hashverfahren ebenfalls solche Tabellen existieren, weiß ich gerade nicht. Es besteht natürlich die Möglichkeit, dass dem so ist.
    Weiterhin gibt es andere verfahren zur Verschlüsselung, darunter auch so manche Eigenentwicklung, deren Algorithmen jedoch oft genug durch banales Ausprobieren herausgefunden werden können, was ein Umgehen und nachträgliches Ermitteln der unverschlüsselten Einträge ermöglicht.

  3. Re: "Passwörter ausgelesen"

    Autor: Katana Seiko 14.06.11 - 08:11

    MD5 ist zwar alt, aber da es immer noch nichts besseres gibt, ist es immer noch Standard. Man sollte Passwörter von Länge 9 und mehr haben, da die Rainbow Tables dafür schon extrem groß sein müssen. Die ersten 6 Stellen sind noch einfach erstellt, danach wird so ein Rainbow Table schon extrem groß..

    Außerdem sollte man vermeiden, was in Wörterbüchern zu finden ist. Es gibt Rainbow Tables die alle Einträge der Encyclopedia Britannica beinhalten..

    Mal sehen, was noch so kommt. Eigentlich wird diese Aktion hier erst enden, wenn die Cracker (nein, sind keine Hacker) hinter Gittern sitzen..

  4. Re: "Passwörter ausgelesen"

    Autor: ThiefMaster 14.06.11 - 08:53

    Was für ein Schwachsinn - natürlich gibt es bessere Methoden:

    - sichere(re) Algorithmen wie SHA1 (wobei es da auch schon Kollisionen gab,) SHA256 oder SHA512
    - Salts

  5. Re: "Passwörter ausgelesen"

    Autor: Vollstrecker 14.06.11 - 10:04

    Es geht hier doch um Passwörter deren Hash-Werte in einer Datenbank gespeichert wurden. Bei unsicheren Passwörtern ist es ziemlich egal in welchem Algorythmus sie gespeichert wurden. Sobald die Cracker raus haben mit welchem Algorythmus die Hash-Werte der Passwörter erstellt wurden, lässt man einfach eine Rainbowtable dagegen laufen. Da gibt es keine sichere Variante. Die einzige Sicherheit wäre das Verschlüsseln der gesamten Passworttable auf dem Server, aber auch das nützt nichts, wenn dieser kompromitiert wurde. Also liebe User: Benutzt Passwörter länger 9 Zeichen, die sich auch nicht erraten lassen und in keinem Wörterbuch stehen.

  6. Re: "Passwörter ausgelesen"

    Autor: lottikarotti 14.06.11 - 10:24

    Hmm, ich kann das vom Nutzer festgelegte Kennwort doch problemlos in der Mitte teilen und beide Hälften mit bspw. SHA-1 verschlüsseln. Danach füge ich die 2 Hash-Werte so zusammen, dass sie optisch wieder einen SHA-1 Hash-Wert darstellen.
    Beispiel:

    "golem" -> 8caf03772d2e0ce26fd3 - cd41a1358210dca9a6a8
    "go" -> 1ec558a60b5dda245978 - 16c924776716018caf8b
    "lem" -> b62731a5c9e69711feca - 5ed01e1974998aba33c1

    Verbindet man nun beide Hash-Werte (jeweils die linke und rechte Hälfte) erhält man:
    1ec558a60b5dda245978 - 5ed01e1974998aba33c1

    Das Ziel dieses recht simplen Verfahres ist letztlich, dass der erzeugte Hash-Wert nicht dem eigt. Hash-Wert des vom Nutzer eingegebenen Passworts entspricht. Den Schnittpunkt der beiden Hash-Werte kann man natürlich beliebig verschieben - was die Sache noch sicherer macht. Von reinen Hash-Werten würde ich persönlich die Finger lassen.

    R.I.P. Fisch :-(

  7. Re: "Passwörter ausgelesen"

    Autor: frostbitten king 14.06.11 - 10:36

    Uhh..
    Wenn du meinst dass dies die Sicherheit der Hashfunktion erhöht .. Nein, setzen 6.
    Wenn du sagen wolltest dass man damit die meisten Rainbowtables aushebelt, weil dafür höchstwahrscheinlich keine vorberechneten Rainbowtables existieren (so wie bei salted md5), dann ja, das erhöht die Sicherheit, weil Rainbow-table is going bye-bye.

  8. Re: "Passwörter ausgelesen"

    Autor: GodsBoss 14.06.11 - 14:39

    > Es geht hier doch um Passwörter deren Hash-Werte in einer Datenbank
    > gespeichert wurden. Bei unsicheren Passwörtern ist es ziemlich egal in
    > welchem Algorythmus sie gespeichert wurden. Sobald die Cracker raus haben
    > mit welchem Algorythmus die Hash-Werte der Passwörter erstellt wurden,
    > lässt man einfach eine Rainbowtable dagegen laufen. Da gibt es keine
    > sichere Variante. Die einzige Sicherheit wäre das Verschlüsseln der
    > gesamten Passworttable auf dem Server, aber auch das nützt nichts, wenn
    > dieser kompromitiert wurde. Also liebe User: Benutzt Passwörter länger 9
    > Zeichen, die sich auch nicht erraten lassen und in keinem Wörterbuch
    > stehen.

    Gegenmaßnahmen zu Rainbow Tables nicht gelesen? Simples Salzen reicht dafür schon aus. Natürlich sollte man als Nutzer trotzdem auf ausreichend gute Passwörter achten.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  9. Re: "Passwörter ausgelesen"

    Autor: cyro 14.06.11 - 15:57

    > Gegenmaßnahmen zu Rainbow Tables nicht gelesen? Simples Salzen reicht dafür
    > schon aus. Natürlich sollte man als Nutzer trotzdem auf ausreichend gute
    > Passwörter achten.

    Das ist nur bedingt richtig. Da die Jungs von Lulzsec auch Zugriff auf den Quellcode und die internen Netze hatten, können sie ihre Rainbowtabelle problemlos "nachsalzen".

  10. Re: "Passwörter ausgelesen"

    Autor: GodsBoss 14.06.11 - 16:04

    > > Gegenmaßnahmen zu Rainbow Tables nicht gelesen? Simples Salzen reicht
    > dafür
    > > schon aus. Natürlich sollte man als Nutzer trotzdem auf ausreichend gute
    > > Passwörter achten.
    >
    > Das ist nur bedingt richtig. Da die Jungs von Lulzsec auch Zugriff auf den
    > Quellcode und die internen Netze hatten, können sie ihre Rainbowtabelle
    > problemlos "nachsalzen".

    Nur wenn das Nachsalzen falsch implementiert wurde, nämlich ein Salt für alle Hashes verwendet wird. In dem Fall kann man sich eine Rainbowtabelle generieren, die den Salt berücksichtigt und wie gehabt agieren.

    Wenn aber jeder Hash mittels eines eigenen Salts berechnet wurde (das ist die korrekte Anwendung dieser Methode), müsste man für jeden Hash eine eigene Rainbow-Tabelle generieren. Das ist aber nicht sinnvoll, denn der Vorteil von Rainbow-Tabellen liegt gerade darin, mit einem Satz von vorberechneten Hashes alle Hashes angreifen zu können.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  11. Re: "Passwörter ausgelesen"

    Autor: cyro 15.06.11 - 02:39

    > Nur wenn das Nachsalzen falsch implementiert wurde, nämlich ein Salt für
    > alle Hashes verwendet wird. In dem Fall kann man sich eine Rainbowtabelle
    > generieren, die den Salt berücksichtigt und wie gehabt agieren.
    >
    > Wenn aber jeder Hash mittels eines eigenen Salts berechnet wurde (das ist
    > die korrekte Anwendung dieser Methode), müsste man für jeden Hash eine
    > eigene Rainbow-Tabelle generieren. Das ist aber nicht sinnvoll, denn der
    > Vorteil von Rainbow-Tabellen liegt gerade darin, mit einem Satz von
    > vorberechneten Hashes alle Hashes angreifen zu können.

    Wie das implementiert wurde spielt keine Rolle. Auch wenn für jedes Passwort ein eigener Salt verwendet wurde erhöht das nur die Zeit, die für einen Abgleich mit der Rainbow-Tabelle benötigt wird. Wenns zu viele Benutzer sind, setzt man halt ein Botnetz drauf an.

  12. Re: "Passwörter ausgelesen"

    Autor: GodsBoss 15.06.11 - 08:44

    > > Nur wenn das Nachsalzen falsch implementiert wurde, nämlich ein Salt für
    > > alle Hashes verwendet wird. In dem Fall kann man sich eine
    > Rainbowtabelle
    > > generieren, die den Salt berücksichtigt und wie gehabt agieren.
    > >
    > > Wenn aber jeder Hash mittels eines eigenen Salts berechnet wurde (das
    > ist
    > > die korrekte Anwendung dieser Methode), müsste man für jeden Hash eine
    > > eigene Rainbow-Tabelle generieren. Das ist aber nicht sinnvoll, denn der
    > > Vorteil von Rainbow-Tabellen liegt gerade darin, mit einem Satz von
    > > vorberechneten Hashes alle Hashes angreifen zu können.
    >
    > Wie das implementiert wurde spielt keine Rolle. Auch wenn für jedes
    > Passwort ein eigener Salt verwendet wurde erhöht das nur die Zeit, die für
    > einen Abgleich mit der Rainbow-Tabelle benötigt wird. Wenns zu viele
    > Benutzer sind, setzt man halt ein Botnetz drauf an.

    Ähem – alle Vorsichtsmaßnahmen erhöhen immer nur die Zeit. Das Speichern der Passwörter als Hashes erhöht die Zeit, stärkere Hash-Funktionen erhöhen die Zeit, mehrfaches Hashen erhöht die Zeit, etc. etc. Mehr kann man doch gar nicht tun.

    Zu den Salts und Rainbow-Tabellen: Individuelle Salts erhöhen nicht bloß die Zeit, die für den Abgleich mit der Rainbow-Tabelle vonnöten sind. Sie hebeln den Vorteil dieser Methode komplett aus – du brauchst nämlich für jeden Salt eine eigene Rainbow-Tabelle. Da ist das Vorberechnen sinnfrei und du kannst gleich Brute Force einsetzen.

    Einen einzigen Salt für alle Passwörter einzusetzen, ist wiederum Quatsch, denn dann muss der Angreifer nur einmal für diesen Salt Rainbow-Tabellen berechnen und kann dann fortfahren wie gewohnt.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Allianz Partners Deutschland GmbH, München
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Eckelmann AG, Wiesbaden
  4. INTER CONTROL Hermann Köhler Elektrik GmbH & Co. KG, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 229€ (Bestpreis!)
  2. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  3. (reduzierte Überstände, Restposten & Co.)
  4. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

  1. Star Wars Jedi Fallen Order angespielt: Die Rückkehr der Sternenkriegersolospiele
    Star Wars Jedi Fallen Order angespielt
    Die Rückkehr der Sternenkriegersolospiele

    Seit dem 2003 veröffentlichten Jedi Academy warten Star-Wars-Fans auf ein mächtig gutes neues Actionspiel auf Basis von Star Wars. Demnächst könnte es wieder soweit sein: Beim Anspielen hat Jedi Fallen Order jedenfalls viel Spaß gemacht - trotz oder wegen Anleihen bei Tomb Raider.

  2. Eoan Ermine: Ubuntu 19.10 erscheint mit ZFS und i386-Paketen
    Eoan Ermine
    Ubuntu 19.10 erscheint mit ZFS und i386-Paketen

    Die aktuelle Version 19.10 von Ubuntu alias Eoan Ermine ist verfügbar. Die Version bringt experimentellen ZFS-Support für die Root-Partition, anders als zunächst geplant auch i386-Pakete sowie aktuelle Software für die Cloud und den Linux-Kernel 5.3.

  3. Indiegogo: Minidrucker trägt Motive auf Papier, Holz und Haut auf
    Indiegogo
    Minidrucker trägt Motive auf Papier, Holz und Haut auf

    Der Princube ist ein winziger Drucker, mit dem Nutzer Labels und Motive auf diverse Oberflächen anbringen können. Das Gerät wird dafür per Hand über das Material geführt. Dazu ist allerdings ein Smartphone mit der passenden App nötig.


  1. 17:01

  2. 16:51

  3. 15:27

  4. 14:37

  5. 14:07

  6. 13:24

  7. 13:04

  8. 12:00