1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Nach dem Hack: Vtech geht…

Was ist gegen MD5 auszusetzen?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist gegen MD5 auszusetzen?

    Autor: tibrob 26.01.16 - 23:50

    Klemme ich ein anständiges Salt davor/dahinter, reicht das m.E. völlig aus.

    Deine Jacke ist jetzt trocken!

  2. Re: Was ist gegen MD5 auszusetzen?

    Autor: Proctrap 27.01.16 - 09:54

    Ist nur für Datenüberprüfung geeignet, da es mittlerweile immer schneller geht MD5 zu knacken, probiers halt mal mit OCL Hashcat aus auf ner GPU.
    Aber du darfst auch gerne noch VC4 bei https einsetzen, zum glück sagt mein FF da nein zu.

  3. Re: Was ist gegen MD5 auszusetzen?

    Autor: manitu 27.01.16 - 11:17

    klar geht es schnell, aber abhängig von den benutzen Zeichen. Wenn ein nicht zu kurzes Salt benutzt wird, welches dem Angreifer natürlich nicht bekannt sein darf dauert es trotzdem sehr lange.

  4. Re: Was ist gegen MD5 auszusetzen?

    Autor: h4z4rd 27.01.16 - 13:23

    Der Salt muss dem Webserver bekannt sein um ein eingegebenes Passwort zu überprüfen, darum steht er nun mal im Klartext in der Datenbank, also ist er dem Angreifer (hier über SQL-Injection) bekannt.
    Der Salt wird pro Account generiert, da man ansonsten ja wieder eine Rainbowtable für einen Anbieter erzeugen könnte, wenn man den Salt erbeutet.
    Darum sollten andere (langsamere) hash-Algorithmen verwendet werden.



    1 mal bearbeitet, zuletzt am 27.01.16 13:24 durch h4z4rd.

  5. Re: Was ist gegen MD5 auszusetzen?

    Autor: tibrob 27.01.16 - 22:26

    h4z4rd schrieb:
    --------------------------------------------------------------------------------
    > Der Salt muss dem Webserver bekannt sein um ein eingegebenes Passwort zu
    > überprüfen, darum steht er nun mal im Klartext in der Datenbank, also ist
    > er dem Angreifer (hier über SQL-Injection) bekannt.

    Sicher muss der Salt dem Webserver bekannt sein, aber warum sollte ich die Salts in die DB schreiben? Ich erstelle die Salts immer innerhalb mehrerer Klassen, die beim Login entsprechend nacheinander den Salt zusammensetzen, die z.B. Emailadresse inkludieren und das Ganze entsprechend durch MD5 wälzen.

    Die entsprechenden Klassen werden - getrennt mit unterschiedlichen Passwörtern - mit Ioncube verschlüsselt. Ich weiß, Ioncube ist nicht besonders sicher und PHP nicht besonders toll, aber wenn der Kunde nunmal PHP will, ist die Lösung nicht so schlecht und sicherlich aufwendiger, als mittels SQL-Injection den ganzen Salat abzugreifen.

    > Der Salt wird pro Account generiert, da man ansonsten ja wieder eine
    > Rainbowtable für einen Anbieter erzeugen könnte, wenn man den Salt
    > erbeutet.
    > Darum sollten andere (langsamere) hash-Algorithmen verwendet werden.

    Sicher, 1 Unique-Salt pro User ist sinnvoll. Da reicht eben MD5 völlig aus.

    Deine Jacke ist jetzt trocken!

  6. Re: Was ist gegen MD5 auszusetzen?

    Autor: Mapfre 28.01.16 - 08:45

    Du bist ganz offensichtlich kein Sicherheitsexperte - und in diesem Fall sollte man es tunlichst unterlassen eigene "Sicherheits"-Lösungen für so etwas zu entwickeln. Denn mit den eigenen Annahmen über deren "Sicherheit" liegt man für gewöhnlich (mindestens) Meilenweit daneben.

    Was du machst ist "Security by Obscurity" und unter Sicherheitsexperten überhaupt nicht gut angesehen. Zudem ist dein "Salt" kein Salt, denn dabei handelt es sich per Definition um (kryptographisch sichere) Zufallswerte, die dem Angreifer bekannt sein dürfen! Die E-Mail-Adresse des Benutzers ist WEIT davon entfernt.

    Die einzige Methode, die in PHP verwendet werden sollte um Passwörter zu hashen, ist "password_hash" (gibt es seit PHP 5.5: https://secure.php.net/manual/en/function.password-hash.php solltest du eine ältere Version verwenden, was ich nicht hoffe, dann gibt es hier einen Polyfill für PHP >= 5.3.7: https://github.com/ircmaxell/password_compat/). Alles andere ist (grob) fahrlässig.

  7. Re: Was ist gegen MD5 auszusetzen?

    Autor: tibrob 28.01.16 - 22:26

    In diesem Fall ging es nicht anders und natürlich werden Zufallswerte verwendet - möglicherweise habe ich mich diesbezüglich unvorteilhaft ausgedrückt.

    Deine Jacke ist jetzt trocken!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Datamanager / Datenmanager / Sachbearbeiter (m/w/d) für den Bereich Biometrie
    Winicker Norimed GmbH Medizinische Forschung, Nürnberg
  2. Product Cluster Lead (m/w/d) Bestandskund:innen
    Yello Strom GmbH, Köln
  3. CRM Application Manager (gn)
    Getriebebau NORD GmbH & Co. KG, Bargteheide bei Hamburg
  4. Project Consultant - Innovation Scouting & Implementation (m/w/x)
    ALDI SÜD Dienstleistungs-SE & Co. oHG, Mülheim an der Ruhr

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 12,99€
  2. 14,99€
  3. 4,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Terminologie: Der Name der Dose
Terminologie
Der Name der Dose

Uneinheitliche Begriffe: Es sind nur ein paar Wörter, doch sie können in Unternehmen jede Menge Chaos stiften und Kosten verursachen.
Von Johannes Hauser

  1. Hybrides Arbeiten bei d.velop Training für die Arbeitswelt von morgen
  2. Boston Consulting Drei Viertel der IT-Fachleute offen für Jobwechsel
  3. In eigener Sache Wo ITler am besten arbeiten

PSD2: Open Banking wird unsicherer und unübersichtlicher
PSD2
Open Banking wird unsicherer und unübersichtlicher

Das Buzzword Open Banking sorgt für Goldgräberstimmung in der Finanzbranche. Doch für die Kunden entstehen dabei etliche Probleme.
Eine Analyse von Erik Bärwaldt


    IT Trends 2022: Gartners magische Jahresvorschau für ahnungslose Anzugträger
    IT Trends 2022
    Gartners magische Jahresvorschau für ahnungslose Anzugträger

    Bei Gartner sind nicht nur die Quadranten magisch, auch die Jahresvorschau samt Trends hat nur bedingt mit der Realität zu tun.
    Ein IMHO von Sebastian Grüner