Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Nach dem Hack: Vtech geht wieder ein…

Was ist gegen MD5 auszusetzen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist gegen MD5 auszusetzen?

    Autor: tibrob 26.01.16 - 23:50

    Klemme ich ein anständiges Salt davor/dahinter, reicht das m.E. völlig aus.

    Deine Jacke ist jetzt trocken!

  2. Re: Was ist gegen MD5 auszusetzen?

    Autor: Proctrap 27.01.16 - 09:54

    Ist nur für Datenüberprüfung geeignet, da es mittlerweile immer schneller geht MD5 zu knacken, probiers halt mal mit OCL Hashcat aus auf ner GPU.
    Aber du darfst auch gerne noch VC4 bei https einsetzen, zum glück sagt mein FF da nein zu.

  3. Re: Was ist gegen MD5 auszusetzen?

    Autor: manitu 27.01.16 - 11:17

    klar geht es schnell, aber abhängig von den benutzen Zeichen. Wenn ein nicht zu kurzes Salt benutzt wird, welches dem Angreifer natürlich nicht bekannt sein darf dauert es trotzdem sehr lange.

  4. Re: Was ist gegen MD5 auszusetzen?

    Autor: h4z4rd 27.01.16 - 13:23

    Der Salt muss dem Webserver bekannt sein um ein eingegebenes Passwort zu überprüfen, darum steht er nun mal im Klartext in der Datenbank, also ist er dem Angreifer (hier über SQL-Injection) bekannt.
    Der Salt wird pro Account generiert, da man ansonsten ja wieder eine Rainbowtable für einen Anbieter erzeugen könnte, wenn man den Salt erbeutet.
    Darum sollten andere (langsamere) hash-Algorithmen verwendet werden.



    1 mal bearbeitet, zuletzt am 27.01.16 13:24 durch h4z4rd.

  5. Re: Was ist gegen MD5 auszusetzen?

    Autor: tibrob 27.01.16 - 22:26

    h4z4rd schrieb:
    --------------------------------------------------------------------------------
    > Der Salt muss dem Webserver bekannt sein um ein eingegebenes Passwort zu
    > überprüfen, darum steht er nun mal im Klartext in der Datenbank, also ist
    > er dem Angreifer (hier über SQL-Injection) bekannt.

    Sicher muss der Salt dem Webserver bekannt sein, aber warum sollte ich die Salts in die DB schreiben? Ich erstelle die Salts immer innerhalb mehrerer Klassen, die beim Login entsprechend nacheinander den Salt zusammensetzen, die z.B. Emailadresse inkludieren und das Ganze entsprechend durch MD5 wälzen.

    Die entsprechenden Klassen werden - getrennt mit unterschiedlichen Passwörtern - mit Ioncube verschlüsselt. Ich weiß, Ioncube ist nicht besonders sicher und PHP nicht besonders toll, aber wenn der Kunde nunmal PHP will, ist die Lösung nicht so schlecht und sicherlich aufwendiger, als mittels SQL-Injection den ganzen Salat abzugreifen.

    > Der Salt wird pro Account generiert, da man ansonsten ja wieder eine
    > Rainbowtable für einen Anbieter erzeugen könnte, wenn man den Salt
    > erbeutet.
    > Darum sollten andere (langsamere) hash-Algorithmen verwendet werden.

    Sicher, 1 Unique-Salt pro User ist sinnvoll. Da reicht eben MD5 völlig aus.

    Deine Jacke ist jetzt trocken!

  6. Re: Was ist gegen MD5 auszusetzen?

    Autor: Mapfre 28.01.16 - 08:45

    Du bist ganz offensichtlich kein Sicherheitsexperte - und in diesem Fall sollte man es tunlichst unterlassen eigene "Sicherheits"-Lösungen für so etwas zu entwickeln. Denn mit den eigenen Annahmen über deren "Sicherheit" liegt man für gewöhnlich (mindestens) Meilenweit daneben.

    Was du machst ist "Security by Obscurity" und unter Sicherheitsexperten überhaupt nicht gut angesehen. Zudem ist dein "Salt" kein Salt, denn dabei handelt es sich per Definition um (kryptographisch sichere) Zufallswerte, die dem Angreifer bekannt sein dürfen! Die E-Mail-Adresse des Benutzers ist WEIT davon entfernt.

    Die einzige Methode, die in PHP verwendet werden sollte um Passwörter zu hashen, ist "password_hash" (gibt es seit PHP 5.5: https://secure.php.net/manual/en/function.password-hash.php solltest du eine ältere Version verwenden, was ich nicht hoffe, dann gibt es hier einen Polyfill für PHP >= 5.3.7: https://github.com/ircmaxell/password_compat/). Alles andere ist (grob) fahrlässig.

  7. Re: Was ist gegen MD5 auszusetzen?

    Autor: tibrob 28.01.16 - 22:26

    In diesem Fall ging es nicht anders und natürlich werden Zufallswerte verwendet - möglicherweise habe ich mich diesbezüglich unvorteilhaft ausgedrückt.

    Deine Jacke ist jetzt trocken!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. Bechtle Onsite Services GmbH, Stade
  3. Stiftung Hannoversche Kinderheilanstalt, Hannover
  4. M-net Telekommunikations GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,49€
  2. (-84%) 3,99€
  3. 26,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

  1. Bundestag: 5G-Ausbau wird in sechs Regionen gefördert
    Bundestag
    5G-Ausbau wird in sechs Regionen gefördert

    Der Ausbau des neuen Mobilfunkstandards 5G wird mit 44 Millionen Euro von Nord bis Süd angeschoben. Die Mittel werden sofort freigegeben.

  2. Elektroauto: Tesla will Akkuzellen selbst produzieren
    Elektroauto
    Tesla will Akkuzellen selbst produzieren

    Akkus sind die wichtigste Komponente von Elektroautos. Die Hersteller beziehen sie von Lieferanten, Tesla etwa von Panasonic. Das will der US-Elektroautohersteller ändern: Tesla bereitet eine eigene Zellfertigung vor.

  3. Machine Learning: Chinesische Casinos nutzen KI zum Erkennen von Verlierern
    Machine Learning
    Chinesische Casinos nutzen KI zum Erkennen von Verlierern

    Mit Hilfe von Gesichtserkennung und teils digital angebundenen Spieltischen wollen Casinos in der chinesischen Stadt Macau Leute erkennen, die viel Geld aufs Spiel setzen - und damit mehr verlieren können. Trotzdem seien laut Bloomberg solche Methoden für Chinesen nicht so fragwürdig, wie es den Anschein hat.


  1. 11:00

  2. 10:40

  3. 10:25

  4. 10:10

  5. 09:50

  6. 09:35

  7. 09:20

  8. 09:00