1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt bietet…

was soll das bringen?

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. was soll das bringen?

    Autor: Anonymer Nutzer 04.08.17 - 20:59

    Ich nehme an, die Passwörter liegen als Hash vor, oder? Zumindest hab ich noch nichts anderes gelesen. Was soll das dann bringen?

  2. Re: was soll das bringen?

    Autor: der_wahre_hannes 04.08.17 - 21:07

    Folge doch mal dem Link. ;)

    Ja, die Passwörter liegen als SHA1-Hash vor. Es ist aber nun wirklich kein Hexenwerk, ein zu überprüfendes Passwort in SHA1 zu konvertieren?

  3. Re: was soll das bringen?

    Autor: Xiut 05.08.17 - 00:53

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > Ich nehme an, die Passwörter liegen als Hash vor, oder? Zumindest hab ich
    > noch nichts anderes gelesen. Was soll das dann bringen?

    Die Passwörter liegen ihm im Klartext vor. Er gibt die Liste aber bloß nur SHA1 gehasht raus, weil viele Passwörter auch persönliche Informationen beinhalten, die auf den Nutzer zurück schließen lassen. Das steht auch auf der Seite.

    Entsprechend könnte er (oder eben auch jeder andere) mit dieser riesen Liste an wirklich verwendeten Passwörtern deutlich effizienter einfach Bruteforce Angriffe durchführen.

    Aber ich würde mein Passwort nicht einmal SHA1 gehasht da suchen... Ich sorge einfach lieber dafür, dass die Chance fast 0 ist, dass das Passwort dort vorhandenen ist :D

  4. Re: was soll das bringen?

    Autor: Anonymer Nutzer 05.08.17 - 12:15

    ja, hab ich ja geschrieben. Aber was ist dann der Sinn davon? So lange nur der SHA-1-Hash bekannt ist kann daraus ja keiner mit normalem Aufwand auf das Klartext-Passwort schließen. Also kanns einem doch egal sein ob der Hash in der Liste steht oder nicht?

  5. Re: was soll das bringen?

    Autor: Anonymer Nutzer 05.08.17 - 12:17

    Und woher hat er die Klartext-Passwörter?

    https://www.heise.de/security/meldung/68-Millionen-verschluesselte-Passwoerter-aus-Dropbox-Hack-veroeffentlicht-3340846.html

    https://www.heise.de/security/meldung/LinkedIn-Hack-117-Millionen-Passwort-Hashes-zum-Download-aufgetaucht-3224212.html

    Hier steht dass es nur Hashes gibt.

  6. Re: was soll das bringen?

    Autor: Xiut 05.08.17 - 12:20

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > ja, hab ich ja geschrieben. Aber was ist dann der Sinn davon? So lange nur
    > der SHA-1-Hash bekannt ist kann daraus ja keiner mit normalem Aufwand auf
    > das Klartext-Passwort schließen. Also kanns einem doch egal sein ob der
    > Hash in der Liste steht oder nicht?

    Ja, habe ich ja geschrieben: Sie liegen eben nicht nur im SHA1-Hash vor. Er verbreitet zwar die Liste mit Passwörtern nicht im Klartext, sondern nur als SHA1-Hashs, aber er selbst hat diese Passwörter im Klartext.

    Wenn man entsprechend berücksichtigt, dass diese Liste aus Passwörtern von Leaks stammen, deren Daten er eben wie jeder andere im Internet zusammensuchen kann, ist diese Liste im Klartext also auch für jedermann offen. Er möchte nur die Arbeit des Zusammensuchens und Aufbereitung der Daten nicht anderen abnehmen, die damit Unfug treiben wollen.

  7. Re: was soll das bringen?

    Autor: Xiut 05.08.17 - 12:29

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > Und woher hat er die Klartext-Passwörter?
    >
    > www.heise.de
    >
    > www.heise.de
    >
    > Hier steht dass es nur Hashes gibt.

    Viele konnten leicht geknackt werden, weil sie keinen Salt genutzt haben oder eben dank der Nutzung von z.B. MD5 oder eben auch SHA1 sogar mit GPUs schnell geknackt werden konnten. Passwörter wie "haus" oder "123456" sind eben auch mit dem besten Hash und auch mit einem Salt kein Problem zu knacken.

    Entsprechend könnte man auch recht schnell seine SHA1-Hash-Liste zumindest zu über 50% knacken, weil sehr sehr viele sehr einfache Passwörter dabei sein werden. Passwörter wie "J38@fs-a0pp" dürften dabei kaum in absehbarer Zeit geknackt werden.

    Zudem gibt es eben auch Datensätze, die nicht von den Servern stammen, sondern von groß angelegten Phishing-Angriffen auf die Nutzer gewisser Plattformen. Dort sind dann eben auch sehr starke Passwörter im Klartext mit dabei.

    Schau dir einfach mal an, wie schnell die Passwörter von Last.fm geknackt wurden, weil sie nur mit MD5 gehasht wurden. Da sind selbst Passwörter mit einer gewissen Komplexität gefährdet, weil MD5 und auch SHA1 sehr schnell ist und man dann einfach in de Cloud mit sehr viel Rechenpower besonders effektiv Bruteforce Angriffe durchführen kann.

    Und ein paar der Accounts, die er in Dumps von angeblichen Leaks gefunden hat, sieht er selbst als potentieller Fake an, weil die Echtheit nicht überprüft werden konnte. Das dürfte aber eher ein kleiner Teil der ganzen Daten sein.

  8. Re: was soll das bringen?

    Autor: Anonymer Nutzer 09.08.17 - 23:59

    so schnell lässt sich das nun auch nicht hacken. Bei MD5 gehts noch in Stunden, SHA1 dauert schon deutlich länger soweit ich weiß. Bei Millionen von Passwörtern ist das sehr unwahrscheinlich dass das alles geknackt wurde. Dass Daten von Phishing verwendet werden steht nicht im Artikel, da ist lediglich von den Hacks die Rede. Und diese sind eben verschlüsselt. Mich würde interessieren woher du die Info hast, dass sie wirklich im Klartext vorliegen. Dazu konnte ich nämlich nichts finden. Und im Ernst, wer 12345 als Passwort verwendet, der braucht diese Seite nicht.

  9. Re: was soll das bringen?

    Autor: Xiut 10.08.17 - 00:30

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > so schnell lässt sich das nun auch nicht hacken. Bei MD5 gehts noch in
    > Stunden, SHA1 dauert schon deutlich länger soweit ich weiß. Bei Millionen
    > von Passwörtern ist das sehr unwahrscheinlich dass das alles geknackt
    > wurde. Dass Daten von Phishing verwendet werden steht nicht im Artikel, da
    > ist lediglich von den Hacks die Rede. Und diese sind eben verschlüsselt.
    > Mich würde interessieren woher du die Info hast, dass sie wirklich im
    > Klartext vorliegen. Dazu konnte ich nämlich nichts finden. Und im Ernst,
    > wer 12345 als Passwort verwendet, der braucht diese Seite nicht.

    Em... Woher ich diese Informationen habe? Ich habe einfach nicht nur bloß den Artikel gelesen, sondern habe mir die Webseite mal genauer angeschaut und gelesen... Eine super Technik, die zwar alt ist, aber sich bewehrt hat, um an weitere Informationen zu gelangen ;D

    1. Zum Download der Liste aller Passwörter als SHA1 Hash schreibt er selbst, dass er das "nur" macht, weil viele Passwörter persönliche Informationen beinhalten, die er damit eben schützen möchte. Das wüsste er zum einen nicht, wenn sie nicht im Klartext vorliegen würden und zum anderen kann er schlecht einen MD5 oder einen anderen Hash mit SHA1 Hashen und andere ihre Passwörter dagegen checken lassen, wenn in Wirklichkeit höchstens der MD5 Hash (oder eben ein anderer) von dem Passwort gefunden werden kann. Zudem sind seine Quellen für die Daten ja nicht geheim... Er trägt sie aus Quellen zusammen, die wie unter anderem Pastebin.com für jeden zugänglich sind und wo jeder sehen kann, wie viel Passwörter im Klartext entsprechen bei so geleakten Daten veröffentlicht werden.

    Zusätzlich: Wenn man mal die meisten Leaks googlet, findet man sehr schnell Artikel über das Thema, dass z.B. die Hashs von Last.fm, LinkedIn usw. aufgrund eines fehlenden Salts leicht zu knacken sind und mindestens 80% ALLER geleakten Hash sehr sehr schnell "geknackt" wurden... Und diese Daten landen dann auf den typischen Seiten, wo jeder sie herunterladen kann...

    Edit: Zwar von der Konkurrenz, aber hier ein Beispiel für so einen Artikel https://www.heise.de/security/meldung/LinkedIn-Leck-Mehr-als-80-Prozent-der-Passwoerter-bereits-geknackt-3212075.html

    2. Zum Thema Phishing als Quelle: Wo sage ich denn auch, dass das im Artikel steht? :'D Es muss nicht alles immer im Artikel stehen... Und man darf auch über den Artikel hinaus die Seite, um die sich der Artikel dreht, genauer anschauen :D
    Und da sollte man sehr schnell sehen können, dass die Herkunft der Daten bei recht vielen Leaks eben nicht 100%ig geklärt ist. Entsprechend weiß man nicht, ob es wirklich ein Hack oder eben doch ein gezielter Phishing-Angriff auf die Nutzer dieser Seite war oder eben per Trojaner/Passwortstealer auf den PCs. Wenn du danach mal googlest, wirst du entsprechende Artikel über solche Angriffe auf beispielsweise Google-Nutzer finden, wo Google eben nicht gehackt wurde, aber sehr sehr viele Nutzerdaten von Google-Nutzer ins Netz gelangt sind.

    Aber damit du nicht selbst auf die entsprechende Seite gehen musst, um die es sich hier ja dreht:
    "In September 2014, news broke of a massive leak of accounts from Yandex, the Russian search engine giants who also provides email services. The purported million "breached" accounts were disclosed at the same time as nearly 5M mail.ru accounts with both companies claiming the credentials were acquired VIA PHISHING SCAMS rather than being obtained as a result of direct attacks against their services.In September 2014, news broke of a massive leak of accounts from Yandex, the Russian search engine giants who also provides email services. The purported million "breached" accounts were disclosed at the same time as nearly 5M mail.ru accounts with both companies claiming the credentials were acquired via phishing scams rather than being obtained as a result of direct attacks against their services."

    Ein konkretes Beispiel von der Webseite... Er hat sich schon extra die Mühe gemacht, um zu allen "Leaks" etwas zum Hintergrund wie beispielsweise eben die Herkunft der Daten zu schreiben... Man muss es bloß auch lesen :D



    1 mal bearbeitet, zuletzt am 10.08.17 00:31 durch Xiut.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. CONSILIO GmbH, München, Walldorf, Ratingen
  2. Forschungszentrum Jülich GmbH, Jülich bei Köln
  3. Hays AG, Salzgitter Thiede
  4. VisCircle GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lenovo Yoga Slim 7i Evo 14 Zoll i5 8GB 512GB SSD für 799€, Motorola moto g9 plus 128GB...
  2. (u. a. Samsung UE-50TU7170 50 Zoll LED für 449€, HP EliteBook 840 G1 generalüberholt 14 Zoll i5...
  3. 39,99€ + 2,99€ Versand oder kostenlose Marktabholung
  4. 79,49€ inkl. Direktabzug


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme