Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt bietet…

was soll das bringen?

  1. Thema

Neues Thema Ansicht wechseln


  1. was soll das bringen?

    Autor: Anonymer Nutzer 04.08.17 - 20:59

    Ich nehme an, die Passwörter liegen als Hash vor, oder? Zumindest hab ich noch nichts anderes gelesen. Was soll das dann bringen?

  2. Re: was soll das bringen?

    Autor: der_wahre_hannes 04.08.17 - 21:07

    Folge doch mal dem Link. ;)

    Ja, die Passwörter liegen als SHA1-Hash vor. Es ist aber nun wirklich kein Hexenwerk, ein zu überprüfendes Passwort in SHA1 zu konvertieren?

  3. Re: was soll das bringen?

    Autor: Xiut 05.08.17 - 00:53

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > Ich nehme an, die Passwörter liegen als Hash vor, oder? Zumindest hab ich
    > noch nichts anderes gelesen. Was soll das dann bringen?

    Die Passwörter liegen ihm im Klartext vor. Er gibt die Liste aber bloß nur SHA1 gehasht raus, weil viele Passwörter auch persönliche Informationen beinhalten, die auf den Nutzer zurück schließen lassen. Das steht auch auf der Seite.

    Entsprechend könnte er (oder eben auch jeder andere) mit dieser riesen Liste an wirklich verwendeten Passwörtern deutlich effizienter einfach Bruteforce Angriffe durchführen.

    Aber ich würde mein Passwort nicht einmal SHA1 gehasht da suchen... Ich sorge einfach lieber dafür, dass die Chance fast 0 ist, dass das Passwort dort vorhandenen ist :D

  4. Re: was soll das bringen?

    Autor: Anonymer Nutzer 05.08.17 - 12:15

    ja, hab ich ja geschrieben. Aber was ist dann der Sinn davon? So lange nur der SHA-1-Hash bekannt ist kann daraus ja keiner mit normalem Aufwand auf das Klartext-Passwort schließen. Also kanns einem doch egal sein ob der Hash in der Liste steht oder nicht?

  5. Re: was soll das bringen?

    Autor: Anonymer Nutzer 05.08.17 - 12:17

    Und woher hat er die Klartext-Passwörter?

    https://www.heise.de/security/meldung/68-Millionen-verschluesselte-Passwoerter-aus-Dropbox-Hack-veroeffentlicht-3340846.html

    https://www.heise.de/security/meldung/LinkedIn-Hack-117-Millionen-Passwort-Hashes-zum-Download-aufgetaucht-3224212.html

    Hier steht dass es nur Hashes gibt.

  6. Re: was soll das bringen?

    Autor: Xiut 05.08.17 - 12:20

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > ja, hab ich ja geschrieben. Aber was ist dann der Sinn davon? So lange nur
    > der SHA-1-Hash bekannt ist kann daraus ja keiner mit normalem Aufwand auf
    > das Klartext-Passwort schließen. Also kanns einem doch egal sein ob der
    > Hash in der Liste steht oder nicht?

    Ja, habe ich ja geschrieben: Sie liegen eben nicht nur im SHA1-Hash vor. Er verbreitet zwar die Liste mit Passwörtern nicht im Klartext, sondern nur als SHA1-Hashs, aber er selbst hat diese Passwörter im Klartext.

    Wenn man entsprechend berücksichtigt, dass diese Liste aus Passwörtern von Leaks stammen, deren Daten er eben wie jeder andere im Internet zusammensuchen kann, ist diese Liste im Klartext also auch für jedermann offen. Er möchte nur die Arbeit des Zusammensuchens und Aufbereitung der Daten nicht anderen abnehmen, die damit Unfug treiben wollen.

  7. Re: was soll das bringen?

    Autor: Xiut 05.08.17 - 12:29

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > Und woher hat er die Klartext-Passwörter?
    >
    > www.heise.de
    >
    > www.heise.de
    >
    > Hier steht dass es nur Hashes gibt.

    Viele konnten leicht geknackt werden, weil sie keinen Salt genutzt haben oder eben dank der Nutzung von z.B. MD5 oder eben auch SHA1 sogar mit GPUs schnell geknackt werden konnten. Passwörter wie "haus" oder "123456" sind eben auch mit dem besten Hash und auch mit einem Salt kein Problem zu knacken.

    Entsprechend könnte man auch recht schnell seine SHA1-Hash-Liste zumindest zu über 50% knacken, weil sehr sehr viele sehr einfache Passwörter dabei sein werden. Passwörter wie "J38@fs-a0pp" dürften dabei kaum in absehbarer Zeit geknackt werden.

    Zudem gibt es eben auch Datensätze, die nicht von den Servern stammen, sondern von groß angelegten Phishing-Angriffen auf die Nutzer gewisser Plattformen. Dort sind dann eben auch sehr starke Passwörter im Klartext mit dabei.

    Schau dir einfach mal an, wie schnell die Passwörter von Last.fm geknackt wurden, weil sie nur mit MD5 gehasht wurden. Da sind selbst Passwörter mit einer gewissen Komplexität gefährdet, weil MD5 und auch SHA1 sehr schnell ist und man dann einfach in de Cloud mit sehr viel Rechenpower besonders effektiv Bruteforce Angriffe durchführen kann.

    Und ein paar der Accounts, die er in Dumps von angeblichen Leaks gefunden hat, sieht er selbst als potentieller Fake an, weil die Echtheit nicht überprüft werden konnte. Das dürfte aber eher ein kleiner Teil der ganzen Daten sein.

  8. Re: was soll das bringen?

    Autor: Anonymer Nutzer 09.08.17 - 23:59

    so schnell lässt sich das nun auch nicht hacken. Bei MD5 gehts noch in Stunden, SHA1 dauert schon deutlich länger soweit ich weiß. Bei Millionen von Passwörtern ist das sehr unwahrscheinlich dass das alles geknackt wurde. Dass Daten von Phishing verwendet werden steht nicht im Artikel, da ist lediglich von den Hacks die Rede. Und diese sind eben verschlüsselt. Mich würde interessieren woher du die Info hast, dass sie wirklich im Klartext vorliegen. Dazu konnte ich nämlich nichts finden. Und im Ernst, wer 12345 als Passwort verwendet, der braucht diese Seite nicht.

  9. Re: was soll das bringen?

    Autor: Xiut 10.08.17 - 00:30

    HerrMannelig schrieb:
    --------------------------------------------------------------------------------
    > so schnell lässt sich das nun auch nicht hacken. Bei MD5 gehts noch in
    > Stunden, SHA1 dauert schon deutlich länger soweit ich weiß. Bei Millionen
    > von Passwörtern ist das sehr unwahrscheinlich dass das alles geknackt
    > wurde. Dass Daten von Phishing verwendet werden steht nicht im Artikel, da
    > ist lediglich von den Hacks die Rede. Und diese sind eben verschlüsselt.
    > Mich würde interessieren woher du die Info hast, dass sie wirklich im
    > Klartext vorliegen. Dazu konnte ich nämlich nichts finden. Und im Ernst,
    > wer 12345 als Passwort verwendet, der braucht diese Seite nicht.

    Em... Woher ich diese Informationen habe? Ich habe einfach nicht nur bloß den Artikel gelesen, sondern habe mir die Webseite mal genauer angeschaut und gelesen... Eine super Technik, die zwar alt ist, aber sich bewehrt hat, um an weitere Informationen zu gelangen ;D

    1. Zum Download der Liste aller Passwörter als SHA1 Hash schreibt er selbst, dass er das "nur" macht, weil viele Passwörter persönliche Informationen beinhalten, die er damit eben schützen möchte. Das wüsste er zum einen nicht, wenn sie nicht im Klartext vorliegen würden und zum anderen kann er schlecht einen MD5 oder einen anderen Hash mit SHA1 Hashen und andere ihre Passwörter dagegen checken lassen, wenn in Wirklichkeit höchstens der MD5 Hash (oder eben ein anderer) von dem Passwort gefunden werden kann. Zudem sind seine Quellen für die Daten ja nicht geheim... Er trägt sie aus Quellen zusammen, die wie unter anderem Pastebin.com für jeden zugänglich sind und wo jeder sehen kann, wie viel Passwörter im Klartext entsprechen bei so geleakten Daten veröffentlicht werden.

    Zusätzlich: Wenn man mal die meisten Leaks googlet, findet man sehr schnell Artikel über das Thema, dass z.B. die Hashs von Last.fm, LinkedIn usw. aufgrund eines fehlenden Salts leicht zu knacken sind und mindestens 80% ALLER geleakten Hash sehr sehr schnell "geknackt" wurden... Und diese Daten landen dann auf den typischen Seiten, wo jeder sie herunterladen kann...

    Edit: Zwar von der Konkurrenz, aber hier ein Beispiel für so einen Artikel https://www.heise.de/security/meldung/LinkedIn-Leck-Mehr-als-80-Prozent-der-Passwoerter-bereits-geknackt-3212075.html

    2. Zum Thema Phishing als Quelle: Wo sage ich denn auch, dass das im Artikel steht? :'D Es muss nicht alles immer im Artikel stehen... Und man darf auch über den Artikel hinaus die Seite, um die sich der Artikel dreht, genauer anschauen :D
    Und da sollte man sehr schnell sehen können, dass die Herkunft der Daten bei recht vielen Leaks eben nicht 100%ig geklärt ist. Entsprechend weiß man nicht, ob es wirklich ein Hack oder eben doch ein gezielter Phishing-Angriff auf die Nutzer dieser Seite war oder eben per Trojaner/Passwortstealer auf den PCs. Wenn du danach mal googlest, wirst du entsprechende Artikel über solche Angriffe auf beispielsweise Google-Nutzer finden, wo Google eben nicht gehackt wurde, aber sehr sehr viele Nutzerdaten von Google-Nutzer ins Netz gelangt sind.

    Aber damit du nicht selbst auf die entsprechende Seite gehen musst, um die es sich hier ja dreht:
    "In September 2014, news broke of a massive leak of accounts from Yandex, the Russian search engine giants who also provides email services. The purported million "breached" accounts were disclosed at the same time as nearly 5M mail.ru accounts with both companies claiming the credentials were acquired VIA PHISHING SCAMS rather than being obtained as a result of direct attacks against their services.In September 2014, news broke of a massive leak of accounts from Yandex, the Russian search engine giants who also provides email services. The purported million "breached" accounts were disclosed at the same time as nearly 5M mail.ru accounts with both companies claiming the credentials were acquired via phishing scams rather than being obtained as a result of direct attacks against their services."

    Ein konkretes Beispiel von der Webseite... Er hat sich schon extra die Mühe gemacht, um zu allen "Leaks" etwas zum Hintergrund wie beispielsweise eben die Herkunft der Daten zu schreiben... Man muss es bloß auch lesen :D



    1 mal bearbeitet, zuletzt am 10.08.17 00:31 durch Xiut.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Topos Personalberatung Hamburg, Nordrhein-Westfalen
  2. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld
  3. DATAGROUP Köln GmbH, Frankfurt
  4. Deloitte, Düsseldorf, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 349,00€
  2. 259€ + Versand oder kostenlose Marktabholung
  3. 274,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Orico Enclosure im Test: Die NVMe-SSD wird zum USB-Stick
Orico Enclosure im Test
Die NVMe-SSD wird zum USB-Stick

Wer eine ältere NVMe-SSD über hat, kann diese immer noch als sehr schnellen USB-Stick verwenden: Preiswerte Gehäuse wie das Orico Enclosure nehmen M.2-Kärtchen auf, der Bridge-Chip könnte aber flotter sein.
Ein Test von Marc Sauter

  1. Server Supermicro mit Chassis für 40 E1.S-SSDs auf 2 HE
  2. Solid State Drive Longsys entwickelt erste SSD nur mit chinesischen Chips
  3. SSDs Samsung 970 Pro mit 2TB und WD Blue 3D mit 4TB

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

  1. Ursula von der Leyen: Von "Zensursula" zur EU-Kommissionspräsidentin
    Ursula von der Leyen
    Von "Zensursula" zur EU-Kommissionspräsidentin

    Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.

  2. Kryptowährung: Facebook möchte Kritik an Libra ausräumen
    Kryptowährung
    Facebook möchte Kritik an Libra ausräumen

    Facebooks geplante Digitalwährung Libra kommt in der Politik nicht gut an. Bei einer Anhörung vor dem US-Senat verteidigt Facebook-Manager David Marcus die Währung. Bundesregierung und Bundesbank wollen sie lieber verhindern.

  3. PC Engine Core Grafx: Konami kündigt drei Versionen der gleichen Minikonsole an
    PC Engine Core Grafx
    Konami kündigt drei Versionen der gleichen Minikonsole an

    In Europa heißt sie PC Engine Core Grafx Mini, für Japan und die USA hat Konami andere Namen und ein anderes Design. Die Retrokiste soll im März 2020 mit rund 50 vorinstallierten Spielen erscheinen. Der Kauf in Deutschland läuft minimal komplizierter ab als üblich.


  1. 20:10

  2. 18:33

  3. 17:23

  4. 16:37

  5. 15:10

  6. 14:45

  7. 14:25

  8. 14:04