Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Runes of Magic: "Cpt.Z3r0" erpresst…
  6. Thema

einfach passworthashes überschreiben?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 10:09

    > Nein, auch bei bekannten Salts ist der Rechenaufwand höher.

    Da empfehle ich nen Kurs über Kryptographie oder ein detailliertes und gutes Buch oder einfach mal die entspr. Fragestellung an einen Mathematik-Professor, der erklärt dir wo dein Denkfehler liegt.

    jede noch-so-ausgefeilte Kryptographie wird 100%ig unwirksam wenn man (dem Angreifer bekannte) Redundanz ins Spiel bringt - kennt man (der Angreifer) auch nur ein einziges Zeichen mit Sicherheit so reduziert sich der der Schlüsselraum exponentiell pro bekanntem Zeichen. Das anzweifeln zu wollen grenzt entweder an Größenwahn oder an Dummheit, tut mir leid. Lies dich besser erstmal in das Thema ein bevor du weiter lachhaften Unsinn verbreitest.

  2. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 10:21

    > Du bist eben nicht sehr helle: Was ist denn die iterierte binäre Quersumme?

    Der einzige mögliche Kontext ist die dezimale Addition aller Bits der Binärdarstellung einer Zahl.

    > Man nehme das Passwort als Binärzahl, bilde daraus die (binäre) Quersumme
    > und wiederhole das Ganze, bis nur noch eine Binär-Ziffer übrig ist.

    Was?? "Bis nur noch eine Binär-Ziffer übrig ist"?? Erneut die Quersumme aus dem vorherigen Ergebnis bilden oder wie? Jo, das is freilich sinnlos, kann man auch gleich (0 | 1) machen.

    Achja; "extra für dich", kleiner Troll :

    <°--><

  3. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 10:25

    > Natürlich gibt es trotzdem eine Möglichkeit, auf die gewünschten 50%
    > Wahrscheinlichkeit zu kommen: Einfach alle Bits zusammenXORen.

    Jedes Bit einer Zahl oder eines Zeichens oder eines ganzen Strings mit dem nächsten XOR? Ergibt ne Chance von 1:4 mit einem beliebigen Passwort

  4. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 10:31

    > > Nein, auch bei bekannten Salts ist der Rechenaufwand höher.
    >
    > Da empfehle ich nen Kurs über Kryptographie oder ein detailliertes und
    > gutes Buch oder einfach mal die entspr. Fragestellung an einen
    > Mathematik-Professor, der erklärt dir wo dein Denkfehler liegt.

    Danke, aber das brauche ich nicht, da bei mir kein Denkfehler vorliegt. Ich empfehle dir jedoch, Nachhilfestunden in Deutsch zu nehmen, eventuell steigt dann dein Leseverständnis.

    > jede noch-so-ausgefeilte Kryptographie wird 100%ig unwirksam wenn man (dem
    > Angreifer bekannte) Redundanz ins Spiel bringt - kennt man (der Angreifer)
    > auch nur ein einziges Zeichen mit Sicherheit so reduziert sich der der
    > Schlüsselraum exponentiell pro bekanntem Zeichen. Das anzweifeln zu wollen
    > grenzt entweder an Größenwahn oder an Dummheit, tut mir leid. Lies dich
    > besser erstmal in das Thema ein bevor du weiter lachhaften Unsinn
    > verbreitest.

    Der Einzige, der lachhaften Unsinn verbreitet, bist du, denn du bist nicht einmal in der Lage, meine Beiträge zu verstehen. Da du anscheinend auch nicht in der Lage bist, Links zu folgen und die Texte dort zu lesen, zitiere ich mal für dich (auch wenn ich denke, dass es Perlen vor die Säue sind):
    „Durch Anfügen von Salts werden für besonders in diesem Bereich häufig anzutreffende kurze oder einfache Passwörter die vorgefertigten Rainbowtables wertlos. Weiterhin ergeben gleiche Passwörter unterschiedliche Hashwerte.“ (Quelle)

    In der englischen Version wird es noch deutlicher:
    „Salts also make dictionary attacks and brute-force attacks for cracking large number of passwords much slower (but not in the case of cracking just one password).“ (Quelle, Hervorhebung durch mich)

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  5. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 10:35

    > > Natürlich gibt es trotzdem eine Möglichkeit, auf die gewünschten 50%
    > > Wahrscheinlichkeit zu kommen: Einfach alle Bits zusammenXORen.
    >
    > Jedes Bit einer Zahl oder eines Zeichens oder eines ganzen Strings mit dem
    > nächsten XOR? Ergibt ne Chance von 1:4 mit einem beliebigen Passwort

    Das Passwort, üblicherweise ein String, hat eine Repräsentation als Bytefolge, die man als Zahl interpretieren kann. Diese Zahl nimmst du in Binärdarstellung, fängst mit dem ersten Bit an, XORst mit dem zweiten, das Ergebnis mit dem Dritten, etc., bis du alle durch hast. Das ist dann der Hash.

    Wie du auf 1:4 mit einem beliebigen Passwort kommst (und nicht auf 1:2), solltest du dann allerdings erklären.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  6. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 10:41

    <°--><

  7. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 10:42

    <°--><

  8. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 10:43

    > > Du bist eben nicht sehr helle: Was ist denn die iterierte binäre
    > Quersumme?
    >
    > Der einzige mögliche Kontext ist die dezimale Addition aller Bits der
    > Binärdarstellung einer Zahl.

    Wieso dezimal? Der Addition selbst ist die Darstellung einer Zahl egal, sie ist über die Zahlen selbst, unabhängig von deren Darstellung, definiert. Aber wenigstens hast du es fast begriffen, was du vergessen hast, ist, dass diese Addition wiederholt gemacht wird.

    > > Man nehme das Passwort als Binärzahl, bilde daraus die (binäre)
    > Quersumme
    > > und wiederhole das Ganze, bis nur noch eine Binär-Ziffer übrig ist.
    >
    > Was?? "Bis nur noch eine Binär-Ziffer übrig ist"?? Erneut die Quersumme aus
    > dem vorherigen Ergebnis bilden oder wie? Jo, das is freilich sinnlos, kann
    > man auch gleich (0 | 1) machen.

    Eben, natürlich ist das sinnlos. Wenn du dir den Beitrag anschaust, auf den ich geantwortet habe, wird dir vielleicht auch klar, warum ich etwas Sinnloses vermute, denn wie sonst kann man sich mit gleich zwei Passwörtern einloggen? Zufällige Hash-Kollision? Ist wohl doch sehr unwahrscheinlich.

    > Achja; "extra für dich", kleiner Troll :
    >
    > <°--><

    Ich bin weder klein noch ein Troll. Fisch esse ich trotzdem manchmal.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  9. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 10:44

    > <°--><

    Ich werte das mal als „Ups, jetzt habe ich meinen Fehler bemerkt, aber weil ich das nicht zugeben will, stelle ich meinen Diskutanten als Troll hin“. Widerlegen kannst du nämlich nicht, was ich geschrieben habe (schlicht deswegen, weil es wahr ist).

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  10. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 10:53

    > > Wie du auf 1:4 mit einem beliebigen Passwort kommst (und nicht auf 1:2),
    > > solltest du dann allerdings erklären.

    > <°--><

    Schade, die Erklärung hätte ich gerne gelesen. Für alle, die es dennoch wissen wollen: Beim XORen aller Bits bleibt am Ende natürlich nur ein Bit übrig. Bei einem zufällig gewählten Passwort ist die Wahrscheinlichkeit für 0 50%, ebenso für 1.

    Betrachten wir also den beschriebenen Fall, dass der User ein Passwort hat (hier als zufällig angenommen) und man selbst den Login mit einem ebenfalls zufälligen Passwort probiert.

    User-Hash . Unser Hash . Erfolg?
    ... 0 .......... 0 ....... Ja
    ... 0 .......... 1 ...... Nein
    ... 1 .......... 0 ...... Nein
    ... 1 .......... 1 ....... Ja

    Alle Fälle sind gleich wahrscheinlich, in der Hälfte der Fälle haben wir Erfolg (sonst Misserfolg), also sind es 50% bzw. 1:2 und nicht 1:4.

  11. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 10:53

    <°--><

  12. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 10:55

    <°--><

  13. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 10:56

    > Schade, die Erklärung hätte ich gerne gelesen

    Das Kind wundert sich dass es nen Fisch bekommt wenn es rumtrollt und beleidgt - lustiges kleines Kerlchen :-)

    Noch einer : <°--><

  14. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 11:07

    > > Schade, die Erklärung hätte ich gerne gelesen
    >
    > Das Kind wundert sich dass es nen Fisch bekommt wenn es rumtrollt und
    > beleidgt - lustiges kleines Kerlchen :-)

    Nunja, da du dich in Allgemeinplätzen ergehst, Fische verteilst statt Erklärungen abzugeben und meine ganz konkreten Ausführungen und Beispiele nicht widerlegst, dürfte wohl jedem klar sein, wer tatsächlich der Troll ist. Solltest du doch etwas beizutragen haben, antworte ich gerne darauf, aber inzwischen ist mir meine Zeit doch zu schade, ursprünglich hatte ich angenommen, du seist nur jemand, der sich einfach geirrt hat.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  15. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 12:06

    >ursprünglich hatte ich
    > angenommen, du seist nur jemand, der sich einfach geirrt hat.


    ursprünglich hatte ich angenommen, du seist nur jemand (KEIN KOMMA) der NICHT jeden grundlos beleidigt & diffamiert, Worte im Munde rumdreht & gegen den sinnbildlichen Emitter richtet, wichtigen Kontext absichtlich ausser Acht lässt um im darauffolgenden Satz für Neueinsteiger im Thread "besser" dazustehen, mittels selbstauferlegter Scheinobjektivität die bekannte "Divide & Conquer"-Taktik anwendet und im Grunde nur eines im Sinne hat : recht haben, recht bekommen, gepriesen zu werden, Wut zu kompensieren und Internetpunkte zu sammeln; auf dass man sich abends zufrieden ins Bett rein-lol-ern kann, während man über die "N00bs" und "Trolle" lächelt.

  16. Re: einfach passworthashes überschreiben?

    Autor: Saboteur 19.01.11 - 12:38

    Kurz und knapp: das ist kindisches Verhalten.

    Im Augenblick wird der Anschein erweckt, ein Psychologiestudent würde sich mit einem Informatikstudent streiten, wobei der Psychologiestudent über rudimentäre Informatikkenntnisse zu verfügen scheint.

    Ich gebe offen und ehrlich zu: Ich hasse Mathematik und kann dem was ihr da äußert nicht folgen um festzustellen wer denn nun Recht hat.

    Das Postverhalten an sich ist jedoch kindisch.
    Fische gehören nicht in Foren sondern ins Wasser oder auf meinen Teller.
    Wenn man Jemandes Meinung widerlegen will sollte man dies auch in Worten machen und nicht in Fischen.

    BTT

    Ich frage mich was diese Aktion bringen soll von dem Cpt.0...
    Das ist eine Straftat und wird auch entsprechend verfolgt werden.
    Von einer Erpressung wird Frogster die Foren auch nicht anders führen etc.

    In Amerika wär die Sache einfacher.

    Die verhandeln nicht mit Kriminellen, die schiessen erst und fragen dann.

    So wird nur wieder ein Gericht bemüht, was der Steuerzahler bezahlt weil irgendein Kindskopp wieder eine fixe Idee hatte.
    Bravo.

    LG
    Sabo

  17. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 12:45

    Altbekannte Troll-Taktik: Das, was man selbst tut, anderen vorwerfen.

    > ursprünglich hatte ich angenommen, du seist nur jemand (KEIN KOMMA) der
    > NICHT jeden grundlos beleidigt & diffamiert, Worte im Munde rumdreht &
    > gegen den sinnbildlichen Emitter richtet, wichtigen Kontext absichtlich
    > ausser Acht lässt um im darauffolgenden Satz für Neueinsteiger im Thread
    > "besser" dazustehen, mittels selbstauferlegter Scheinobjektivität die
    > bekannte "Divide & Conquer"-Taktik anwendet und im Grunde nur eines im
    > Sinne hat : recht haben, recht bekommen, gepriesen zu werden, Wut zu
    > kompensieren und Internetpunkte zu sammeln; auf dass man sich abends
    > zufrieden ins Bett rein-lol-ern kann, während man über die "N00bs" und
    > "Trolle" lächelt.

    Aber wie üblich kommen hier nur Allgemeinplätze. Du hast keinen einzigen deiner Vorwürfe tatsächlich belegt. Schauen wir doch mal nach, was ich so finde:

    In dem Teilthread zu Salts ging es von vornherein darum, dass Salts dagegen helfen, gleichzeitig Passwörter zu vielen Hashes auf einmal zu erhalten. In diesem Beitrag zitierst du dann nur einen einzigen Satz von mir und versuchst dabei den Eindruck zu erwecken, ich hätte etwas ganz anderes behauptet.

    Schon hier wirfst du mir vor, simple Begriffe wie „binär“ oder „Quersumme“ nicht zu kennen.

    Hier gibst du eine schlicht falsche Antwort, wie ich etwas später darlege, einen Erklärungsversuch für deine Antwort bist du (bis jetzt) schuldig geblieben, ebenso eine Widerlegung meiner Ausführungen, stattdessen wirfst du mit Fischen.

    Unabhängig davon:

    > ursprünglich hatte ich angenommen, du seist nur jemand (KEIN KOMMA) der
    > NICHT jeden grundlos beleidigt & diffamiert,

    Wieso schreibst du explizit „KEIN KOMMA“? Da es sich um einen Relativsatz handelt, müsste dort eines stehen (siehe Nebensatz). Eine Ausnahmeregelung wie beim erweiterten Infinitiv scheint es nicht zu geben.

    > wichtigen Kontext absichtlich
    > ausser Acht lässt um im darauffolgenden Satz für Neueinsteiger im Thread
    > "besser" dazustehen,

    Das ist mehr als lächerlich, da erstens auch „Neueinsteiger“ wohl zumindest die vorhergehenden Beiträge lesen sollten, um überhaupt zu wissen, worum es geht (jedenfalls fange ich beim Lesen der Beiträge nie mittendrin an, sondern lese natürlich zunächst die vorhergehenden Beiträge). Da ich außerdem in der Regel ausführlich zitiere, ist der Kontext klar ersichtlich. Ganz im Gegenteil übrigens zu dir – Beispiele dafür, wo du nicht oder nur extrem wenig zitierst und dabei den Kontext verfälscht, sind hier und hier.

    Was „Internetpunkte“ sein sollen, müsstest du mir auch erstmal erklären, aber wahrscheinlich kommt nur wieder ein Fisch.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  18. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 12:57

    > Kurz und knapp: das ist kindisches Verhalten.
    >
    > Im Augenblick wird der Anschein erweckt, ein Psychologiestudent würde sich
    > mit einem Informatikstudent streiten, wobei der Psychologiestudent über
    > rudimentäre Informatikkenntnisse zu verfügen scheint.

    Leider verrätst du nicht, welches welcher Student sein soll. ;-)

    > Ich gebe offen und ehrlich zu: Ich hasse Mathematik und kann dem was ihr da
    > äußert nicht folgen um festzustellen wer denn nun Recht hat.

    Mathematik zu hassen ist ganz schlecht. Dann kannst du nämlich leicht hinter das Licht geführt werden, von Bankern, Statistikern, etc.

    Im Falle der Frage, ob die Wahrscheinlichkeit nun 1:2 oder 1:4 ist, bin ich jedoch der einzige, der überhaupt etwas mathematisch Nachvollziehbares geschrieben hat und da die Mathematik den Vorteil hat, dass man eindeutig beweisen kann, ob etwas richtig oder falsch ist (mit der Ausnahme des seltenen Falles, dass etwas weder widerlegt noch bewiesen werden kann), kannst du selbst überlegen, was wahrscheinlicher ist: Dass derjenige Recht hat, der eine Behauptung aufstellt, aber weder selbst eine Herleitung dafür angibt noch die Herleitung seines Gegenübers widerlegt, oder derjenige, der selbst eine Herleitung angibt und noch nach einer des Gegenübers fragt.

    > Das Postverhalten an sich ist jedoch kindisch.
    > Fische gehören nicht in Foren sondern ins Wasser oder auf meinen Teller.
    > Wenn man Jemandes Meinung widerlegen will sollte man dies auch in Worten
    > machen und nicht in Fischen.

    Wobei es – zumindest in manchen Foren – durchaus üblich ist, Fische zu verteilen. Hierbei verteilen Forenteilnehmer Fische an Trolle, solche, die sie dafür halten, aber auch Trolle verteilen selbst Fische, um andere als Trolle dastehen zu lassen.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Kunstakademie Münster, Münster
  2. SOLCOM GmbH, Reutlingen
  3. mobileX AG, München
  4. Schaltbau GmbH, Velden (Landkreis Landshut)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-75%) 3,75€
  2. 2,99€
  3. 2,19€


Haben wir etwas übersehen?

E-Mail an news@golem.de


FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

  1. Ursula von der Leyen: Von "Zensursula" zur EU-Kommissionspräsidentin
    Ursula von der Leyen
    Von "Zensursula" zur EU-Kommissionspräsidentin

    Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.

  2. Kryptowährung: Facebook möchte Kritik an Libra ausräumen
    Kryptowährung
    Facebook möchte Kritik an Libra ausräumen

    Facebooks geplante Digitalwährung Libra kommt in der Politik nicht gut an. Bei einer Anhörung vor dem US-Senat verteidigt Facebook-Manager David Marcus die Währung. Bundesregierung und Bundesbank wollen sie lieber verhindern.

  3. PC Engine Core Grafx: Konami kündigt drei Versionen der gleichen Minikonsole an
    PC Engine Core Grafx
    Konami kündigt drei Versionen der gleichen Minikonsole an

    In Europa heißt sie PC Engine Core Grafx Mini, für Japan und die USA hat Konami andere Namen und ein anderes Design. Die Retrokiste soll im März 2020 mit rund 50 vorinstallierten Spielen erscheinen. Der Kauf in Deutschland läuft minimal komplizierter ab als üblich.


  1. 20:10

  2. 18:33

  3. 17:23

  4. 16:37

  5. 15:10

  6. 14:45

  7. 14:25

  8. 14:04