Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Runes of Magic: "Cpt.Z3r0" erpresst…

einfach passworthashes überschreiben?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. einfach passworthashes überschreiben?

    Autor: tafkaXstream 17.01.11 - 13:26

    Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die DB schreiben und user per mail informieren

  2. Wie wäre es...

    Autor: blablablablablablablabla 17.01.11 - 13:28

    tafkaXstream schrieb:
    --------------------------------------------------------------------------------
    > Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die DB
    > schreiben und user per mail informieren


    ... die Lücke an sich zu schließen???!!!

  3. Re: einfach passworthashes überschreiben?

    Autor: karo4ever 17.01.11 - 13:29

    Das wurde vor kurzem bereits gemacht. Die Mindestgröße und die Bedingungen für ein akzeptables Passwort wurde dabei auch geändert.
    Ist nur wenige hilfreich wenn die Passwörter weiterhin im Klartext ausgelesen werden können.

  4. Re: einfach passworthashes überschreiben?

    Autor: Scipio 17.01.11 - 13:43

    Ja, sie haben vor kurzen alle Passwörter geändert und kleinere Lücke zur Datenbank geschlossen. Nur bedeutet das nicht, dass deren System jetzt sicher ist ...

    Meines Erachtens müssten sie so ziemlich das ganze, von Anfang an fehlerhaft geplante, Grundsystem ausgewechselt werden und anschließend die Passwörter neu gesetzt werden.

  5. Re: einfach passworthashes überschreiben?

    Autor: tafkaXstream 17.01.11 - 13:44

    karo4ever schrieb:
    --------------------------------------------------------------------------------
    > Ist nur wenige hilfreich wenn die Passwörter weiterhin im Klartext
    > ausgelesen werden können.

    Bitte? Normalerweise sollte der Anbieter die nicht mal kennen und mit nem Salt sollten die hashes auch nicht so leicht umzukehren sein

  6. Re: einfach passworthashes überschreiben?

    Autor: fool 17.01.11 - 15:43

    Salts helfen nicht gegen Wörterbuchangriffe und bei so vielen Datensätzen (irgendwo stand was von 5 Millionen?) sollte es leicht sein, genug Passwörter a la "hallo123" zu finden, mit denen man dann schnell "Zugangsdaten von 1000en Accounts" hat.

  7. Re: einfach passworthashes überschreiben?

    Autor: ilold 17.01.11 - 15:49

    fool schrieb:
    --------------------------------------------------------------------------------
    > Salts helfen nicht gegen Wörterbuchangriffe und bei so vielen Datensätzen
    > (irgendwo stand was von 5 Millionen?) sollte es leicht sein, genug
    > Passwörter a la "hallo123" zu finden, mit denen man dann schnell
    > "Zugangsdaten von 1000en Accounts" hat.


    du scheinst offenbar nicht zu wissen was ein salt ist.

  8. Re: einfach passworthashes überschreiben?

    Autor: _._ 17.01.11 - 15:55

    tafkaXstream schrieb:
    --------------------------------------------------------------------------------
    > Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die DB
    > schreiben und user per mail informieren

    Wer interressiert sich denn für die Spiele Accounts?
    Richtige bestätigte E-Mail Adressen, Kontaktadressen und evtl. Zahlungsinformationen, das sind die wirklich wichtigen und sensiblen Informationen...

  9. Re: einfach passworthashes überschreiben?

    Autor: ROM_Spieler 17.01.11 - 15:58

    tafkaXstream schrieb:
    --------------------------------------------------------------------------------
    > Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die DB
    > schreiben und user per mail informieren


    Ich spiele das Spiel und das wurde sogar geamcht vor ein paar Monaten

    Nun kann ich halt mit meinem alten und neuen Passwort ins Spiel. Und es geht noch einigen anderen so, dass sie nun 2 funktionierende Passwörter für 1 Spiel haben^^

  10. Re: einfach passworthashes überschreiben?

    Autor: IT-Oberaufseher 17.01.11 - 16:28

    ROM_Spieler schrieb:
    --------------------------------------------------------------------------------
    > tafkaXstream schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die
    > DB
    > > schreiben und user per mail informieren
    >
    > Ich spiele das Spiel und das wurde sogar geamcht vor ein paar Monaten
    >
    > Nun kann ich halt mit meinem alten und neuen Passwort ins Spiel. Und es
    > geht noch einigen anderen so, dass sie nun 2 funktionierende Passwörter für
    > 1 Spiel haben^^


    Scheint ja ein Profi-Laden zu sein. Wurde die Datenbank von T-Systems entwickelt?

  11. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 17.01.11 - 16:42

    Rischdsch. Zudem glaubt er ernsthaft dass man sich in deren System beliebig oft falsch authentifizieren konnte - in seine Kopf gibt es keine IP-Bans bei 5 fehlgeschlagenen Logins :-)

  12. Re: einfach passworthashes überschreiben?

    Autor: Krüptofan 17.01.11 - 16:46

    Ich persönlich tippe auf den Krüptoscheff - nur er hat ja bekanntlich volle Bits und daher gehen dann auch 2 Passwörter pro Byte; der Rest der Welt nutzt ja nur halbe Bits.

  13. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 18.01.11 - 21:36

    > Salts helfen nicht gegen Wörterbuchangriffe und bei so vielen Datensätzen
    > (irgendwo stand was von 5 Millionen?) sollte es leicht sein, genug
    > Passwörter a la "hallo123" zu finden, mit denen man dann schnell
    > "Zugangsdaten von 1000en Accounts" hat.

    Doch, genau dagegen helfen Salts, siehe Salt (Kryptologie) und Rainbow Table: Gegenmaßnahmen.

    Bilden wir ein vereinfachtes Beispiel:
    Du hast zehn Millionen Datensätze einer Userdatenbank abgegriffen, enthalten u.a. Username und Passwort-Hash. Ein häufig genutztes Passwort ist "asdf", auf dieses willst du prüfen. Wenn kein Salt verwendet wurde, berechnest du einmal den Hash von "asdf" und vergleichst mit den Einträgen. Wo sie übereinstimmen, kannst du "asdf" als Passwort verwenden, das betrifft vielleicht einige Hundert oder Tausend User, die du durch simples Abgleichen findest.
    Falls aber Salts verwendet werden (logischerweise einer für jeden Datensatz), funktioniert das nicht, da der Hash von Salt+Passwort gespeichert wird. Wenn du nun alle User finden wolltest, bei denen du das Passwort "asdf" nutzen könntest, müsstest du für jeden Datensatz Salt+"asdf" hashen und dann vergleichen. Der Rechen-Aufwand steigert sich also ganz gewaltig.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  14. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 18.01.11 - 21:38

    Hast du auch mal andere Passwörter getestet? Vielleicht findet ja gar keine Prüfung statt?

    Oder die nehmen als Hashfunktion einfach die (iterierte) binäre Quersumme, Chance von 1/2, sich erfolgreich mit einem zufälligen Passwort bei fremden Accounts einzuloggen. :-D

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  15. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 08:47

    > Oder die nehmen als Hashfunktion einfach die (iterierte) binäre Quersumme

    Whoa mal ganz langsam mit den Fachbegriffen - ansonsten blamierst du dich noch.
    Weisst du denn eigentlich was "iterieren", was "binär" is und was eine Quersumme ist? Nein? Dachte ich mir.

    > Chance von 1/2, sich erfolgreich mit einem zufälligen Passwort bei fremden
    > Accounts einzuloggen. :-D

    Öh ... in deiner genannten Vorgehensweise - eher nicht, nein. Die Wahrscheinlichkeit dürfte recht niedrig sein und mit der Länge des Passworts sinken, trotzdem erreicht sie niemals 50%, das hast du dir ausgedacht. Naja, bei einem Passwort mit 2 Bit stimmt das, ja.

  16. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 09:11

    > Der Rechen-Aufwand steigert sich
    > also ganz gewaltig.

    Nur dann wenn der Salt geheim bleibt. Ist er einmal bekannt verringert er den Schlüsselraum ebenso "gewaltig" und ermöglicht ein Brechen des Passworts in einem Bruchteil der Zeit - ein einziger SQL-Inject würde schon reichen, man ist vollständig von der Sicherheit des CMS abhängig ... ne danke, da dreh ich lieber die erforderte Passwortkomplexität hoch

  17. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 09:15

    Zumal man für jedes (!) Passwort einen eigenen Salt nutzen muss, ansonsten kann man über Differentialbildung aller Hashes den Salt und danach die Passwörter oder gültige Äquivalente rekonstruieren

  18. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 09:28

    Lustig, wo ich nochmal drüber nachdenke, ist tatsächlich ein Fehler in meiner Überlegung. Leider in einer ganz und gar anderen Richtung, als du gedacht hast.

    > > Oder die nehmen als Hashfunktion einfach die (iterierte) binäre
    > Quersumme
    >
    > Whoa mal ganz langsam mit den Fachbegriffen - ansonsten blamierst du dich
    > noch.

    Nun, die Fachbegriffe kenne ich, insofern ist eine Blamage aus dieser Richtung nicht zu erwarten.

    > Weisst du denn eigentlich was "iterieren",

    Wiederholt anwenden. Extra für dich: Iteration.

    > was "binär" is und was eine

    In diesem Kontext ist logischerweise das binäre Zahlensystem gemeint. Extra für dich: Dualsystem.

    > Quersumme ist?

    Die Summe der Ziffern einer Zahl. Dabei hängt die Quersumme natürlich von der Darstellung ab. Extra für dich: Quersumme.

    > Nein? Dachte ich mir.

    Denken scheint bei dir wohl Glückssache.

    > > Chance von 1/2, sich erfolgreich mit einem zufälligen Passwort bei
    > fremden
    > > Accounts einzuloggen. :-D
    >
    > Öh ... in deiner genannten Vorgehensweise - eher nicht, nein. Die
    > Wahrscheinlichkeit dürfte recht niedrig sein und mit der Länge des
    > Passworts sinken, trotzdem erreicht sie niemals 50%, das hast du dir
    > ausgedacht. Naja, bei einem Passwort mit 2 Bit stimmt das, ja.

    Du bist eben nicht sehr helle: Was ist denn die iterierte binäre Quersumme? Man nehme das Passwort als Binärzahl, bilde daraus die (binäre) Quersumme und wiederhole das Ganze, bis nur noch eine Binär-Ziffer übrig ist.

    Jetzt der lustige Teil (und mein Denkfehler): Die iterierte binäre Quersumme ist für alle in unserem Kontext möglichen Zahlen, die nicht null sind, 1, bei null ist sie 0*. Bei zufällig ausgewählten Passwörtern steigt die Wahrscheinlichkeit mit steigender Passwortlänge also auch noch.

    * Beweis: Dass für die Null (egal, wie viele Nullen) die Quersumme 0 ist, ist trivial. Sei also n eine Zahl mit mindestens einer 1 in ihrer Binärdarstellung. Dann ist die (nicht-iterierte) Quersumme nicht 0, aber kleiner als n. Insbesondere hat sie wieder mindestens eine 1 in ihrer Binärdarstellung. Bei wiederholter Anwendung (iteriert) der Quersumme kommt also garantiert nach endlichen vielen Schritten eine Zahl heraus, die in ihrer Binärdarstellung eine Ziffer lang ist und mindestens eine 1 enthält – diese Bedingung erfüllt aber nur die 1. q.e.d.

    Natürlich gibt es trotzdem eine Möglichkeit, auf die gewünschten 50% Wahrscheinlichkeit zu kommen: Einfach alle Bits zusammenXORen. Extra für dich: XOR-Gatter/Kontravalenz

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  19. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 09:31

    > Zumal man für jedes (!) Passwort einen eigenen Salt nutzen muss, ansonsten
    > kann man über Differentialbildung aller Hashes den Salt und danach die
    > Passwörter oder gültige Äquivalente rekonstruieren

    Natürlich muss man für jedes Passwort einen eigenen Salt nutzen, genau das habe ich doch auch geschrieben (Quelle):
    > (logischerweise einer für jeden Datensatz)

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  20. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 09:39

    > > Der Rechen-Aufwand steigert sich
    > > also ganz gewaltig.
    >
    > Nur dann wenn der Salt geheim bleibt. Ist er einmal bekannt verringert er
    > den Schlüsselraum ebenso "gewaltig" und ermöglicht ein Brechen des
    > Passworts in einem Bruchteil der Zeit - ein einziger SQL-Inject würde schon
    > reichen, man ist vollständig von der Sicherheit des CMS abhängig ... ne
    > danke, da dreh ich lieber die erforderte Passwortkomplexität hoch

    Nein, auch bei bekannten Salts (bei den mir bekannten CMSen werden die ohnehin da gespeichert, wo auch die Hashes gespeichert werden, wer Zugriff auf die Hashes hat, hat normalerweise auch Zugriff auf die Salts) ist der Rechenaufwand höher. Hast du mein Beispiel nicht gesehen? Ohne Salts machst du eine Wörterbuchattacke gegen alle Accounts gleichzeitig, mit Salts musst du das für jeden Account einzeln machen. Dafür werden Salts benutzt. Ihre Aufgabe ist nicht das Erschweren des Herausfindens eines einzelnen Passworts.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SOLCOM GmbH, Reutlingen
  2. Karlsruher Institut für Technologie (KIT) Campus Nord, Eggenstein-Leopoldshafen
  3. Neveling Reply, Hamburg, Lübeck
  4. VALEO GmbH, Friedrichsdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Total war - Three Kingdoms für 35,99€, Command & Conquer - The Ultimate Collection für 4...
  2. 116,09€ (10% Rabatt mit dem Code PREISOPT10)
  3. 33,95€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Ãœbersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

  1. Ursula von der Leyen: Von "Zensursula" zur EU-Kommissionspräsidentin
    Ursula von der Leyen
    Von "Zensursula" zur EU-Kommissionspräsidentin

    Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.

  2. Kryptowährung: Facebook möchte Kritik an Libra ausräumen
    Kryptowährung
    Facebook möchte Kritik an Libra ausräumen

    Facebooks geplante Digitalwährung Libra kommt in der Politik nicht gut an. Bei einer Anhörung vor dem US-Senat verteidigt Facebook-Manager David Marcus die Währung. Bundesregierung und Bundesbank wollen sie lieber verhindern.

  3. PC Engine Core Grafx: Konami kündigt drei Versionen der gleichen Minikonsole an
    PC Engine Core Grafx
    Konami kündigt drei Versionen der gleichen Minikonsole an

    In Europa heißt sie PC Engine Core Grafx Mini, für Japan und die USA hat Konami andere Namen und ein anderes Design. Die Retrokiste soll im März 2020 mit rund 50 vorinstallierten Spielen erscheinen. Der Kauf in Deutschland läuft minimal komplizierter ab als üblich.


  1. 20:10

  2. 18:33

  3. 17:23

  4. 16:37

  5. 15:10

  6. 14:45

  7. 14:25

  8. 14:04