1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Runes of Magic: "Cpt.Z3r0" erpresst…

einfach passworthashes überschreiben?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. einfach passworthashes überschreiben?

    Autor: tafkaXstream 17.01.11 - 13:26

    Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die DB schreiben und user per mail informieren

  2. Wie wäre es...

    Autor: blablablablablablablabla 17.01.11 - 13:28

    tafkaXstream schrieb:
    --------------------------------------------------------------------------------
    > Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die DB
    > schreiben und user per mail informieren


    ... die Lücke an sich zu schließen???!!!

  3. Re: einfach passworthashes überschreiben?

    Autor: karo4ever 17.01.11 - 13:29

    Das wurde vor kurzem bereits gemacht. Die Mindestgröße und die Bedingungen für ein akzeptables Passwort wurde dabei auch geändert.
    Ist nur wenige hilfreich wenn die Passwörter weiterhin im Klartext ausgelesen werden können.

  4. Re: einfach passworthashes überschreiben?

    Autor: Scipio 17.01.11 - 13:43

    Ja, sie haben vor kurzen alle Passwörter geändert und kleinere Lücke zur Datenbank geschlossen. Nur bedeutet das nicht, dass deren System jetzt sicher ist ...

    Meines Erachtens müssten sie so ziemlich das ganze, von Anfang an fehlerhaft geplante, Grundsystem ausgewechselt werden und anschließend die Passwörter neu gesetzt werden.

  5. Re: einfach passworthashes überschreiben?

    Autor: tafkaXstream 17.01.11 - 13:44

    karo4ever schrieb:
    --------------------------------------------------------------------------------
    > Ist nur wenige hilfreich wenn die Passwörter weiterhin im Klartext
    > ausgelesen werden können.

    Bitte? Normalerweise sollte der Anbieter die nicht mal kennen und mit nem Salt sollten die hashes auch nicht so leicht umzukehren sein

  6. Re: einfach passworthashes überschreiben?

    Autor: fool 17.01.11 - 15:43

    Salts helfen nicht gegen Wörterbuchangriffe und bei so vielen Datensätzen (irgendwo stand was von 5 Millionen?) sollte es leicht sein, genug Passwörter a la "hallo123" zu finden, mit denen man dann schnell "Zugangsdaten von 1000en Accounts" hat.

  7. Re: einfach passworthashes überschreiben?

    Autor: ilold 17.01.11 - 15:49

    fool schrieb:
    --------------------------------------------------------------------------------
    > Salts helfen nicht gegen Wörterbuchangriffe und bei so vielen Datensätzen
    > (irgendwo stand was von 5 Millionen?) sollte es leicht sein, genug
    > Passwörter a la "hallo123" zu finden, mit denen man dann schnell
    > "Zugangsdaten von 1000en Accounts" hat.


    du scheinst offenbar nicht zu wissen was ein salt ist.

  8. Re: einfach passworthashes überschreiben?

    Autor: _._ 17.01.11 - 15:55

    tafkaXstream schrieb:
    --------------------------------------------------------------------------------
    > Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die DB
    > schreiben und user per mail informieren

    Wer interressiert sich denn für die Spiele Accounts?
    Richtige bestätigte E-Mail Adressen, Kontaktadressen und evtl. Zahlungsinformationen, das sind die wirklich wichtigen und sensiblen Informationen...

  9. Re: einfach passworthashes überschreiben?

    Autor: ROM_Spieler 17.01.11 - 15:58

    tafkaXstream schrieb:
    --------------------------------------------------------------------------------
    > Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die DB
    > schreiben und user per mail informieren


    Ich spiele das Spiel und das wurde sogar geamcht vor ein paar Monaten

    Nun kann ich halt mit meinem alten und neuen Passwort ins Spiel. Und es geht noch einigen anderen so, dass sie nun 2 funktionierende Passwörter für 1 Spiel haben^^

  10. Re: einfach passworthashes überschreiben?

    Autor: IT-Oberaufseher 17.01.11 - 16:28

    ROM_Spieler schrieb:
    --------------------------------------------------------------------------------
    > tafkaXstream schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie wäre es einfach neue, zufällige Passwörter zu generieren, die in die
    > DB
    > > schreiben und user per mail informieren
    >
    > Ich spiele das Spiel und das wurde sogar geamcht vor ein paar Monaten
    >
    > Nun kann ich halt mit meinem alten und neuen Passwort ins Spiel. Und es
    > geht noch einigen anderen so, dass sie nun 2 funktionierende Passwörter für
    > 1 Spiel haben^^


    Scheint ja ein Profi-Laden zu sein. Wurde die Datenbank von T-Systems entwickelt?

  11. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 17.01.11 - 16:42

    Rischdsch. Zudem glaubt er ernsthaft dass man sich in deren System beliebig oft falsch authentifizieren konnte - in seine Kopf gibt es keine IP-Bans bei 5 fehlgeschlagenen Logins :-)

  12. Re: einfach passworthashes überschreiben?

    Autor: Krüptofan 17.01.11 - 16:46

    Ich persönlich tippe auf den Krüptoscheff - nur er hat ja bekanntlich volle Bits und daher gehen dann auch 2 Passwörter pro Byte; der Rest der Welt nutzt ja nur halbe Bits.

  13. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 18.01.11 - 21:36

    > Salts helfen nicht gegen Wörterbuchangriffe und bei so vielen Datensätzen
    > (irgendwo stand was von 5 Millionen?) sollte es leicht sein, genug
    > Passwörter a la "hallo123" zu finden, mit denen man dann schnell
    > "Zugangsdaten von 1000en Accounts" hat.

    Doch, genau dagegen helfen Salts, siehe Salt (Kryptologie) und Rainbow Table: Gegenmaßnahmen.

    Bilden wir ein vereinfachtes Beispiel:
    Du hast zehn Millionen Datensätze einer Userdatenbank abgegriffen, enthalten u.a. Username und Passwort-Hash. Ein häufig genutztes Passwort ist "asdf", auf dieses willst du prüfen. Wenn kein Salt verwendet wurde, berechnest du einmal den Hash von "asdf" und vergleichst mit den Einträgen. Wo sie übereinstimmen, kannst du "asdf" als Passwort verwenden, das betrifft vielleicht einige Hundert oder Tausend User, die du durch simples Abgleichen findest.
    Falls aber Salts verwendet werden (logischerweise einer für jeden Datensatz), funktioniert das nicht, da der Hash von Salt+Passwort gespeichert wird. Wenn du nun alle User finden wolltest, bei denen du das Passwort "asdf" nutzen könntest, müsstest du für jeden Datensatz Salt+"asdf" hashen und dann vergleichen. Der Rechen-Aufwand steigert sich also ganz gewaltig.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  14. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 18.01.11 - 21:38

    Hast du auch mal andere Passwörter getestet? Vielleicht findet ja gar keine Prüfung statt?

    Oder die nehmen als Hashfunktion einfach die (iterierte) binäre Quersumme, Chance von 1/2, sich erfolgreich mit einem zufälligen Passwort bei fremden Accounts einzuloggen. :-D

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  15. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 08:47

    > Oder die nehmen als Hashfunktion einfach die (iterierte) binäre Quersumme

    Whoa mal ganz langsam mit den Fachbegriffen - ansonsten blamierst du dich noch.
    Weisst du denn eigentlich was "iterieren", was "binär" is und was eine Quersumme ist? Nein? Dachte ich mir.

    > Chance von 1/2, sich erfolgreich mit einem zufälligen Passwort bei fremden
    > Accounts einzuloggen. :-D

    Öh ... in deiner genannten Vorgehensweise - eher nicht, nein. Die Wahrscheinlichkeit dürfte recht niedrig sein und mit der Länge des Passworts sinken, trotzdem erreicht sie niemals 50%, das hast du dir ausgedacht. Naja, bei einem Passwort mit 2 Bit stimmt das, ja.

  16. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 09:11

    > Der Rechen-Aufwand steigert sich
    > also ganz gewaltig.

    Nur dann wenn der Salt geheim bleibt. Ist er einmal bekannt verringert er den Schlüsselraum ebenso "gewaltig" und ermöglicht ein Brechen des Passworts in einem Bruchteil der Zeit - ein einziger SQL-Inject würde schon reichen, man ist vollständig von der Sicherheit des CMS abhängig ... ne danke, da dreh ich lieber die erforderte Passwortkomplexität hoch

  17. Re: einfach passworthashes überschreiben?

    Autor: bärtiger_Spieler 19.01.11 - 09:15

    Zumal man für jedes (!) Passwort einen eigenen Salt nutzen muss, ansonsten kann man über Differentialbildung aller Hashes den Salt und danach die Passwörter oder gültige Äquivalente rekonstruieren

  18. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 09:28

    Lustig, wo ich nochmal drüber nachdenke, ist tatsächlich ein Fehler in meiner Überlegung. Leider in einer ganz und gar anderen Richtung, als du gedacht hast.

    > > Oder die nehmen als Hashfunktion einfach die (iterierte) binäre
    > Quersumme
    >
    > Whoa mal ganz langsam mit den Fachbegriffen - ansonsten blamierst du dich
    > noch.

    Nun, die Fachbegriffe kenne ich, insofern ist eine Blamage aus dieser Richtung nicht zu erwarten.

    > Weisst du denn eigentlich was "iterieren",

    Wiederholt anwenden. Extra für dich: Iteration.

    > was "binär" is und was eine

    In diesem Kontext ist logischerweise das binäre Zahlensystem gemeint. Extra für dich: Dualsystem.

    > Quersumme ist?

    Die Summe der Ziffern einer Zahl. Dabei hängt die Quersumme natürlich von der Darstellung ab. Extra für dich: Quersumme.

    > Nein? Dachte ich mir.

    Denken scheint bei dir wohl Glückssache.

    > > Chance von 1/2, sich erfolgreich mit einem zufälligen Passwort bei
    > fremden
    > > Accounts einzuloggen. :-D
    >
    > Öh ... in deiner genannten Vorgehensweise - eher nicht, nein. Die
    > Wahrscheinlichkeit dürfte recht niedrig sein und mit der Länge des
    > Passworts sinken, trotzdem erreicht sie niemals 50%, das hast du dir
    > ausgedacht. Naja, bei einem Passwort mit 2 Bit stimmt das, ja.

    Du bist eben nicht sehr helle: Was ist denn die iterierte binäre Quersumme? Man nehme das Passwort als Binärzahl, bilde daraus die (binäre) Quersumme und wiederhole das Ganze, bis nur noch eine Binär-Ziffer übrig ist.

    Jetzt der lustige Teil (und mein Denkfehler): Die iterierte binäre Quersumme ist für alle in unserem Kontext möglichen Zahlen, die nicht null sind, 1, bei null ist sie 0*. Bei zufällig ausgewählten Passwörtern steigt die Wahrscheinlichkeit mit steigender Passwortlänge also auch noch.

    * Beweis: Dass für die Null (egal, wie viele Nullen) die Quersumme 0 ist, ist trivial. Sei also n eine Zahl mit mindestens einer 1 in ihrer Binärdarstellung. Dann ist die (nicht-iterierte) Quersumme nicht 0, aber kleiner als n. Insbesondere hat sie wieder mindestens eine 1 in ihrer Binärdarstellung. Bei wiederholter Anwendung (iteriert) der Quersumme kommt also garantiert nach endlichen vielen Schritten eine Zahl heraus, die in ihrer Binärdarstellung eine Ziffer lang ist und mindestens eine 1 enthält – diese Bedingung erfüllt aber nur die 1. q.e.d.

    Natürlich gibt es trotzdem eine Möglichkeit, auf die gewünschten 50% Wahrscheinlichkeit zu kommen: Einfach alle Bits zusammenXORen. Extra für dich: XOR-Gatter/Kontravalenz

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  19. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 09:31

    > Zumal man für jedes (!) Passwort einen eigenen Salt nutzen muss, ansonsten
    > kann man über Differentialbildung aller Hashes den Salt und danach die
    > Passwörter oder gültige Äquivalente rekonstruieren

    Natürlich muss man für jedes Passwort einen eigenen Salt nutzen, genau das habe ich doch auch geschrieben (Quelle):
    > (logischerweise einer für jeden Datensatz)

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  20. Re: einfach passworthashes überschreiben?

    Autor: GodsBoss 19.01.11 - 09:39

    > > Der Rechen-Aufwand steigert sich
    > > also ganz gewaltig.
    >
    > Nur dann wenn der Salt geheim bleibt. Ist er einmal bekannt verringert er
    > den Schlüsselraum ebenso "gewaltig" und ermöglicht ein Brechen des
    > Passworts in einem Bruchteil der Zeit - ein einziger SQL-Inject würde schon
    > reichen, man ist vollständig von der Sicherheit des CMS abhängig ... ne
    > danke, da dreh ich lieber die erforderte Passwortkomplexität hoch

    Nein, auch bei bekannten Salts (bei den mir bekannten CMSen werden die ohnehin da gespeichert, wo auch die Hashes gespeichert werden, wer Zugriff auf die Hashes hat, hat normalerweise auch Zugriff auf die Salts) ist der Rechenaufwand höher. Hast du mein Beispiel nicht gesehen? Ohne Salts machst du eine Wörterbuchattacke gegen alle Accounts gleichzeitig, mit Salts musst du das für jeden Account einzeln machen. Dafür werden Salts benutzt. Ihre Aufgabe ist nicht das Erschweren des Herausfindens eines einzelnen Passworts.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Ditzingen
  2. Kassenärztliche Bundesvereinigung, Berlin
  3. Landeshauptstadt Stuttgart, Stuttgart
  4. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-30%) 41,99€
  2. (-57%) 12,99€
  3. 42,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Wie man Mitarbeiter mitnimmt
Change-Management
Wie man Mitarbeiter mitnimmt

Wenn eine Firma neue Software einführt oder Prozesse digitalisiert, stößt sie intern oft auf Skepsis. Häufig heißt es dann, man müsse "die Mitarbeiter mitnehmen" - aber wie?
Von Markus Kammermeier

  1. Digitalisierung in Deutschland Wer stand hier "auf der Leitung"?
  2. Workflows Wenn Digitalisierung aus 2 Papierseiten 20 macht
  3. Digitalisierung Aber das Faxgerät muss bleiben!

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

Ikea Trådfri im Test: Das preisgünstige Smart-Home-System
Ikea Trådfri im Test
Das preisgünstige Smart-Home-System

Ikea beweist, dass ein gutes Smart-Home-System nicht sündhaft teuer sein muss - und das Grundprinzip gefällt uns besser als bei Philips Hue.
Ein Test von Ingo Pakalski

  1. Ikea Trådfri Fehlerhafte Firmware ändert Schaltverhalten der Lampen
  2. Fyrtur und Kadrilj Ikeas smarte Rollos lernen Homekit
  3. Trådfri Ikeas dimmbares Filament-Leuchtmittel kostet 10 Euro