Ist Datei sicher? - Seite 2

Basti · 03.04.2008, 11:42

Zitat:

Zitat von mepeisen

Zitat:

Zitat von Basti

Whow, du kannst zaubern! Aber erklär dich. Wie bekommt man den Salt raus, wenn man den Hash nicht kennt?

Ne nitt zaubern, das ist binäre Logik

Es ist wie ich sagte relativ einfach. Die Betonung ist aber auf dem Wörtchen "relativ". Du brauchst nur zwei Konstanten im System, wofür du ggf. das System selbst nutzen kannst. Bei einer Webseite ist das relativ einfach, weil du dort ja meist selbst einen Account erstellen kannst. Alternativ macht man ein Trial-and-Error Spielchen, um einen Account mit Passwort zusammenzubringen. Sobald du diesen Account mit Passwort hast, hast du bereits eine Zuordnung. Hashes lassen sich zurückrechenn und dort beziehst du den Salt als Variable X ein. Nun wieder mit verschiedenen Salts ein Trial-and-Error-Spielchen und wenn wieder ein (nun neues) Passwort passt, hast du viele andere mögliche Salts eliminiert. Das machst du nun solange bis ein Salt übrig bleibt. Kommt jetzt auf den Algorithmus an, der dem Salt zugrunde liegt. Mag auch sein, dass es vielen Hackern oder Freizeithackern zu aufwändig ist, aber es gibt genug Tools, die sowas können.

Ich glaube, wir reden aneinander vorbei. Du hast geschrieben, „dass es ziemlich leicht ist, den Salt herauszufinden, selbst wenn man die Datei mit den verschlüsselten Passwörtern nicht zur Hand hat“. okay: Mein Passwort sei „paul“. Wie ist der Salt?

Zitat:

Zitat von Basti

Nicht, dass ich es deswegen schlecht reden will, aber diese Massnahme für den Fall, dass ein Angreifer bereits zumindest teilweise ins System eingestiegen ist fällt dann eben in die Kategorie Schadensbegrenzung.

Wenn man etwas Ausdauer mitbringt und Bot-Netzwerke tun dies teilweise, kann man das ganze bereits ohne vorher ins System eingedrungen zu sein.

Wie kommt der Angreifer denn an den Hash, ohne ins System einzudringen?

Und was die Verschlüsselung angeht: Es gibt halt für beide Verfahren Vor- und Nachteile: Verschlüsselung bedeutet, dass jeder, der auf die Datenbank und den Algorithmus und ggf. das Salz Zugriff hat, die Passwörter auch ermitteln kann (die ja i.d.R. bei Benutzern im Web die selben sind, die sie z.B. auch für ihr E-Mail-Konto nutzen, dessen Adresse direkt daneben in der Datenbank steht). Klar, diese Leute haben normalerweise auch eh Zugriff auf den Datenverkehr, auch wenn der per SSL verschlüsselt wird. Prüfsumme bedeutet, dass das nicht möglich ist, birgt aber die Gefahr einer Kollision. Aber die ist bei Passwörtern mit ein paar vorgegebenen Zeichen (man will bei Webanwendungen ja nicht, dass sich der benutzer plötzlich in seinem Indien-Urlaub nicht mehr einloggen kann – ohne Copy and Paste der einzelnen Sonderzeichen) von i.d.R. nicht mehr als 10 Zeichen länge nicht realistisch.

@Jojo:
Habs verstanden. Und doch, klar ergibt das einen neuen Algorithmus.

Basti

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
große Datei öffnen	Jann Hendrik	Tools, Server, Betriebssysteme	13	05.05.2008 07:47
Datei über FTP-Funktionen erstellen	Jan	PHP-Programmierung	1	08.03.2007 20:36
Mit Applet Datei per ftp uploaden	Tago	Desktop-Applikationen und Grafik	3	09.09.2005 18:17
Textausgabe in Datei	obiwankenobi	Allgemeine Java-Programmierung	2	09.05.2005 12:51
Java findet Datei nicht	Niki_Tesla	Allgemeine Java-Programmierung	14	14.12.2004 22:31

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken