symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
MD5-Hash-Cracking-Service
Veröffentlicht durch XTaran am Montag 05. Juli 2004, 13:23
Aus der Wir-müssen-Rechenzeit-loswerden Abteilung
Security Auf BugTraq wurde kürzlich der MD5-Hash-Cracking-Service passcracking.com vorgestellt, welcher mittels RainbowCrack-Listen MD5-Hashes für Zeichenketten ohne Salz (also nix mit /etc/shadow knacken :-) aus bis zu 8 kleinen Buchstaben und/oder Zahlen innerhalb von im Schnitt etwa 40 Minuten berechnet (mit der Größe der RainbowCrack-Listen sinkend), allerdings sequentiell. Bisher hat man ein paar Tage auf das Ergebnis warten dürfen, jetzt, nachdem das Projekt am Wochenende geslashdotted wurde, dauert's aber wohl eher Jahre, bis die Queue abgearbeitet ist. ;-)

Copyright-Abgaben auf Computer? | Druckausgabe | Michael Moore für Verbreitung seiner Werke per P2P  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • BugTraq
  • Slashdot
  • Auf BugTraq
  • passcracking.com
  • RainbowCrack
  • geslashdotted
  • Mehr zu Security
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    konkrete Anwendung? (Score:2)
    Von db (001@nurfuerspam.de) am Monday 05. July 2004, 13:57 MEW (#1)
    (User #1177 Info) http://www.bergernet.ch
    für was kann man das brauchen?

    Auf der 'Project RainbowCrack' steht auch nicht wirklich für was es gut ist - ja klar um zu sehen für welchen string die MD5 Summe passt - aber für was brauch ich das, abgesehen von den Unix-passwörtern, die jedoch 'gesalzen' sind?
    Re: konkrete Anwendung? (Score:3, Tiefsinnig)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Monday 05. July 2004, 14:52 MEW (#2)
    (User #129 Info) http://abe.home.pages.de/
    Ich seh's mehr als einen Proof of Concept mit politisch-aufklärerischem Zweck. Dadurch, daß man den Leuten solch einen Service kostenlos anbietet, wird vieler erst bewußt, daß das Knacken von diversen bekannten Verschlüsselungs- oder Hashing-Algorithmen oft recht einfach möglich ist.

    Die konkrete Anwendung ist sozusagen die Seite selbst. Sie informiert durch ihre Existenz.

    --
    There is no place like $HOME
    Re: konkrete Anwendung? (Score:2)
    Von db (001@nurfuerspam.de) am Monday 05. July 2004, 16:36 MEW (#3)
    (User #1177 Info) http://www.bergernet.ch
    ah ok. also so in wie distributed.net RC-72 u.a.
    Re: konkrete Anwendung? (Score:1)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Monday 05. July 2004, 17:01 MEW (#4)
    (User #129 Info) http://abe.home.pages.de/
    Ja, nur halt nedd verteilt. :-)

    --
    There is no place like $HOME
    Re: konkrete Anwendung? (Score:1)
    Von gopher am Monday 05. July 2004, 18:26 MEW (#6)
    (User #1467 Info) http://www.redsheep.de/
    ein salt sorgt dafür, dass das selbe passwort nicht den selben hash ergibt. beim cracken ist das egal (ausser du willst in einer ergebnistabelle nachschauen - die muss dann halt grösser sein)
    -- redsheep.de/
    Re: konkrete Anwendung? (Score:1, Interessant)
    Von Anonymer Feigling am Monday 05. July 2004, 19:15 MEW (#7)
    PHPGroupware/eGroupware z.B. verwendet "ungesalzene" MD5-Hashes (je nachdem - es gibt optional gesalzenes md5crypt()), Windows (und damit Samba) wenn ich mich recht erinnere ein ebenfalls ungesalzenes MD4-Derivat, MySQL m.W. ebenfalls irgendeinen Hash ohne Salt (weiss nicht, welcher gerade aktuell ist - das ist nicht bei jeder Version gleich). Die Applikationen, deren Entwickler nicht begriffen haben, wozu denn diese Salzerei gut sein soll, sind recht verbreitet ...

    Attacken per Hash-Dictionaries sind also ein durchaus realistisches Szenario.
    8 char (Score:1)
    Von gopher am Monday 05. July 2004, 18:25 MEW (#5)
    (User #1467 Info) http://www.redsheep.de/
    bist du dir mit den 8 zeichen sicher? ein md5 hash hat imho 32 byte und eine beschränkung auf 8 zeichen bringt performance-technisch nichts - bei crypt wurde nach 8 zeichen abgeschnitten.
    -- redsheep.de/
    Re: 8 char (Score:2, Informativ)
    Von apple am Tuesday 06. July 2004, 07:57 MEW (#8)
    (User #817 Info)
    es ist wohl notwendig, um die Größe der rainbow-Wörterbuchdateien zu begrenzen.
    Re: 8 char (Score:1)
    Von mirabile (root@[IPv6:2001:6f8:94d:1::1]) am Wednesday 07. July 2004, 09:07 MEW (#9)
    (User #504 Info) http://mirbsd.de/
    Es gibt auch Systeme, die sichere Kryptographie
    (mit Salz) statt MD5 (was schon mehrfach gebrochen
    wurde) verwenden:

    http://www.openbsd.org/papers/bcrypt-paper.ps
    http://www.openbsd.org/papers/bcrypt-slides.ps

    -- 
    Ich bin BSDler, ich darf das!

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen