symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Google als Passwort-Cracker
Veröffentlicht durch XTaran am Samstag 24. November 2007, 12:42
Aus der schnellen-aber-unzuverlässigen Abteilung
Security flyingfischer schreibt: "Interessanter Blog-Eintrag in dem beschrieben wird, wie Google als Passwort-Cracker eingesetzt werden kann. Eine Google-Recherche mit einem MD5-Hash kann, falls das Passwort ein gebräuchliches Wort ist, den entsprechenden Klartext liefern... Weiterhelfen bei "vergessenen" Passwörten ;-) kann auch http://md5.rednoize.com/ (siehe Kommentar im Blog-Eintrag)."

Bruce Schneier kommentierte kurz und bündig: Clever.

Gratis WLAN in der Stadt Bern | Druckausgabe | CLT: Nacht der freien Filme  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Was ist ein Weblog bzw. Blog?
  • Blog-Eintrag
  • Google-Recherche mit einem MD5-Hash
  • http://md5.rednoize.com/
  • Clever
  • Mehr zu Security
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Alt und schlecht (Score:0)
    Von Anonymer Feigling am Saturday 24. November 2007, 19:07 MEW (#1)
    Wer für Passphrasen einfach MD5/SHA-1 oder was auch immer nimmt, der gehört sowieso erschossen. Man muss aus sehr offensichtlichem Grund mindestens noch Salz hinzufügen. Die gängigen Unix-Systeme nutzen zudem mehrere Runden, also nicht einfach einmal MD5, weil es eben recht einfach ist, MD5 über ein Wörterbuch laufen zu lassen und damit in wenigen Minuten quasi jeden Account mit schwachem Passwort knacken könnte, sofern der Hashwert bekannt ist. Hängt man ein paar Runden an, macht das beim legitimen Einsatz nichts aus, bei Brute-Force macht es dagegen einen signifikanten Unterschied.

    Letztlich sind schwache Passphrasen - gewöhnlich einzelne Wörter - immer um Größenordnungen schlechter als gute Passphrasen, egal wie aufwendig das Hash- oder Verschlüsselungsverfahren ist. Deshalb ist eigentlich die Wahl der Passphrase auch immer wichtiger als die kryptographischen Details. Beispielsweise ignorieren die meisten Crack-Verfahren, Zeichen ausserhalb des ASCII-Zeichensatzes. Dort wo Nicht-ASCII kein Problem darstellt, tut man gut daran, diesen Vorteil zu nutzen. Man sollte aber nicht so dumm sein, anzunehmen, es kämen nur englische Wörterbücher zum Einsatz oder das einfach anhängen von Ziffern, brächte einen signifikanten Vorteil. Also "Heinz5" oder "Jihad"
    hat John geknackt bevor der Kaffee fertig ist.
    Re: Alt und schlecht (Score:-1, Offtopic)
    Von Anonymer Feigling am Sunday 25. November 2007, 13:22 MEW (#2)
    o rly.
    Re: Alt und schlecht (Score:-1, Offtopic)
    Von Anonymer Feigling am Sunday 25. November 2007, 13:34 MEW (#3)
    yrly
    Re: Alt und schlecht (Score:-1, Offtopic)
    Von Anonymer Feigling am Sunday 25. November 2007, 15:04 MEW (#4)
    zrlz
    Re: Alt und schlecht (Score:-1, Offtopic)
    Von Anonymer Feigling am Sunday 25. November 2007, 20:18 MEW (#6)
    no wai!1
    Re: Alt und schlecht (Score:0)
    Von Anonymer Feigling am Saturday 15. December 2007, 23:22 MEW (#14)
    ihr seid doch alle geisteskrank ;)
    Re: Alt und schlecht (Score:2)
    Von gurix (gurix AFFENSCHWANZ bluewin PUNKT ch) am Monday 26. November 2007, 12:09 MEW (#9)
    (User #664 Info) http://www.markusgraf.ch
    hmm... dann könntest du fast die ganze Informatik erschiessen. He ich kenne sogar noch einen, der Klartextpasswörter in die Datenbank speichert! Mich schauderts nur schon beim Gedanken daran.
    --
    Unterwegs symlinken? iPod Touch machts möglich.
    http://www.markusgraf.ch
    Re: Alt und schlecht (Score:2)
    Von P2501 am Monday 26. November 2007, 13:50 MEW (#11)
    (User #31 Info) http://www.p2501.ch/

    Naja, eigentlich sind die Hashes nur ein letzter Rettungsversuch für den Fall, dass die Katastrophe bereits eingetreten ist, und jemand Unbefugtes Zugriff auf die gespeicherten Passworte erhalten hat.

    Bei gewissen Loginverfahren ist es auch gar nicht möglich, die Passworte als Hashes zu speichern. Ein Beispiel hierfür ist CHAP, welches in der Schweiz zur Authentifizierung von DSL-Verbindungen verwendet wird.


    --
    Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.
    Re: Alt und schlecht (Score:0)
    Von Anonymer Feigling am Monday 26. November 2007, 18:24 MEW (#12)
    Das ist immerhin noch besser als sie base64-kodiert zu speichern. Denn so kann man im Zweifel schnell sehen, dass sie im Klartext gespeichert werden, da dies nicht vertuscht wird. Die Gefahr bei falsch angewandten Verfahren ergibt vor allem auch dadurch, dass man sich in Sicherheit wiegt und dann andere zusätzliche Massnahmen leichtfertig ignoriert.
    Md5 rednoize (Score:2)
    Von Pasci am Sunday 25. November 2007, 19:23 MEW (#5)
    (User #1968 Info) http://www.dev4u.ch
    Auf der Seite steht: Search in 48,448,474 () md5/sha1 hashes.

    Es gibt 16^32 Kombinationen fuer einen Md5 Hash.. Also so ca. 3.4E38 Moeglichkeiten..

    Die erfassten Kombinationen sind nicht mal "die Spitze des Eisberges".. Wohl viel eher das Verhaeltnis Eiswuerfel zu Gletscher..
    Super fb22998b4e5aa691bbb7a5f0baa8a3e4 (Score:0)
    Von Anonymer Feigling am Sunday 25. November 2007, 20:26 MEW (#7)
    Wenn ich wüsste wie man rednoize einen Hash antrainiert, dann würde ich meine verschlüsselte Partition da hochladen. Dann brauche ich mir noch den MD5-Hash notieren und gut is. Ich seh grad, man muss die Daten nur in das Eingabefeld einfügen und dann auf "switch mode" klicken.
    Re: Super fb22998b4e5aa691bbb7a5f0baa8a3e4 (Score:2)
    Von Pasci am Sunday 25. November 2007, 20:53 MEW (#8)
    (User #1968 Info) http://www.dev4u.ch
    Gute Idee.. Nur leider schneidet rednoize nach 32 Zeichen ab.. Und ich denke dein Backup ist groesser als 32 Zeichen.. Sonst kannst du dir gleich das Backup auf den Zettel notieren..
    Re: Super fb22998b4e5aa691bbb7a5f0baa8a3e4 (Score:0)
    Von Anonymer Feigling am Monday 26. November 2007, 12:31 MEW (#10)
    Glaubst du auch MD5 sei der beste Kompressionalgorithmus aller Zeiten oder haben wir dich da falsch verstanden?
    Re: Super fb22998b4e5aa691bbb7a5f0baa8a3e4 (Score:0)
    Von Anonymer Feigling am Monday 26. November 2007, 18:29 MEW (#13)
    Nein. Ja. Von Komprimierung habe ich nicht gesagt. Ich muss mir aber nur den Schlüssel merken, um an meine Daten zu kommen, weil diese beim Betreiber der Seite gespeichert werden. Ich gehe mal davon, dass die Daten nicht überschrieben werden, selbst wenn es jemand hinbekommt, eine Kollision mit meinem Schlüssel herbeizuführen. Als kein bKAaZ.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen