Passwörter aller Benutzer auslesen, aber wo?

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Gesperrt
Sebastian R.
Mitglied
Beiträge: 328
Registriert: 18.03.2006 23:21
Kontaktdaten:
Kontaktdaten von Sebastian R.

Beitrag von Sebastian R. »

Slyver hat geschrieben:@Roger: Deine Denkweise ist total falsch. Alles was man erzeugen kann kann wieder rückgängig gemacht werden. Das ist in der EDV-Branche gesetzt!
Woher willst du das wissen? Dazu musst du erst mal in der EDV-Branche drin sein. :lol:

Schau mal bei Wikipedia unter Hash: Klick hier!

@Slyver: Wenn du einen Algorithmus entwickelst, mit dem man den Hashwert von MD5 einfach entschlüsseln kann, dann wünsch ich dir viel Spass. Versuchen kann man es ja mal. Das erinnert mich an die kleinen Kinder aus dem Kindergarten, die immer Raketen bauen und damit zum Mond fliegen wollten.
Modeinbau, Banner- und Grafik-Design - gegen einen kleinen Aufpreis! Mail: sebastian@rayloaded.de oder per PN

Rayloaded.de - Your programmers heaven.
Nach oben
Wissler
Mitglied
Beiträge: 227
Registriert: 27.02.2005 14:24

Beitrag von Wissler »

Slyver hat geschrieben:@Roger: Deine Denkweise ist total falsch. Alles was man erzeugen kann kann wieder rückgängig gemacht werden. Das ist in der EDV-Branche gesetzt!
MD5 ist nicht eindeutig!

2390a48092d438v98345 kann 'WortX' aber auch 'DasisteinWort' sein.

D.h. es ist nicht eindeutig das 'Ausgangswort' ermittelbar.
Nach oben
HdZ

Beitrag von HdZ »

Leute schickt das Arbeitsamt...
Also, ich finds eigentlich sehr lustig den Thread, einige erinnern mich an das hier...

Direktes Entschlüsseln gibt es kaum, i. A. wird da eher Social Engineering, Dictionary Attack oder Hybrid Attack verwendet sowie Brute Force.
Desweiteren kennt ein echter Admin (keine Möchte-Gerns) nur sein eigenes Passwort, die anderen sind uninteressant zu wissen, da sie eh geändert werden können im Notfall.

@Slyver, Pathologe: Versucht doch sowas mal in der Firma, da seid Ihr den Job schneller los als Ihr was gefunden habt.
Schon mal was von "EDV-Betrug" bzw. "Computersabotage" gehört?
Nach oben
Luckyze

Beitrag von Luckyze »

hi

jap genau. und wer ne anleitung sucht, kann sich da => script kiddy howto ja mal schlau machen. [ externes Bild ]

so, und nun vertragt euch alle wieder, und habt euch lieb. :)


greetz Luckyze
Nach oben
Benutzeravatar
TK
Mitglied
Beiträge: 70
Registriert: 28.11.2004 14:08
Wohnort: Bremen
Kontaktdaten:
Kontaktdaten von TK

Beitrag von TK »

Wenn dir jemand die Quersumme einer Zahl nennt, kannst du also eindeutig auf die Zahl zurückschließen, aus der die Quersumme gebildet wurde?!? :roll:

Das Prinzip ist mit der MD5-Verschlüsselung vergleichbar, wenngleich der Algorithmus natürlich weitaus komplizierter ist: In der Datenbank wird eben nur quasi die "Quersumme" des Passwortes gespeichert, nicht das PW selbst...

Und so, wie es auch bei der Quersumme mehrere Zahlen gibt, die die gleiche Quersumme ergeben, so gibt es theoretisch auch mehrere "passende" Passwörter zu einem MD5-Hash, bloß dass solche sogenannten "Hash-Kollisionen" durch die Komplexizität des MD5-Algorithmus' unwahrscheinlich werden und vor allem nur sehr sehr schwer errechenbar sind. Aber selbst wenn man es geschafft haben sollte, eine Zeichenfolge zu ermitteln, die den gleichen MD5-Hash ergibt, so hast du immer noch nicht das ursprüngliche Passwort ermittelt, sondern nur eine Zeichenfolge (von mehreren), die den gleichen Hash erzeugt.

Somit könnte man es dann zwar schaffen, sich einzuloggen, aber du hättest immer noch nicht das ursprüngliche PW.


Beispiel - wieder anhand der einfachen Quersumme - zur Verdeutlichung:

Ein (numerisches) Passwort lautet 52396; es wird aber nur die Quersumme 25 in der Datenbank gespeichert...
Wie soll man aber nun wieder auf das Passwort selber zurückschließen können, wenn man nur die Quersumme aus der DB auslesen kann? Denn nicht nur 52396 ergibt die QS 25, sondern eben auch 556441 oder 997 oder 100000000000091111242111 etc. etc. etc.

Es ist also unmöglich, nur mit der Quersumme 25 als Angabe wieder auf die ursprüngliche Zahl 52396 zu kommen...

Und so ist es eben vom Prinzip her auch mit der MD5-Verschlüsselung. Da kannst du dich noch so sehr auf den Kopf stellen und behaupten, dass es geht... 8)
Meine Signatur war zu groß und wurde deshalb gelöscht - Siehe phpBB.de-Knigge
Nach oben
FCM
Mitglied
Beiträge: 1863
Registriert: 03.05.2006 14:47
Kontaktdaten:
Kontaktdaten von FCM

Beitrag von FCM »

Ich finde die ganze Sache einfach dumm. Ich kann mir auch nicht denken, dass deine User wollen, dass du ihr PW weißt. Die meisten Leute haben überall das gleiche Passwort. Dann könntest du in eMail Acccounts von denen, Foren ect. reingehen - unbefugt.

Man klickt >>Passwort vergessen<< und das wars. Ist das so schwierig?
Nach oben
Benutzeravatar
Markus67
Ehrenadmin
Beiträge: 28346
Registriert: 12.01.2004 16:02
Wohnort: Neuss
Kontaktdaten:
Kontaktdaten von Markus67

Beitrag von Markus67 »

Hi ...

ich denke mal es ist jetzt alles wissenswerte gesagt ... sonst artet das hier noch aus :wink:

Markus
Nach oben
Gesperrt

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“