Passwort vergessen ?

Fragen zu allen Themen rund ums Programmieren außerhalb von phpBB können hier gestellt werden - auch zu anderen Programmiersprachen oder Software wie Webservern und Editoren.
Antworten
Benutzeravatar
eiskuh
Mitglied
Beiträge: 67
Registriert: 18.02.2005 17:11

Beitrag von eiskuh »

D@ve hat geschrieben: Sorry, aber MD5-Verschlüsselung IST quasi Klartext. Per Lexicon-Attack knackst Du ein nichtkryptisches MD5-Passwort in ner halben Minute. Für kryptische Passwörter braucht man per Bruteforce auch nicht soooo viel länger. Spich: Auch eine lange User/Passwortliste mit MD5-Hashes lässt sich in wenigen Tagen komplett knacken, wenn man weiß wie...

Gruß, Dave
Hmm - also in einer halben Minute? Bevor du das machen kannst, musste jedoch schon 200GB an Daten produziert haben, damit du durch Vergleichen das passende Ursprungsbild findest.

Meinst Du diese Art von knacken: http://www.antsight.com/zsl/rainbowcrack/ ?

naja, nehmen wir halt 1024 Bit... viel Spaß beim Regenbogen berechnen ;)
Nach oben
Benutzeravatar
Blutgerinsel
Mitglied
Beiträge: 1801
Registriert: 19.07.2004 18:53
Wohnort: Landkreis Ulm
Kontaktdaten:
Kontaktdaten von Blutgerinsel

Beitrag von Blutgerinsel »

D@ve hat geschrieben: Sorry, aber MD5-Verschlüsselung IST quasi Klartext. Per Lexicon-Attack knackst Du ein nichtkryptisches MD5-Passwort in ner halben Minute. Für kryptische Passwörter braucht man per Bruteforce auch nicht soooo viel länger. Spich: Auch eine lange User/Passwortliste mit MD5-Hashes lässt sich in wenigen Tagen komplett knacken, wenn man weiß wie...
md5 gilt als relativ sicher da es eine 128 Bit Verschlüsselung beinhaltet
man würde 2^60 Versuche benötigen und das soll schnell gehen?
Lass dir mal die Zahl im Rechner anzeigen....

ersetzt man md5 durch SHA-1 haben wir eine 160 Bit Verschlüsselung, bei welcher man 2^80 Versuche benötigen würde.
Und die Zahl wird noch vieeel größer

Und nun hat man noch 200 User wo man eine solche Liste generieren möchte....Na dann viel Spass :D

B2T:

Code: Alles auswählen

function create_pw($length=7,$num=true,$spec=true)
	{
		$gen_pass=array
		('letters' => 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz',
		'numbers' => '0123456789',
		'specials' => '!"§$%&/()=?'*+';

                 $pass=$gen_pass['letters'];
		if ($num)
			$pass.=$gen_pass['numbers'];
		if ($spec)
			$pass.=$gen_pass['specials'];
		for($i=0;$i<$length;$i++)
			$newpw.=$pass[mt_rand(0,strlen($pass)-1)];
		return $newpw;
	}
echo create_pw();
Nach oben
Benutzeravatar
D@ve
Ehemaliges Teammitglied
Beiträge: 3842
Registriert: 28.08.2002 19:33
Wohnort: Bretzfeld
Kontaktdaten:
Kontaktdaten von D@ve

Beitrag von D@ve »

mm - also in einer halben Minute? Bevor du das machen kannst, musste jedoch schon 200GB an Daten produziert haben
Wie kommst Du bitte auf 200 GB? Ich hab hier ein DB für ne Lexikon Attack die hat keine 50 MB (inklusive Tipp-Fehler-Wörtern)...
naja, nehmen wir halt 1024 Bit... viel Spaß beim Regenbogen berechnen
Ich weiß nicht, was Du mit "Regenbogen berechnen" meinst, aber der MD5-Hash HAT nunmal keine 1024 Bit und daran kann man nunmal auch nichts ändern.
man würde 2^60 Versuche benötigen und das soll schnell gehen?
ca 98% aller User verwenden Nicht-kryptische Passwörter ein Lexikon hat in etwa 50.000 Einträge, lass es mal 500.000 sein, wenn man verschiedene Groß- und kleinschreibung berücksichtigt und 500.000 Schleifendurchläufe mit einem einfachen Vergleich sind nix... und für das Admin-Passwort lohnt es sich auch mal den Rechner zwei Tage anzulassen... :D

Gruß, Dave
There are only 10 types of people in the world: Those who understand binary, and those who don't
Nach oben
Benutzeravatar
eiskuh
Mitglied
Beiträge: 67
Registriert: 18.02.2005 17:11

Beitrag von eiskuh »

Na wenn nen Admin kein kryptisches nimmt, ist er selbst schuld ;)

Und mit den 98% magste sicher recht haben... für den rest dann Brute Force (Oder besser Rainbow-Cracking: http://www.antsight.com/zsl/rainbowcrack/ )

Na dann kann sich ja nun jeder Admin dran machen, und die Passwörter der Benutzer rausknacken - wie öde ~gähn~
Nach oben
Benutzeravatar
Blutgerinsel
Mitglied
Beiträge: 1801
Registriert: 19.07.2004 18:53
Wohnort: Landkreis Ulm
Kontaktdaten:
Kontaktdaten von Blutgerinsel

Beitrag von Blutgerinsel »

D@ve hat geschrieben: ca 98% aller User verwenden Nicht-kryptische Passwörter ein Lexikon hat in etwa 50.000 Einträge, lass es mal 500.000 sein, wenn man verschiedene Groß- und kleinschreibung berücksichtigt und 500.000 Schleifendurchläufe mit einem einfachen Vergleich sind nix... und für das Admin-Passwort lohnt es sich auch mal den Rechner zwei Tage anzulassen... :D
1.) Ich bin nicht die Allgemeinheit
2.) Wer sagt das ich Bruteforcer nicht temporär ausperre? Soviel öffentliche Proxyserver gibt es nicht wie ein Mister X brauchen würde das PW zu bekommen.
3.) Es soll Leute geben die in variablen Zeitpunkten einfach ihre Passwörter ändern.....
4.) Soll es Leute geben die Passwörter weder aufbewahren noch irgendwie mit der Person verbunden sind.....

Die Pw laufend zu ändern regt das Gedächnis an und mit einer kleinen Formel kann man sich z.B. X Passwörter auf einen Zettel schreiben.
Ohne den Schlüssel und die Formel die man sich im Geiste bewahrt ist es eine belanglose Information ohne Nutzwert
Nach oben
Benutzeravatar
D@ve
Ehemaliges Teammitglied
Beiträge: 3842
Registriert: 28.08.2002 19:33
Wohnort: Bretzfeld
Kontaktdaten:
Kontaktdaten von D@ve

Beitrag von D@ve »

2.) Wer sagt das ich Bruteforcer nicht temporär ausperre? Soviel öffentliche Proxyserver gibt es nicht wie ein Mister X brauchen würde das PW zu bekommen
Es ging hier um Verschlüsselung. Das heißt eine Bruteforce direkt übers Web ist hier garnicht relevant da ist es ja dann auch wurscht ob und wie verschlüsselt würde.
Verschlüsselung geht nur davon aus, das jemand in Besitz eines Passwortes oder der ganzen Liste kommt und dann ist es auch vollkommen egal, ob Du auf Deinem Webspace BF-Attacken abblocken kannst.

Gruß, Dave
There are only 10 types of people in the world: Those who understand binary, and those who don't
Nach oben
Antworten

Zurück zu „Coding & Technik“