phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Passwort vergessen ?

https://www.phpbb.de/community/viewtopic.php?t=92992

Seite 2 von 2

Verfasst: 18.07.2005 17:21
von eiskuh
D@ve hat geschrieben: Sorry, aber MD5-Verschlüsselung IST quasi Klartext. Per Lexicon-Attack knackst Du ein nichtkryptisches MD5-Passwort in ner halben Minute. Für kryptische Passwörter braucht man per Bruteforce auch nicht soooo viel länger. Spich: Auch eine lange User/Passwortliste mit MD5-Hashes lässt sich in wenigen Tagen komplett knacken, wenn man weiß wie...

Gruß, Dave
Hmm - also in einer halben Minute? Bevor du das machen kannst, musste jedoch schon 200GB an Daten produziert haben, damit du durch Vergleichen das passende Ursprungsbild findest.

Meinst Du diese Art von knacken: http://www.antsight.com/zsl/rainbowcrack/ ?

naja, nehmen wir halt 1024 Bit... viel Spaß beim Regenbogen berechnen ;)

Verfasst: 19.07.2005 12:26
von Blutgerinsel
D@ve hat geschrieben: Sorry, aber MD5-Verschlüsselung IST quasi Klartext. Per Lexicon-Attack knackst Du ein nichtkryptisches MD5-Passwort in ner halben Minute. Für kryptische Passwörter braucht man per Bruteforce auch nicht soooo viel länger. Spich: Auch eine lange User/Passwortliste mit MD5-Hashes lässt sich in wenigen Tagen komplett knacken, wenn man weiß wie...
md5 gilt als relativ sicher da es eine 128 Bit Verschlüsselung beinhaltet
man würde 2^60 Versuche benötigen und das soll schnell gehen?
Lass dir mal die Zahl im Rechner anzeigen....

ersetzt man md5 durch SHA-1 haben wir eine 160 Bit Verschlüsselung, bei welcher man 2^80 Versuche benötigen würde.
Und die Zahl wird noch vieeel größer

Und nun hat man noch 200 User wo man eine solche Liste generieren möchte....Na dann viel Spass :D

B2T:

Code: Alles auswählen

function create_pw($length=7,$num=true,$spec=true)
	{
		$gen_pass=array
		('letters' => 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz',
		'numbers' => '0123456789',
		'specials' => '!"§$%&/()=?'*+';

                 $pass=$gen_pass['letters'];
		if ($num)
			$pass.=$gen_pass['numbers'];
		if ($spec)
			$pass.=$gen_pass['specials'];
		for($i=0;$i<$length;$i++)
			$newpw.=$pass[mt_rand(0,strlen($pass)-1)];
		return $newpw;
	}
echo create_pw();

Verfasst: 19.07.2005 16:47
von D@ve
mm - also in einer halben Minute? Bevor du das machen kannst, musste jedoch schon 200GB an Daten produziert haben
Wie kommst Du bitte auf 200 GB? Ich hab hier ein DB für ne Lexikon Attack die hat keine 50 MB (inklusive Tipp-Fehler-Wörtern)...
naja, nehmen wir halt 1024 Bit... viel Spaß beim Regenbogen berechnen
Ich weiß nicht, was Du mit "Regenbogen berechnen" meinst, aber der MD5-Hash HAT nunmal keine 1024 Bit und daran kann man nunmal auch nichts ändern.
man würde 2^60 Versuche benötigen und das soll schnell gehen?
ca 98% aller User verwenden Nicht-kryptische Passwörter ein Lexikon hat in etwa 50.000 Einträge, lass es mal 500.000 sein, wenn man verschiedene Groß- und kleinschreibung berücksichtigt und 500.000 Schleifendurchläufe mit einem einfachen Vergleich sind nix... und für das Admin-Passwort lohnt es sich auch mal den Rechner zwei Tage anzulassen... :D

Gruß, Dave

Verfasst: 19.07.2005 17:39
von eiskuh
Na wenn nen Admin kein kryptisches nimmt, ist er selbst schuld ;)

Und mit den 98% magste sicher recht haben... für den rest dann Brute Force (Oder besser Rainbow-Cracking: http://www.antsight.com/zsl/rainbowcrack/ )

Na dann kann sich ja nun jeder Admin dran machen, und die Passwörter der Benutzer rausknacken - wie öde ~gähn~

Verfasst: 20.07.2005 13:52
von Blutgerinsel
D@ve hat geschrieben: ca 98% aller User verwenden Nicht-kryptische Passwörter ein Lexikon hat in etwa 50.000 Einträge, lass es mal 500.000 sein, wenn man verschiedene Groß- und kleinschreibung berücksichtigt und 500.000 Schleifendurchläufe mit einem einfachen Vergleich sind nix... und für das Admin-Passwort lohnt es sich auch mal den Rechner zwei Tage anzulassen... :D
1.) Ich bin nicht die Allgemeinheit
2.) Wer sagt das ich Bruteforcer nicht temporär ausperre? Soviel öffentliche Proxyserver gibt es nicht wie ein Mister X brauchen würde das PW zu bekommen.
3.) Es soll Leute geben die in variablen Zeitpunkten einfach ihre Passwörter ändern.....
4.) Soll es Leute geben die Passwörter weder aufbewahren noch irgendwie mit der Person verbunden sind.....

Die Pw laufend zu ändern regt das Gedächnis an und mit einer kleinen Formel kann man sich z.B. X Passwörter auf einen Zettel schreiben.
Ohne den Schlüssel und die Formel die man sich im Geiste bewahrt ist es eine belanglose Information ohne Nutzwert

Verfasst: 20.07.2005 19:54
von D@ve
2.) Wer sagt das ich Bruteforcer nicht temporär ausperre? Soviel öffentliche Proxyserver gibt es nicht wie ein Mister X brauchen würde das PW zu bekommen
Es ging hier um Verschlüsselung. Das heißt eine Bruteforce direkt übers Web ist hier garnicht relevant da ist es ja dann auch wurscht ob und wie verschlüsselt würde.
Verschlüsselung geht nur davon aus, das jemand in Besitz eines Passwortes oder der ganzen Liste kommt und dann ist es auch vollkommen egal, ob Du auf Deinem Webspace BF-Attacken abblocken kannst.

Gruß, Dave
Alle Zeiten sind UTC+02:00
Seite 2 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de