phpBB.de

Kann man ein 8stelliges MD5-Passwort mit Zahlen und Buchstaben entschlüsseln?

Kellergeist2 hat geschrieben:

Turuex hat geschrieben:[...] aber im nachhinein wäre es echt informativ, zumal die meisten user hier selbst ja auch phpbb verwenden, und vermutlich auch neugierig sind, wo wie und was pasiert ist, und ob das bei ihnen auch passiert. [...]

Ich bin mir sicher, dass das phpBB.de-Team auch diese Information nachträglich zur Verfügung stellen wird.
Immerhin haben sie auch sofort die Existenz einer solchen (bereits behobenen) Lücke bekanntgegeben.

Jedoch sollten wir nicht schon Morgen oder Übermorgen nachfragen, da die Ermittlungen etwas länger dauern können/werden.

Zu gegebener Zeit wird das Team sicher einen Nachtrag zu der Ankündigung schreiben.

Nur Geduld.

das ist klar.
wow, der erste der mich nicht gleich ankackt, und mir sagt, dases nicht an phpbb liegt
danke.

ich lasse mir gerne zeit, aber diese infos sind viel wert.

und jetzt weiss ich, das ich bei phpbb.de am richtig ort bin, da sind wenigstens leute, die n angriff bemerken

Schorschi hat geschrieben:Muss ich mir Sorgen über noch mehr Spam machen?

Im schlimmsten Falle ja, denn deine E-Mail-Adresse geistert durchs Netz. Ich würde sie stilllegen und mir eine neue anlegen.

Ihr müsst euch im Klaren sein, dass niemand derzeit weiß, was mit den nun offenen Daten geschieht. Momentan ist da viel denkbar.

...ist nicht sowieso alles zu spät und der Inhalt der hier angegeben @mail-Adresse sowieso schon ausgelesen ? - @Mail-Adresse beerdigen ?,
oder was ist jetzt Sinnvolles zu tun ?
...mmh

mr. gamesbay hat geschrieben:

FCM hat geschrieben:

mr. gamesbay hat geschrieben:Von welches Sicherheitslücke wird nun geredet?
Schön, es lag nicht an phpBB Forum, aber an was lag es?!
Könnt ihr uns bitte endlich mehr infos geben.

Geh mal auf Seite ... ähm ... achja, geh auf Seite 21 und mach deine Augen auf. Am besten liest du dir die Seite von Anfang an durch.

Hier werden im Minutentakt nachrichten geschrieben als ich vorhin auf Antwort geklickt habe, war die msg. noch nicht da.

Danke für die Info.

Achso, entschuldigung. Zu spät ist es nicht, jetzt werden Gegenmaßnahmen getroffen. Sicherheitslücken gefixt, die Benutzer ändern die Passwörter usw.

Christophe hat geschrieben:

Turuex hat geschrieben:Ich selbst verwende 4 PHPBB2 Boards, welche alle über eine gemeinsamme Usertabelle verfügen.
(...)
zumal ich mir ein bisschen sorgen jetzt mache, um meine foren.

Wenn dir die Sicherheit der Passwörter am Herzen liegt, d.h. der Aufwand, den man betreiben muss um an ein Passwort zu gelangen, nachdem der Server kompromittiert wurde, dann würde ich auf phpBB3 umsteigen. Die Passwortsicherheit hat sich dort um einiges erhöht.

Ich habe mir die Funktion mal angeschaut. Derzeit verstehe ich nicht den Sinn darin den Salt bzw. die MD5 Funktion x mal zu generieren und zurückrechnen zu können etc.

Faktisch geht es doch nur darum einen zufälligen String dem Passwort hinzuzufügen, damit der md5-String in der Datenbank alleine nicht nützlich ist.

Kann mir mal jemand die Mehrsicherheit dahinter erklären?

ThoRr hat geschrieben:Kann man ein 8stelliges MD5-Passwort mit Zahlen und Buchstaben entschlüsseln?

Ja. Ohne große Zeitverzögerung. (Sofern du das Rekonstruieren eines Passwortes meinst, dessen MD5-Hash vorliegt)

Für Spam empfiehlt sich www.spamgourmet.com . Kannte ich leider nicht, als ich mich hier angemeldet habe. Hab aber bis jetzt noch nichts gekriegt. Ich denke, die spammen erstmal die User mit den meisten Beiträgen zu.

FCM hat geschrieben: Achso, entschuldigung. Zu spät ist es nicht, jetzt werden Gegenmaßnahmen getroffen. Sicherheitslücken gefixt, die Benutzer ändern die Passwörter usw.

Kein Thema, die Gemüter hier sind zurzeit ein wenig erregt. ^^

ThoRr hat geschrieben:Kann man ein 8stelliges MD5-Passwort mit Zahlen und Buchstaben entschlüsseln?

MD5 Hashs sind immer 32 Stellig. Egal wie groß die Ursprungswerte waren.

Generell kann man jedes Passwort herrausbekommen, man muss es nur oft genug probieren. Bei Buchstaben Zahlen-Kombis hat man 26 +26+ 10 = 64 Möglichkeiten pro Stelle also 64hoch8 Möglichkeiten, das entspricht 281.474.976.710.656 Möglichkeiten die du alle ausprobieren müsstest um das Passwort Garantiert zu haben. Jedoch kann schon der 5 Versuch der Volltreffer sein.

Je länger, abstrakter und komplizierter ein Passwort ist um so länger dauert die "Ausprobier"-Variante