phpBB.de

@closett

da liegst du komplett falsch

erstens hat niemand behauptet das man nicht systematisch eine Zeichenfolge finden kann die den selben Hash-wert liefert.

Aber md5 kann nicht geknackt werden und man kann es auch nicht entschlüsseln.

Sondern man versucht nur eine 2te Zeichenfolge zu finden die den selben Hashwert ergibt das muss aber nicht unbedingt die selbe zeichenfolge sein.

Je länger die zeichenfolge ist die du suchst desto warscheinlicher ist das die vom programm zurückgelieferte zeichenfolge gar nicht mit der eigentlichen Übereinstimmt sondern nur den selben hash wert ergibt.

Es ist zwar bei md5 festgelegt das 2 zeichenfolgen die ungefähr gleich groß sind nie den selben hash ergeben sollten(erst wenn die Textlänge mehr möglichkeiten der Zeichenfolge ergibt als es bei der 32yte langen hash summe sollte es 2deutige hashwerte geben. aber es ist nicht festgelegt das eine 8byte lange zahl nicht zufällig den selben wert ergeben kann wie in 20Seiten langer text

man muss dir zwar zur gute halten das hier alles Klugscheisserei ist weil hier alle nur auf die von dir underen verwendeten begriffe rumhacken in Prinzip hastde ja recht nur hast du es falsch formuliert.



@Kellergeist2 du hast komplett und richtig erfasst das einzige ist dein Theoretisch denn auch Praktisch knackt man jede Verschlüsselung es ist nur eine frage von Grips Technik und Zeit

man muss dir zwar zur gute halten das hier alles Klugscheisserei ist weil hier alle nur auf die von dir underen verwendeten begriffe rumhacken in Prinzip hastde ja recht nur hast du es falsch formuliert.

Das wollte ich hören. Mit dem anderen hast du natürlich recht.
Hauptsache am Ende kennt mna das richtige passwort.

Julian

Kellergeist2 hat geschrieben: Per Brute-Force knackt man (theoretisch) jede Art der Verschlüsselung, es kommt halt nur auf die Rechenleistung und Zeit an.

Theoretisch könnten schweine fliegen. man mus abwägen was halbwegs realistisch ist und was nicht. und nein,
gesaltene Passwörter kann man(praktisch) nicht über Brute-Force herausfinden.

gesalzene Passwörter? was soll das sein

Lol das der Blödsinn nen eigenen namen wustde ich net
Bei wiki steht z.b. das es nur erschwerend wirkt aber verhindert tut es das nicht weder praktisch noch theoretisch. Oftmals wird sogar der algorythmus zum Knacken so umgestellt das sich die zufallszahl rausgekürzt wird und beim Brute-Force knacken wirkt sie auch nur dann störend wenn ich nicht über die eingabemaske des Programms gehe.
und zufallszahlen werden schon seit ewigkeiten zu erschwerung eingesetzt und dennoch stellen diese meisst fast kein problem dar.

Also realistisch erschwerend aber nicht unmöglich

Skippy hat geschrieben:Lol das der Blödsinn nen eigenen namen wustde ich net

Code: Alles auswählen

Theoretisch könnten schweine fliegen. man mus abwägen was halbwegs realistisch ist und was nicht. und nein, 
gesaltene Passwörter kann man(praktisch) nicht über Brute-Force herausfinden.

Bei wiki steht z.b. das es nur erschwerend wirkt aber verhindert tut es das nicht weder praktisch noch theoretisch. Oftmals wird sogar der algorythmus zum Knacken so umgestellt das sich die zufallszahl rausgekürzt wird und beim Brute-Force knacken wirkt sie auch nur dann störend wenn ich nicht über die eingabemaske des Programms gehe.
und zufallszahlen werden schon seit ewigkeiten zu erschwerung eingesetzt und dennoch stellen diese meisst fast kein problem dar.

Also realistisch erschwerend aber nicht unmöglich

Ich bin zwar kein Deutschkünstler aber deine Gramatik versteht man kaum.
1)
Eine Eingabemaske ist normalerweise mit einer Flood-Kontrolle versehen oder wie bei phpBB mit den maximalen Loginversuchen. Daher ist es nicht möglich über sie ein Brute-Force durchzuführen.
2)
Wenn es einem Angreifer gelingt sich in die Datenbank zu hacken und so die Hashes lokal zu speichern nützt ihm das gar nichts selbst wenn er zusätzlich die beigemengten Zufallszahlen hat, denn er weiß nicht mit welchem Algorythmus diese beigemengt wurden.

Da es generell unmöglich nicht gibt -> momentan praktisch unmöglich

Fennias Maxim hat geschrieben:

Killer-Man hat geschrieben:

Apotemnophiliac hat geschrieben:man könnte auch einfach die umwandlung der passwörter in md5 ausbauen...

Brauch man nicht! md5 kann man schon entschlüsseln, man braucht dafür nur einen starken Rechner und je nach paßwortlänge viel viel zeit

Viel Zeit? Ein sechstelliges alphanummerischen passwort mit grossen und kleinen Lettern mit 6 Zeichen braucht nur wenige minuten. Und länger sind die meisten Passwörter unerfahrener Admins nicht. ich hatte mal einen Admin dessen PW hatte grade mal 4 kleinbuchstaben. Das ist in 42ms geknackt.

Closet: Ich überbiete dich!

wer will kann mir seinen hash geben der aus 6 stellen und allen zeichen bis auf Sonderzeichen besteht und ihr habt ihn binnen weniger Minuten in klartext.

Aber damit du das Passwort von einem Admin haben willst. müsstest die erstmal in die MySQL einloggen damit du die Hash bekommst. Damit du dich da einlogge nkannst brauchst auch wieder ein Passwort. Dafür müsstest du dich dann bei mir erstmal bei Funpic einhacken. Also wenn der Admin es nicht machr wirds erstmal richtig schwer.

@Fennias Maxim
Wenn man mal Serveranwednungen absieht an die man keinen direkten zugriff hat sondern lokale Anwendung nimmt stellt dieses z.b. Null Problem da denn irgendwo im Arbeitsspeicher oder der Festplatte wird dann halt ne Zahl hochgezählt dies zu verhindern oder immer Rückgängig zu machen stellt nich mal für nen Script-Kiddy ein Problem da.
Sobald ich eine Version des Programmes habe habe ich auch den algorythmus ein bespiel wo das z.b. sehr gut funktioniert ist winrar
das bei seiner passwort funktion auch auf zusätzlich zufallszahlen setzt

Hi!

Skippy hat geschrieben:Aber md5 kann nicht geknackt werden

Das hat man bei MD4 (oder WEP *scnr*) auch mal gesagt. wäre er nicht tot würde ich dir empfehlen mit Hans Dobbertin über MD5 zu sprechen.

Skippy hat geschrieben: @Kellergeist2 du hast komplett und richtig erfasst das einzige ist dein Theoretisch denn auch Praktisch knackt man jede Verschlüsselung es ist nur eine frage von Grips Technik und Zeit

Ähm -- nein.
Versuch das mal auf One-Time-Pad anzuwenden

Bei wiki steht z.b. das es nur erschwerend wirkt aber verhindert tut es das nicht weder praktisch noch theoretisch. Oftmals wird sogar der algorythmus zum Knacken so umgestellt das sich die zufallszahl rausgekürzt wird und beim Brute-Force knacken wirkt sie auch nur dann störend wenn ich nicht über die eingabemaske des Programms gehe.
und zufallszahlen werden schon seit ewigkeiten zu erschwerung eingesetzt und dennoch stellen diese meisst fast kein problem dar.

Also realistisch erschwerend aber nicht unmöglich

Sie sollen ja auch nur Angriffe über z.B. Rainbow-Tables verhindern...

Aber damit du das Passwort von einem Admin haben willst. müsstest die erstmal in die MySQL einloggen damit du die Hash bekommst. Damit du dich da einlogge nkannst brauchst auch wieder ein Passwort. Dafür müsstest du dich dann bei mir erstmal bei Funpic einhacken. Also wenn der Admin es nicht machr wirds erstmal richtig schwer.

Nun, um den Passwort-Hash eines Users zu bekommen reicht ja "schon" eine passende Angriffsfläche für SQL-Injections -- da reicht ein unsauber gecodeter Mod(oder ein unsauber gecodetes Script dass auf die Gleiche DB zugriff hat )

cu

Daniel