Passwort wie sicher ?

Moesli

goes Linux

Registered: Sep 2002
Location: Salzburg
Posts: 1328

01.10.2005 - 10:11

Code: PHP

<?  

$password = 'superpasswort';
$newpassword = crypt($password, "CRYPT_MD5");     

echo "original:   ",$password;  echo "<br>";  
echo "crypt:     ",$newpassword;

$string = md5($newpassword);  echo "<br>";    
echo "MD5:       ";  echo $string;          

?>

habt ihr eine ahnung wie lange man ca. braucht um ^^ diese passwortverschlüsselungsmethode mittels scritp zu entschlüsseln ?

pong

Addicted

Registered: Oct 2001
Location: Wien (ned im Kra..
Posts: 414

01.10.2005 - 12:08

Eine md5 Hash? Nunja... ewig triffts ziemlich genau, solangst Bruteforce von Anfang an ausschließ

pong

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12146

01.10.2005 - 12:12

Ohne Salt mit einer dictionary-based attack nicht allzu lange, wenn das Passwort schwach ist. Da hilft dir auch die tollste Hashfunktion nicht. Bruteforce laut einem kuerzlich veroeffentlichten jap. Paper glaube ich etwa runde 2^70 Versuche (bei MD5).

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

01.10.2005 - 13:22

md5 is keine Verschlüsselung sondern ein Hash, also kannst du maximal eine Zeichenfolge bekommen die den gleichen Hash erzeugt, kannst aber nie wissen ob das die "echte" Zeichenfolge ist. Dazu musst du aber den Hash kennen - andernfalls kannst du nur mit Dictionary, oder Brute-Force ran.

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14736

01.10.2005 - 13:30

wobei wenn ma sich 95% der passwörter anschaut braucht ma nur mal alle geburtsdaten von 1.1.01 - 31.12.99 && 01.01.1901 - 31.12.2005 und dann noch 1 - 10000000 durchlaufn lassn... wenn ma dann noch mitm dictionary drauf geht bleibt nimmer viel über... die leute machn sich viel zu wenig gedanken drüber...

add: geht natürlich nur wenn ma den hash im idealfall scho kennt. weil wenn da ein brute force schutz drauf ist wirds natürlich mühsam....

Moesli

goes Linux

Registered: Sep 2002
Location: Salzburg
Posts: 1328

02.10.2005 - 13:06

Zitat von watchout
md5 is keine Verschlüsselung sondern ein Hash, also kannst du maximal eine Zeichenfolge bekommen die den gleichen Hash erzeugt, kannst aber nie wissen ob das die "echte" Zeichenfolge ist. Dazu musst du aber den Hash kennen - andernfalls kannst du nur mit Dictionary, oder Brute-Force ran.

verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,...

DJ_Cyberdance

Here to stay

Registered: Jun 2002
Location: Vesterålen
Posts: 1838

02.10.2005 - 13:10

Zitat von Moesli
verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,...

Egal, welcher Algorithmus verwendet wird, prinzipiell ist eine zufällig gewählte Kombination aus Groß- und Kleinbuchstaben sowie Zahlen UND Sonderzeichen am besten. Länge: Meiner persönlichen Meinung nach reichen 8 Zeichen, aber je nach Paranoia könnens auch mehr sein...

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

02.10.2005 - 14:01

Zitat von Moesli
verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,...

Naja, wenn du Pech hast bringt "a" das selbe Ergebnis wie ein 30 stellen langes kompliziertes Alphanumerisches Passwort mit Sonderzeichen und all dem...

tomstig

OC Addicted

Registered: Nov 2003
Location: /home/tomstig/
Posts: 1341

05.10.2005 - 09:29

Wenn du dir ganz sicher sein willst, baust halt ein Anti-Brutforcing ein...

Skript gibts zb hier

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6562

05.10.2005 - 09:52

Ich kenn mich mit dem Thema zwar nicht wirklich aus, aber auf MD5 Hashes würd' ich nicht mehr setzen.

Astalavista.net (wo ich Mitglied bin) hat vorigen Sommer ein sehr interessantes PDF über MD5-Hashes veröffentlicht, zwar sehr mathematisch und ich hab nix kapiert, aber so mancher Cracker wohl schon...

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

05.10.2005 - 10:55

Ich kenn das PDF nicht, und will auch garnicht wissen warum du Mitglied dort bist wenn du kein Schimmer von dem Thema hast... aber soviel kann ich sagen:

"Entschlüsseln" kann man nur einen MD5-Hash wenn man den Hash überhaupt hat (.) Das is so und lässt sich sicher nicht ändern. Zusätzlich bezieht sich dieses "Entschlüsseln" nur darauf dass man einen String erhält, der den gleichen Hash liefert, aber eben nicht der ursprüngliche String sein muss.

Verbunden mit der Tatsache, dass man auf nem Linux Rechner nur als Root überhaupt die passwd-Files lesen kann, fragt sich - wozu die noch entschlüsseln wenn man doch eh' schon root ist. Wenn ein Hacker mal so weit gekommen ist, sollte man vielleicht das root-pw von "god" auf was anderes stellen

Moesli goes Linux Registered: Sep 2002 Location: Salzburg Posts: 1328	01.10.2005 - 10:11 Code: PHP `<? $password = 'superpasswort'; $newpassword = crypt($password, "CRYPT_MD5"); echo "original: ",$password; echo "<br>"; echo "crypt: ",$newpassword; $string = md5($newpassword); echo "<br>"; echo "MD5: "; echo $string; ?>` habt ihr eine ahnung wie lange man ca. braucht um ^^ diese passwortverschlüsselungsmethode mittels scritp zu entschlüsseln ?
pong Addicted Registered: Oct 2001 Location: Wien (ned im Kra.. Posts: 414	01.10.2005 - 12:08 Eine md5 Hash? Nunja... ewig triffts ziemlich genau, solangst Bruteforce von Anfang an ausschließ pong
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12146	01.10.2005 - 12:12 Ohne Salt mit einer dictionary-based attack nicht allzu lange, wenn das Passwort schwach ist. Da hilft dir auch die tollste Hashfunktion nicht. Bruteforce laut einem kuerzlich veroeffentlichten jap. Paper glaube ich etwa runde 2^70 Versuche (bei MD5).
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	01.10.2005 - 13:22 md5 is keine Verschlüsselung sondern ein Hash, also kannst du maximal eine Zeichenfolge bekommen die den gleichen Hash erzeugt, kannst aber nie wissen ob das die "echte" Zeichenfolge ist. Dazu musst du aber den Hash kennen - andernfalls kannst du nur mit Dictionary, oder Brute-Force ran.
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14736	01.10.2005 - 13:30 wobei wenn ma sich 95% der passwörter anschaut braucht ma nur mal alle geburtsdaten von 1.1.01 - 31.12.99 && 01.01.1901 - 31.12.2005 und dann noch 1 - 10000000 durchlaufn lassn... wenn ma dann noch mitm dictionary drauf geht bleibt nimmer viel über... die leute machn sich viel zu wenig gedanken drüber... add: geht natürlich nur wenn ma den hash im idealfall scho kennt. weil wenn da ein brute force schutz drauf ist wirds natürlich mühsam....
Moesli goes Linux Registered: Sep 2002 Location: Salzburg Posts: 1328	02.10.2005 - 13:06 Zitat von watchout md5 is keine Verschlüsselung sondern ein Hash, also kannst du maximal eine Zeichenfolge bekommen die den gleichen Hash erzeugt, kannst aber nie wissen ob das die "echte" Zeichenfolge ist. Dazu musst du aber den Hash kennen - andernfalls kannst du nur mit Dictionary, oder Brute-Force ran. verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,...
DJ_Cyberdance Here to stay Registered: Jun 2002 Location: Vesterålen Posts: 1838	02.10.2005 - 13:10 Zitat von Moesli verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,... Egal, welcher Algorithmus verwendet wird, prinzipiell ist eine zufällig gewählte Kombination aus Groß- und Kleinbuchstaben sowie Zahlen UND Sonderzeichen am besten. Länge: Meiner persönlichen Meinung nach reichen 8 Zeichen, aber je nach Paranoia könnens auch mehr sein...
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	02.10.2005 - 14:01 Zitat von Moesli verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,... Naja, wenn du Pech hast bringt "a" das selbe Ergebnis wie ein 30 stellen langes kompliziertes Alphanumerisches Passwort mit Sonderzeichen und all dem...
tomstig OC Addicted Registered: Nov 2003 Location: /home/tomstig/ Posts: 1341	05.10.2005 - 09:29 Wenn du dir ganz sicher sein willst, baust halt ein Anti-Brutforcing ein... Skript gibts zb hier
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6562	05.10.2005 - 09:52 Ich kenn mich mit dem Thema zwar nicht wirklich aus, aber auf MD5 Hashes würd' ich nicht mehr setzen. Astalavista.net (wo ich Mitglied bin) hat vorigen Sommer ein sehr interessantes PDF über MD5-Hashes veröffentlicht, zwar sehr mathematisch und ich hab nix kapiert, aber so mancher Cracker wohl schon...
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	05.10.2005 - 10:55 Ich kenn das PDF nicht, und will auch garnicht wissen warum du Mitglied dort bist wenn du kein Schimmer von dem Thema hast... aber soviel kann ich sagen: "Entschlüsseln" kann man nur einen MD5-Hash wenn man den Hash überhaupt hat (.) Das is so und lässt sich sicher nicht ändern. Zusätzlich bezieht sich dieses "Entschlüsseln" nur darauf dass man einen String erhält, der den gleichen Hash liefert, aber eben nicht der ursprüngliche String sein muss. Verbunden mit der Tatsache, dass man auf nem Linux Rechner nur als Root überhaupt die passwd-Files lesen kann, fragt sich - wozu die noch entschlüsseln wenn man doch eh' schon root ist. Wenn ein Hacker mal so weit gekommen ist, sollte man vielleicht das root-pw von "god" auf was anderes stellen

Passwort wie sicher ?

Forum Index > Software > Coding Stuff

Moesli

pong

COLOSSUS

watchout

semteX

Moesli

DJ_Cyberdance

watchout

tomstig

mr.nice.

watchout