Wie sicher ist deine Verschlüsselung?

  • Rinu hat da Recht, klar ist das heftig, aber nicht bei MD5 da bist du im Millionenbereich(generierter hashesh) pro Sekunde(und das mit einfacher Hardware) - Frage der Zeit.


    edit: verbessert


    MD5 hat man innerhalb weniger Sekunden mit Online-Decoder entschlüsselt.

  • soweit ich weiss, greifen diese Onlinedecorder meisst nur eine eine datenbank zu wo viele Passwörter einfach nur als hash und als rein form abgespeichert sind.
    Solche decoder kannte ich zumindestens bisher.

  • Wer noch ein mal sagt, man könne MD5-Hashes in Sekunden brute forcen... :rolleyes:


    6c9ff91a0ded5e58706e50416c30e1f9


    Der erste bekommt vom mir Resident Evil 6 für PC ;)


    Edit: Da es ab 18 ist, musst ihr das natürlich auch sein ;)

  • Wenn man nicht entschlüsselt werden will sollte man wie WBB verschlüssen.


    Auch WBB nutzt nur einen Hash-Algorithmus.


    Dass sich Desktop und Server Hardware in großen Teilen unterscheidet ist humbug. Es sind die gleichen Technologien.


    Natürlich, mir ist schon klar dass Server nicht auf Eierlikörbasis laufen ;) Nur ist halt die Ressourcenverteilung anders.


    Hier geht es auch vor allem darum, diese Zeit zu verlängern, damit die User Zeit haben ihre Passwörter zu ändern, aber auch der Angreifer braucht z.B. imense Hardware um einen 8 Zeichen langen Scrypt Hash zu Brutforcen.


    Das brauchte man am Anfang bei jedem Algorithmus. Und "immense Hardware" hat sich durch lastenverteilung wie bei einem Botnetz ohnehin erledigt. Außerdem kann es keine Herangehensweise sein, seinen eigenen Server extrem zu belasten, nur damit das Hacker auch machen müssen.


    Die Tabelle oben veranschauchlicht es.


    Traue keiner Tabelle die du nicht selber angelegt und gemessen hast. Es ist nichtmals angegeben wo die Kosten genau entstehen. Bei einer derartigen Intransparenz brauch man sich da nicht drauf zu verlassen. Sieht schön aus, aber mir persönlich reicht das an Angaben nicht um ein abschließendes Urteil zu fällen.


    wo untermauerst eigentlich DU deine Thesen?


    :rolleyes:


    greifen diese Onlinedecorder meisst nur eine eine datenbank zu wo viele Passwörter einfach nur als hash und als rein form abgespeichert sind.


    Exakt. Hash-Algorithmen sind sicher, nur wachsen immer größere, online geführte Datenbanken, die einfach nur alle möglichen Kombinationen beinhalten. Deswegen sind diese Mechanismen auch "unsicher", auch wenn das oft falsch verstanden wird. Einen hash-Algorithmus kann man nicht knacken oder entschlüsseln wie hier mehrfach behauptet. Nur wird es halt mit der Zeit immer leichter, immense Datenmengen zum Vergleich anzulegen, welche dann bei einem Vergleich Aufschluss über die eigentliche Eingabe geben.

  • Ich hätte auch gerne mal ein solches Progrmam gesehen, dass MD5-Hashes so schnell knackt. Laut dem Programm hier:
    http://www.timwarriner.com/software/md5brute.html


    Würde es ca. 32tsd. Jahre dauern, bis eines meiner typischen Passwörter erraten werden würde. Letztlich hängt es doch von dem Passwort ab, wie schnell es gebrutet wird. Mit "123456" kommt man natürlich nicht weit, mit "UdJa3iblaf.²" schon eher.

  • Wenn ein Hacker an eine DB rankommt, wo 3 verschiedene Salts drinliegen und das Passwort 512 Zeichen hat, dann ist es doch beinahe unmöglich das Prinzip dahinter zu erkennen.

  • Würde es ca. 32tsd. Jahre dauern, bis eines meiner typischen Passwörter erraten werden würde. Letztlich hängt es doch von dem Passwort ab, wie schnell es gebrutet wird. Mit "123456" kommt man natürlich nicht weit, mit "UdJa3iblaf.²" schon eher.


    nach 32 stunden habe ich alle passwörter einer angegebenen Liste geknackt.
    d.h. ich kann in eine liste 1 Passwort schreiben und habe es spätestens nach 32 stunden gekackt oder aber ich schreibe 1000 rein und habe sie nach 32 Stunden geknackt


    zudem:

    Zitat

    To try every combination of the (English) lowercase alphabet for words up to 8 letters in length can take over 35 hours on a P4 2.8Ghz HT


    Mitlerweile sind dir Prozessoren sogar schneller geworden und ein Programm was mehr als 4 Threads unterstützt beispuelsweise 8 für nen 8 kerner wäre noch schneller fertig.

  • @Andrzejxy':
    Kaliber:


    Sind mehrere Wörter und Satzzeichen, mehr sage ich nicht ;)
    Um es aber fair zu halten, es sind unter 30 Zeichen, einmal gehasht, wenn ich mich nicht verzählt habe ;)


    Wenn interesse besteht, löse ich sonst am 17.ten auf, ich bin dann nämlich ein paar Tage weg ^^

  • Finde gut das es so einen Thread mal gibt.


    Wäre es denn sicher das password mit:
    umzudrehen, base64_encode,umdrehen,base64_encode,hash,umdrehen,hash, md5, hash,hash2


    zu speichern? Meiner Meinung nach Ja oder? Ist zwar übertrieben aber naja... lieber zu viel als zu wenig..


    // Edit: Verschlüsselungsarten mal raus genommen

    Mit freundlichen Grüßen
    Developer
    Go/Python Developer | ehm. Webdeveloper | Fachinformatiker Anwendungsentwicklung
    Arbeitet in einem cloudigen Umfeld bei einem der größten deutschen Rechenzentrumsbetreibern

  • Sind mehrere Wörter und Satzzeichen, mehr sage ich nicht
    Um es aber fair zu halten, es sind unter 30 Zeichen, einmal gehasht, wenn ich mich nicht verzählt habe


    Charset, genaue Länge? Ansonsten zwar kein Ding der Unmöglichkeit, aber unmöglich in Hinsicht auf Dauer, da die meisten Rainbow Table Ketten nur 10 Zeichen lang sind.
    Stimme dir also zu. :)


  • Charset, genaue Länge? Ansonsten zwar kein Ding der Unmöglichkeit, aber unmöglich in Hinsicht auf Dauer, da die meisten Rainbow Table Ketten nur 10 Zeichen lang sind.
    Stimme dir also zu. :)

    Ich gebe dir einen Pattern :P


    qwertzuiopasdfghjklyxcvbnmQWERTZUIOPASDFGHJKLYXCVBNM0123456789,;.:-_+*~'#!"§$%&/()=?`´


    Genaue Länge gibt es nicht, ich kann es aber noch weiter eingrenzen... 15 bis 30 Zeichen ;)


    Mit einer Rainbow Table kommst du nicht weit, da ein Wort eher ein Ausruf ist, den ich in meinen Lexika nicht finde :thumbup:

  • Das Problem liegt doch eher bei den Nutzern. Denn würden Passwörter wie "123456" oder "Password" nicht die Beliebtesten Passwörter sein, und sich die Leute an die Ratschläge halten die man ihnen immer und immer wieder gibt das sie ordentliche Passwörter nutzen sollen, dann hätten es die Leute die das Ganze Brutforcen oder whatever wollen nicht ganz so einfach. Meist ist man ja sogar mit Raten schneller.
    Ich persönlich bevorzuge aber nen Mix aus MD5, Whirlpool, Salt und nem kleinen eigenen Algorithmus. Und solange man die Reihenfolge, den Salt und den Algorithmus nicht hat kann man auch mit Brutforcen nich viel anrichten.

    The fact is, I am right. And if you think I'm wrong, you are wrong.

  • Ich persönlich bevorzuge aber nen Mix aus MD5, Whirlpool, Salt und nem kleinen eigenen Algorithmus. Und solange man die Reihenfolge, den Salt und den Algorithmus nicht hat kann man auch mit Brutforcen nich viel anrichten.


    also ist die mögliche Reihenfolge die ich oben genannt habe soweit Brutforce sicher?


    umzudrehen, base64_encode,umdrehen,base64_encode,hash,umdrehen,hash, md5, hash,hash2

    Mit freundlichen Grüßen
    Developer
    Go/Python Developer | ehm. Webdeveloper | Fachinformatiker Anwendungsentwicklung
    Arbeitet in einem cloudigen Umfeld bei einem der größten deutschen Rechenzentrumsbetreibern

  • Passwörter entschlüsseln? Schwachsinn.
    Mit Bruteforce einen Hash eines langen Passwort (32 Zeichen aufwärts) zu "erraten" und das richtige Passwort dabei zu haben? Kann schon unwahrscheinlich sein.
    Ein Passwort (16 Zeichen aufwärts) von einem mehrfach gehashten Passworthash mit BruteForce "erraten"? Grenzt an die Unmöglichkeit. Warum? Ganz einfach, es kann bis dahin auch bereits eine Kollision entstanden sein. Ab da meint das BruteForce Programm man hätte das richtige Passwort geknackt, dabei hat man nur ein unrelevantes Passwort und könnte sich nur bei diesem Service dann einloggen. Hätte natürlich keinen Sinn, denn wenn ich schon die Datenbank dazu habe, warum sollte ich mir dann ein Passwort bruteforcen wenn ich den Hash doch einfach auf ein beliebiges neues abändern kann.


    Btw. MD5 war auch niemals wirklich dazu gedacht Passwörter zu "verschlüsseln". Sondern nur um zwei Werte auf Gleichheit abzuprüfen. Das man jetzt erst hier auf die Idee kommt, dass es große Datenbanken dazu gibt wundert mich.
    Wer sicherer sein will nutzt SHA512 mit einem Salt. Damit sollten die Passwörter der User "unknackbar" sein. (vorerst)

  • also ist die mögliche Reihenfolge die ich oben genannt habe soweit Brutforce sicher?

    Ich bin sicher kein experte in sowas, aber wenn der angreifer die reihenfolge kennt kann er das auch dementsprechend nachbauen. Wenn er es nicht kennt, grenzt es, wie fnL schon sagte, an unmöglich die richtige Reihenfolge zu finden.

    The fact is, I am right. And if you think I'm wrong, you are wrong.

  • Denn würden Passwörter wie "123456" oder "Password" nicht die Beliebtesten Passwörter sein


    Wenn dort steht, bitte tragen sie ihr Passwort ein, kann man das auch falsch verstehen, deswegen tippen viele auch "Passwort" ein.


    Zu oft erlebt. :D

    "Bevor ich mir Informationen aus der "Bild" hole,
    werde ich anfangen, Wahlergebnisse danach vorauszusagen,
    neben welchen Busch unsere Katze gepinkelt hat."

    Margarete Stokowski


  • Dürfte ich nen Tipp bekommen, welches Programm ich da verwenden soll?
    Brutus geht nicht :(

  • do.de - Domain-Offensive - Domains für alle und zu super Preisen