Beiträge von zabus

hm mehrere header wären wirklich nicht schlecht, würden dann dazu einen Slider einbauen, der das Fadet

Wenn du z.B. mit Notepad++ arbeitest dann verwende die Funktion "Konvertiere zu UTF-8"

http://simonstamm.de/wp-conten…notepad_utf8_ohne_bom.png

edit: verbessert

Auf der heutigen Teamsitzung wurde beschlossen: Antworten zu erlauben. Neue Threads und Antworten müssen aber von den Moderatoren ab jetzt freigeschaltet werden.

Hier eine kleine Statistik was man heute so schafft mit einer GPU*: 5 Milliarden MD5 Hashesh(hab mit meiner Laptop Graka 470 Millionen geschafft, Kollege mit seiner älteren Desktop - 2Milliarden, 5 Milliarden mit einer aktuellen) die Sekunde. Jetzt Hashed euer Passwort mal ohne Salt

Weiters: Wenn jemand in euerem System drinnen ist schaut er sich auch gleich die generierung eures Passworts an, wie Trooper schon sagte hat der Angreifer nicht nur einen PC sondern gleich ein ganzes Botnet.

Also ist es eine Frage der Zeit wie schnell er das Passwort eines Users hat, und geht bitte nicht von 100Zeichen aus die meisten User nutzen das Alphabet + Ziffern mit einer Länge von 6 Zeichen.

Mit Methoden wie Scrypt verlängert ihr nur die Zeit(die auch der User hat um sein PW auf anderen Plattformen/Portalen zu ändern) und um das geht es hier.

@$this->secure(); Hier geht es nicht darum das System noch abzusichern, sondern die Passwörter der User

*Software: http://hashcat.net/oclhashcat-plus/

[DT]Sniper kenne ich leider nicht

@[vRP]rayN lies dir das ganze Thema nochmal durch(in Bezug auf Sniper seine Methode) sniper seinen Post oberhalb von mir und denk nochmal nach....

edit: verbessert

Rinu hat da Recht, klar ist das heftig, aber nicht bei MD5 da bist du im Millionenbereich(generierter hashesh) pro Sekunde(und das mit einfacher Hardware) - Frage der Zeit.

edit: verbessert

[DT]Sniper da muss man zwischen Salt und Pepper unterscheiden, ein Salt ist für jeden User anders und steht meist in der DB. Ein Pepper(was du gerade meinst) wird fix bei jedem PW verwendet und ist an einem sicheren Ort abgelegt. Natürlich gilt: ohne Salt oder Pepper kann er auch nicht dein PW brutforcen --> Rinus Post anschauen.

EDIT: verbessert.

GAS Digital nein mir geht es Allgemein um Passwörter. Es ist fahrlässig die Passwörter nur mit MD5 zu hashen, gab genügend Hackingopfer wo die DB geklaut wurde und der Angreifer alle PWs hatte(in der deutschen SA:MP Szene).

Trooper[Y] ja hätte man mehr hervorheben können, das es sich um Hash Funktionen handelt. Dass sich Desktop und Server Hardware in großen Teilen unterscheidet ist humbug. Es sind die gleichen Technologien. Vor allem bei der CPU und RAM(außer das man ECC RAM bei Servern verwendet) Klar auch scryptverschlüsselte Passwörter können Angreifer in Monaten mit Brutforce Attacken das Passwort rausfinden. Hier geht es auch vor allem darum, diese Zeit zu verlängern, damit die User Zeit haben ihre Passwörter zu ändern, aber auch der Angreifer braucht z.B. imense Hardware um einen 8 Zeichen langen Scrypt Hash zu Brutforcen. Die Tabelle oben veranschauchlicht es.

Es als Unsinn abzustempeln ist auch nicht okay, schau es dir bitte genauer an und Urteile dann.

edit: verbessert
edit2:verbessert

d30af26d @lovelins12 so einfach macht das Scrypt auch nicht, was ihr anwendet ist PBKDF2. Scrypt haut das ganze noch durch ROMix und wieder back.

http://www.tarsnap.com/scrypt/scrypt-slides.pdf hier noch etwas ausführlicher

Eine kleine Veranschaulichung die im PDF von oben zu finden ist:

edit: verbessert

Hallo Leute!

Hier mal ein theoretisches Thema. Es geht um die Passwortverschlüsselung, die meisten von euch werden schon irgendeine Verschlüsselung gebraucht haben um irgendwelche Userpasswörter verschlüsselt zu haben. Sei es MD5, ShaXXX oder sonst was. Ich muss euch allen mitteilen die ihre Passwörter speichern, dass sie es gleich auf Plaintext umstellen können.

Entwickler vs. Angreifer
Der ewige Kampf der Entwickler ihre Systeme abzusichern vor Angreifern, die wider rum versuchen deren Systeme zu Hacken. Kein System ist sicher und wird später oder früher gehackt. Sei es euer unbedeutendes UCP oder das PSN. Wir Entwickler müssen aber die wichtigsten Daten sichern, vor allem die Passwörter der User. Wir als Entwickler müssen bei der Verschlüsselung der Passwörter dem Angreifer keine Vorteile zulassen. Verschlüsselungen werden immer älter doch die Computerhardware erneuert sich von Jahr zu Jahr, somit sollten wir eine Verschlüsselung haben die sich Jahr zu Jahr verbessern. Momentane Verschlüsselungen wie z.B. Sha256 brauchen CPU Power. Der Angreifer kann aber mit der gleichen Hardware nur halt mit der GPU Millionen solcher Passwörter in Sekunden generieren und somit das Passwort(abhängig der Komplexität) in Stunden, Tage, Wochen, Monaten brutforcen. Das einzige Mittel dagegen ist den Usern zu sagen, dass Sie große Komplexe Passwörter verwenden sollten(und verschiedene), das machen wir schon seit 20 Jahren, und trotzdem hilft es nichts.

Die Lösung?
Die Lösung liegt sehr nahe, man darf den Angreifer keinen Vorteil einräumen. Er soll mit der gleichen Hardware die gleichen Bedienungen haben. Und ich als Entwickler soll die Möglichkeit haben, CodeTechnisch Hardwareupgrades leicht entgegenzuwirken. Deshalb lege ich jedem Entwickler der mit solchen Sachen zu tun hat Scrypt ans Herz.

Scrypt? Kann man das essen?
Scrypt wurde genau wegen solchen Brutforce Attacken entwickelt, man will dem Angreifer den großen Vorteil wegnehmen. Scrypt hashed das Passwort immer wieder(so oft man will) man muss dann den Wert immer wieder Cachen, der schnellste Speicher für dies ist der RAM, für jeden weiteren Durchgang brauchen wir also RAM.
PseudoCode: Hash(Hash(Hash(Hash(Hash(STRING))))). Der Angreifer hat mit der gleichen Hardware also keine Chance einen Vorteil rauszuholen. ECC-RAM würde ich dabei empfehlen

Quellen: http://www.tarsnap.com/scrypt.html

Ich habe hier(http://bitcoin.stackexchange.c…ke-tenebrix-gpu-resistant) noch eine tolle Beschreibung gefunden:

Zitat

The scrypt() algorithm has at its core a routine called ROMmix. Basically, it defines

V(1) = hash(message)
V(2) = hash(hash(message))
V(3) = hash(hash(hash(message)))
...
and it calculates

V(V(V(V(...(message))))
Since computing V(n+1) requires computing V(n) first, the most efficient way to do this is to cache all of the previously-computed values. Once you've generated a large enough table, the V(V(V(...))) is just a bunch of lookups.

Caching all the previously computed values requires lots of memory, and since each lookup depends on the previous one it's sensitive to memory latency (although if you're mining you can work on several blocks in parallel and pipeline the requests to get around this).

GPUs can perform far more integer operations per second than a normal CPU, but have roughly the same memory bandwidth/latency as a CPU. So an algorithm that is memory-dominated should "level the playing field" between CPUs and GPUs.

I still don't understand why the Tenebrix folks consider this to be an important goal. It just "equalizes" GPUs and CPUs, but you can still build custom hardware that does scrypt() much faster and cheaper than a CPU. So it's just going from "GPUs are best" to "custom printed circuit boards covered in memory buses are best". Nobody's been able to explain why this change is worth all the trouble.

Alles anzeigen

Für Entwickler hier noch eine tolle GoLang Lib: http://godoc.org/github.com/gebi/scryptauth
PS: Salten auch nicht vergessen

gab es schon oft genug, benutzt die Sufu oder so.

An alle User wir werden bald die unerlaubten Usernamen schon selber über Scripts rausfinden, ihr braucht mir nicht extra dafür PNs schicken.

Breadfish Server ist so wie FabianLP es gesagt hat und warum sollten wir unseren eigenen Chat-Thread nicht anpinnen?

Mit dem Wiki hast du Recht. Ist aber @BlackAce seine Sache

Fazit: Es ist noch immer unsere Entscheidung was wir anpinnen oder nicht, warum man da gleich ne Kritik schreibt und nicht nen mod fragt warum wir was machen, ist mir aber unklar.

/closed

maddin klar, aber du hast auch

DMA, rinukkusu, Mesut, Dudalus, @dead und mich vergessen

edit; verbessert

Closed, wir klären das gerade Intern ab

@.rynn ist es ein Buchstabe des deutschen Alphabets oder eine Ziffer?

Ja auch du musst deinen Benutzername ändern.

@Shain Sollte es jetzt auch nicht geben, da dann doch ein Buchstabe oder Ziffer anders sein müssen

edit: Und nicht nur ein kleines Zeichen das keiner sieht.

Hallo SA-MP Community!

In letzter Zeit häufen sich immer mehr Benutzernamen mit asiatischen Schriftzeichen oder anderen Sonderzeichen. Diese verfehlen den eigentlichen Sinn eines Benutzernames, denn ein Benutzername/Nickname dient zur Identifikation und Wiedererkennung eines Users.

Deshalb hat das Team folgende neue Regelung eingeführt:

Zitat von Speeder

Der Benutzername darf ausschließlich bestehen aus Buchstaben des deutschen Alphabets (d.h. inklusive "ÄÖÜäöüß"), den Ziffern von 0-9, Leerzeichen und den Satzzeichen ".,;:?!'-_/\()[]{}<>@|°§$%&#*~=", soweit diese nicht den Hauptbestandteil des Namens ausmachen.

Ich bitte alle User die von dieser Regelung betroffen sind, ihre Benutzernamen zu ändern. Falls dies nicht geht, weil ihr vor kurzen schon mal einen Nickchange hattet, dann schreibt einen SMOD/Admin an, der euch dann eurn Benutzernamen ändern wird.

Edit: verbessert
edit ([DT]Sniper): neue Regel eingesetzt

Closed - A: Diese Befehle kann man sich schnell aus dem Internet Googlen. B: Falsche Sektion

Zitat

clear
echo "##############################"
echo "# _Allinone Install_ #"
echo "##############################"
echo "# _By:Kyle #"
echo "##############################"

echo "You can start with enter!"
echo "We will remove apache2 and install it again,"
echo "After that we will install php5 and an mysql database"

wait

Alles anzeigen

In dem Script passiert nichts?

edit: verbessert