Login Script - ist es sicher?

Diskutiere Login Script - ist es sicher? im Web & Grafik Forum im Bereich Internet & Telekomunikation Forum; Naja. Zwar haben Chinesen mal eine theoretische Analyse eines Kollisionsangriffes gezeigt, aber afaik haben sie nur den Rechenraum signifikant...
Neues Thema erstellen Antworten
  • Login Script - ist es sicher? Beitrag #21
haxor

haxor

Bekanntes Mitglied
Dabei seit
20.05.2006
Beiträge
4.802
Reaktionspunkte
0
Ort
mein eigenes kleines königreich
the ubm schrieb:
MD5 ist in Bezug auf die Kollisionsresitenz nicht mehr sicher, d.h. man kann durch ein rechnerisches Verfahren eine 2. Nachricht finden, die denselben MD5 Hash zur Folge hat.
Zum salted hash: Er bringt nicht nur ein wenig mehr, sondern sehr viel mehr. Es gibt zahlreiche Seiten auf denen man sich Regenbogentabellen (Rainbowtables) für MD5 runterladen kann. Damit findet man das Passwort ruckzuck. Das ist aber kein Problem von MD5 auch für SHA-1 oder SHA-512 lassen sich solche Tabellen erstellen. Hier kommen dann die gesalzenen Hashes (salted) ins Spiel. Im Prinzip wird dadurch das Passwort durch einen festen Wert verlängert. Die Anzahl der möglichen Kombinationen steigt dadurch rasant an und es können praktisch nicht mehr solche Tabellen erzeugt werden.
Zum Vergrößern anklicken....

Naja. Zwar haben Chinesen mal eine theoretische Analyse eines Kollisionsangriffes gezeigt, aber afaik haben sie nur den Rechenraum signifikant verkleinert. Ich habe das Verfahren bisher nicht in der Anwendung gesehen - was nicht bedeuten muss, dass es dafür keine Algorithmen gibt. Ich halte MD5 für den Enduser nach wie vor für ausreichend sicher, insbesondere wenn der Hash erneut mit MD5 verschlüsselt wird und danach evtl noch salted in der DB abgespeichert wird (so macht es vBulletin auch).
Auch gegen SHA - 1 wurden übrigens ein solcher Kollisionsangriff vor geraumer Zeit publik gemacht.
Zu guter Letzt noch etwas zu den Rainbowtables - zum einen braucht es einiges an Zeit, diese zu erstellen, zum anderen ist kaum ein sicheres Passwort in diesen Listen enthalten. Das sich Passwörter damit ruck zuck finden ließen entspricht nicht den Tatsachen.
 
  • Login Script - ist es sicher? Beitrag #22
the ubm

the ubm

Senior Moderator
Dabei seit
29.05.2005
Beiträge
9.464
Reaktionspunkte
1
Stimmt schon, Rainbowtables enthalten in den seltensten Fällen Sonderzeichen, aber genauso tun das die Passwörter von Standardnutzern. Wenn die Passwörter in den Tabellen sind, hat man diese innerhalb weniger Minuten. Es gibt sogar Seiten an die man den Hash übermitteln kann und wenige Minuten später erscheint dann das Passwort.
Die Tabellen sind ja größtenteils schon erstellt, die größte, die mir bekannt ist, hat 64 GB. Damit lässt sich schon einiges finden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Neues Thema erstellen Antworten
Thema:

Login Script - ist es sicher?

ANGEBOTE & SPONSOREN

https://www.mofapower.de/

Neueste Beiträge

Statistik des Forums

Themen
213.180
Beiträge
1.579.174
Mitglieder
55.879
Neuestes Mitglied
stonetreck
Oben