debianforum.de

blan · Beitrag von **blan** » 18.02.2006 16:28:26

hab von nem freund mitbekommen, das mit auf http://passcracking.com/ md5 hashes knacken kann - er hats angeblich scho ausprobiert und es hat funktioniert -> sollte man sich gedaknen machen?

mfg blan

peschmae · Beitrag von **peschmae** » 18.02.2006 16:41:18

Naja, md5 hat ja scheinbar in letzter Zeit einiges an Sicherheit eingebüsst. Aber das Problem hier ist wohl vor allem dass man mit Dictionary-Attacken recht weit kommt weil die Leute zu simple Passwörter verwenden - und das ist als solches ein Problem das recht unabhängig vom verwendeten Hash-Algorithmus ist.

MfG Peschmä

gms · Beitrag von **gms** » 18.02.2006 16:53:39

Gedanken kann (soll) man sich über alles machen.
"brute force", "dictionary" und diverse darauf basierende "crack" Methoden gibt es allerdings schon lange, daher finde ich diesen Link wenig spektakulär.
Sowas kannst du dir auch unter Debian installieren:

Code: Alles auswählen

root@gms1:~# apt-cache search ^john
john - active password cracking tool

Gruß
gms

blan · Beitrag von **blan** » 18.02.2006 16:59:02

das heist, wenn ich ein gutes passwort verwende ist das cracken auch wesentlich schwerer? und sollte man nicht mal mit einem neues algorithmus nachlegen, wenn md5 an sicherheit verloren hat - schließlich kommt md5 ja fast überall vor, sogar in ssl (?) ?

mfg blan

gms · Beitrag von **gms** » 18.02.2006 17:03:48

peschmae hat geschrieben: und das ist als solches ein Problem das recht unabhängig vom verwendeten Hash-Algorithmus ist.

genau, diese Seite könnte genauso über Klartextpassworte arbeiten, die Methode wäre die gleiche, würde allerdings nicht so spektakulär erscheinen. Das dort MD5 verwendet wird ist also nur Effekthascherei.

Gruß
gms

herrchen · Beitrag von **herrchen** » 18.02.2006 17:08:01

blan hat geschrieben:das heist, wenn ich ein gutes passwort verwende ist das cracken auch wesentlich schwerer?

http://www.heise.de/newsticker/meldung/66039

herrchen

gms · Beitrag von **gms** » 18.02.2006 17:36:56

und sollte man nicht mal mit einem neues algorithmus nachlegen, wenn md5 an sicherheit verloren hat

wird früher oder später sicher notwendig sein, aber wie gesagt hier wurde nicht md5 gecrackt, sondern eine geringe Teilmenge von MD5 Hashes einfach in eine Datenbank gespeichert. (Kleinbuchstaben von a-z und die Ziffern mit der Gesamtlänge von 8 Zeichen).
Für diese kleine Menge wird schon eine Datenbank von 48 GB benötigt. Multipliziere das mit der Anzahl der Großbuchstaben + Sonderzeichen, dann berechne das Quadrat davon (Unixpasswörter werden zusätzlich "saltered", also mit zusätzlich 8 Zeichen verschlüsselt), dann kommst du auf eine Datenbankgröße von über 5 PB

Gruß
gms

[edit]
5 EB in 5 PB ausbebessert, war doch ein bißchen viel

[/edit]

meandtheshell · Beitrag von **meandtheshell** » 18.02.2006 17:48:26

für alle denen john das Genick bricht
http://world.std.com/~reinhold/diceware.html

markus

blan · Beitrag von **blan** » 18.02.2006 17:59:37

ok, danke für die antworten