Klartext Passwörter bei Geizhals

Klartext Passwörter bei Geizhals (38 Beiträge, 1264 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Gerade auf heise.de entdeckt:
http://www.heise.de/newsticker/foren/S-Uebrigens-Klartext-Passwoerter-bei-geizhals-at/forum-203073/msg-20364477/read/

http://forum.geizhals.at/t714917,6123532.html

http://forum.geizhals.at/t750588,6458791.html#6458791

12.06.2011, 09:28 Uhr - Editiert von hellbringer, alte Version: hier

und wo ist das problem?

verwendest für spaßseiten wie geizhals etwas das gleiche pw wie für dein onlinebanking und ähnliches?

dein onlinebanking

ja sicher, aber da ist es mir auch vollkommen egal, wenn wer rein kommt, da er nix machen kann ... alle Transaktionen benötigen mein Handy

alle Transaktionen benötigen mein Handy

Ach wirklich?

http://www.microsoft.com/germany/technet/sicherheit/newsletter/mar10/art4.mspx

wikileaks.geizhals.org

Was man beim Lesen von Postings und Leserbriefen in großen Medien bedenken sollte

"Bedauerlicherweise gibt es in der politischen Kaste viele Mitglieder, die den bescheidensten Ansprüchen an Intellekt und Bildung nicht gerecht werden. Es wäre Aufgabe der Parteien, dafür zu sorgen, dass diese in keine verantwortungsvollen Positionen kommen." (H.P. Haselsteiner)

"Police in the US now rival criminals, and exceed terrorists as the greatest threat to the American public." (Paul Craig Roberts, former assistant secretary to the treasury under Ronald Reagan)

eigentlich bin ich noch immer sicher, denn das funktioniert ja scheinbar nur dann wenn der Hacker sich in meiner Nähe befindet ...

Oder mal in deiner nähe war ...

Najo, es ist ein Internetforum. Der mögliche Schaden gering.

Karawanken

Bär

Der könnte mit deinem Konto irgendeinen Unsinn schreiben und du bekommst einen 2038er!

Klar, das ist das Problem!

https://forum.geizhals.at/t756238,6468365.html#6468365

Richards' laws of data security: 1. Don't buy a computer. 2. If you do buy a computer, don't turn it on.

Naja, da beißt sich die Katze in den Schwanz. Man kann nicht ständig betonen, dass das hier ein Spassforum ist und sich dann darüber beschweren, dass niemand starke Passwörter verwendet.

*gähn*

mfg
AVS

Das Hashing nutzt eh nicht viel.
Braucht der Hacker 5-20min länger um zu ein gültiges Kennwort zu kommen.

Ja, aber diese 5-20 Minute gelten pro Passwort! Wenn jemand eine ganze Datenbank klaut, ist das schon ein enormer Aufwand. Abgesehen davon kann es auch weit länger als 20 Minuten dauern wenn das Passwort etwas komplexer ist.

12.06.2011, 18:14 Uhr - Editiert von kaufinator1, alte Version: hier

Das Hashing nutzt eh nicht viel.Braucht der Hacker 5-20min länger um zu
ein gültiges Kennwort zu kommen.

Das schau ich mir aber an.

Verwendest du windows?

Dann teste es (ohne cloud nur lokal auf deinen pc):
ophcrack
http://ophcrack.sourceforge.net/download.php?type=livecd

Was hat Windows mit dem Passwort-Hash in einer Webapplikation zu tun?

Hash ist nicht gleich Hash. Nur weil Windows schwache Hashes verwendet, heißt es noch lange nicht, dass ich das bei meiner Applikation auch tun muss.

Und mit deinen Rainbow Tables kannst eh gleich einpacken, wenn ein gscheiter Salt verwendet wird, wie es eigentlich Standard sein sollte. Mit Brute-Force brauchst schon ein _bisschen_ länger als 20 Minuten für ein einziges Passwort.

12.06.2011, 18:26 Uhr - Editiert von hellbringer, alte Version: hier

Mit Brute-Force brauchst schon ein _bisschen_ länger als 20 Minuten für ein einziges Passwort.

Kommt auf die Länge und verwendeten Zeichen an (bei obigem Programm). Die meisten User verwenden nur eine sehr begrenzte Zeichenmenge und 7-8 Zeichen, da dauert es nur ein paar Sekunden (z.B. 10 Sek. mit meiner GPU für ein 7-Zeichen-Passwort mit smalls+digits).

Man kriegt also einen Großteil der Passwörter in der Praxis (also mit Salt) in sehr kurzer Zeit, die paar sicheren Passwörter dauern dann länger in einem weiteren Durchlauf. Eine ganze Liste geht natürlich noch schneller pro Passwort als ein einzelner Hash (Edit: wobei das Programm wohl noch keine Listen mit Salt unterstützt).

wikileaks.geizhals.org

Was man beim Lesen von Postings und Leserbriefen in großen Medien bedenken sollte

"Police in the US now rival criminals, and exceed terrorists as the greatest threat to the American public." (Paul Craig Roberts, former assistant secretary to the treasury under Ronald Reagan)

12.06.2011, 20:08 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

Kommt auf die Länge und verwendeten Zeichen an (bei obigem Programm). Die
meisten User verwenden nur eine sehr begrenzte Zeichenmenge und 7-8 Zeichen,
da dauert es nur ein paar Sekunden (z.B. 10 Sek. mit meiner GPU für ein
7-Zeichen-Passwort mit smalls+digits).

Man kriegt also einen Großteil der Passwörter in der Praxis (also mit Salt) in
sehr kurzer Zeit, die paar sicheren Passwörter dauern dann länger in einem
weiteren Durchlauf.

Aber auch nur, wenn du den Salt kennst. Wenn du den Salt nicht kennst, kannst du ein Brute-Force über bis zu (zB. bei SHA-512) 1,3 * 10^154 Kombinationen machen. Selbst wenn deine CPU/GPU pro Sekunde 1 Milliarde Kombinaten prüfen könnte, würdest du immer noch (bei gleichbleibendem Stand der Technik) 2 * 10^137 Jahre brauchen.

12.06.2011, 20:15 Uhr - Editiert von hellbringer, alte Version: hier

Aber auch nur, wenn du den Salt kennst. Wenn du den Salt nicht kennst, kannst du ein Brute-Force über bis zu (zB. bei SHA-512) 1,3 * 10^154 Kombinationen machen.

Wie versteckst du den salt vor einem Hacker, der den Webserver gehackt und die ganze DB geklaut hat? Die Vorgangsweise mit einem "geheimen" salt wäre mir neu und ist absolut unüblich.

wikileaks.geizhals.org

Was man beim Lesen von Postings und Leserbriefen in großen Medien bedenken sollte

"Police in the US now rival criminals, and exceed terrorists as the greatest threat to the American public." (Paul Craig Roberts, former assistant secretary to the treasury under Ronald Reagan)

Wie versteckst du den salt vor einem Hacker, der den Webserver gehackt und die ganze DB geklaut hat?

Hack ist nicht gleich Hack. Jemand kann mit SQL-Injections Daten von deinem Server abgreifen, aber nicht aktiv Code auf deinem Server ausführen. Dann hat er zwar all deine Daten mit Passworthashes, aber den Salt hat er nicht.

Bei Sony wars ja auch nur eine primitive SQL-Injection. Aber zum "Glück" hatte Sony die Passwörter als Plaintext in der Datenbank gespeichert. Auch die Admin-Passwörter.

12.06.2011, 20:20 Uhr - Editiert von hellbringer, alte Version: hier

Jemand kann mit SQL-Injections Daten von deinem Server abgreifen, aber nicht aktiv Code auf deinem Server ausführen.

In der DB schon ... SQL-Injection bedeutet auch nicht notwendigerweise, dass man gleich die Passwort-table lesen kann, die authentication könnte z.B. über eine stored procedure gelöst sein (die Web-app darf dann die Funktion benutzen, aber nicht ein SELECT auf die Passwort-table absetzen).

. Dann hat er zwar all deine Daten mit Passworthashes, aber den Salt hat er nicht.

Einen salt-Wert für alle User gemeinsam zu verwenden ist zwar in dem speziellen Fall sicherer (Angreifer bekommt DB aber hackt den Server nicht), aber ermöglicht andere Attacken, da dann identische Passwörter auch identische Hashes haben. Da müsste man also z.B. einen salt verwenden, der aus User-ID o.ä. generiert wird und die Methode geheim halten. Fällt halt auch ins Wasser, sobald der Server gehackt ist.

Ist jedenfalls nicht üblich, das so zu machen.

wikileaks.geizhals.org

Was man beim Lesen von Postings und Leserbriefen in großen Medien bedenken sollte

"Police in the US now rival criminals, and exceed terrorists as the greatest threat to the American public." (Paul Craig Roberts, former assistant secretary to the treasury under Ronald Reagan)

Vielleicht nicht üblich, aber was spricht dagegen?

was spricht dagegen?

Nicht viel, es ist halt etwas unhandlicher als ein gespeicherter salt und wenn die Methode geleakt wird (bzw. der Code), hat man auch nicht mehr viel davon.

wikileaks.geizhals.org

Was man beim Lesen von Postings und Leserbriefen in großen Medien bedenken sollte

stoppt die Ratingclowns!

Interessant, wie lautet mein Passwort?

87147e0c15cc1ae539f6b8d07e1157f25daf18db31ccf23a702f0235bac2ae43

Edit:

Ok, ich mache es dir leichter und gebe den Salt auch an (wobei ich nicht glaube, dass der bei jedem illegalen DB-Dump mal so einfach herausgefunden werden kann):

Salt: poh9PooypheK4iyiocah3Baeyue2aeBi
Hash: d0c5a54edfbb15ec245a1d450b5d67a936523b56d1287d08e245ed236cad2e61

Richards' laws of data security: 1. Don't buy a computer. 2. If you do buy a computer, don't turn it on.

15.06.2011, 12:16 Uhr - Editiert von m3t4tr0n, alte Version: hier

"i_am_&&_inlove__/\__withjustinbieber!!"

sagt meine rainbow datenbank.. stimmt das?

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

immer schön langsam, dann wird alles gut.

Ich bin gespannt ob es jemand findet...

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung