Suchmaschine liefert für Passwort-Hash den Klartext
Ich musste vor Kurzem an einem fremden Projekt mitarbeiten und der Kollege war leider im Urlaub. Da ich kein Passwort für die Anwendung hatte, wollte ich mir über die Datenbank einen Account anlegen (hätte natürlich auch über den Debugger den Login überspringen können 😃.
Aus reiner Neugier hab ich mir dann mal einen Hash von einem vorhandenen Passwort genommen und in einer bekannten Suchmaschine eingetragen und sie da... das Passwort wurde aufgelöst.
Für mich ist nach diesem Ding eindeutig klar, dass ich fortan alle Passwörter salzen werde. Ich fand das wirklich überraschend, da so gut wie alle Kennwörter bestimmen konnte. Bei Längen über 7 Zeichen wurde es schon schwieriger. Propiert es mal selbst aus, es gibt scheinbar wirklich viel Leute die Langeweile haben und die Hashes durchrechnen (siehe Beispiel)
Habt ihr besondere Mechanismen dafür?
Hallo itstata,
es gibt scheinbar wirklich viel Leute die Langeweile haben und die Hashes durchrechnen
schau dir diesbezüglich auch Rainbow Table an.
Habt ihr besondere Mechanismen dafür? [FAQ] DB-Password/Kennwort/Connection-String sicher speichern
mfG Gü
Stellt fachliche Fragen bitte im Forum, damit von den Antworten alle profitieren. Daher beantworte ich solche Fragen nicht per PM.
"Alle sagten, das geht nicht! Dann kam einer, der wusste das nicht - und hat's gemacht!"
Hi,
wenn du magst: Schau dir doch mal Rainbow-Tables an. Wiki
Mit den Hashes für Windows XP sind die glaube ich kpl. fertig.
(Gibt gigantische Netzwerke die da an der Berechnung mitwirken)
Habe das Ganze mal 2 Polizisten aus dem Bekanntenkreis
an Ihren PC's vorgeführt... Die waren ziemlich geschockt -
haben allerdings seitdem bessere Passwörter 😉
Dummerweise waren das noch die die gut unterwegs waren... Kenne zu viele
Leute, die meinen kpl. ohne Passwort zu überleben...
Btw: Das gehört eher unter Smalltalk 😉
LG
Achim
... ist verschoben.
Es gibt auch extra hash-suchmaschinen (z.B. Md5 Suchmaschine, LM / NTLM Decrypter tool)
Ntlm-passwörter (für die windows-anmeldung) kann man übrigends unmöglich sicher bekommen ganz egal wie lang man sie macht. Das passwort wird erst in teile von 7 zeichen länge zerstückelt und dann jeder teil einzeln gehasht. (siehe ophcrack, cain&abel, etc ...)
@ mod: Lass doch mal meine links in ruh...
Besten Dank für die Links - inbesondere die Iteration hört sich auch noch interessant an.
Gibt es eigentlich einen Grund warum Ntlm-Passwörter so "sicher" sind 😃?
Hallo itstata,
das hat historische Gründe bzw. liegt an Kompatibilität mit Software, die aus Zeiten stammt, wo Brute Force für 7 Stellen unrealistisch war.
herbivore