Willkommen auf myCSharp.de! Anmelden | kostenlos registrieren
 | Suche | FAQ

Hauptmenü
myCSharp.de
» Startseite
» Forum
» Suche
» Regeln
» Wie poste ich richtig?

Mitglieder
» Liste / Suche
» Wer ist online?

Ressourcen
» FAQ
» Artikel
» C#-Snippets
» Jobbörse
» Microsoft Docs

Team
» Kontakt
» Cookies
» Spenden
» Datenschutz
» Impressum

  • »
  • Community
  • |
  • Diskussionsforum
Suchmaschine liefert für Passwort-Hash den Klartext
itstata
myCSharp.de - Member



Dabei seit:
Beiträge: 306
Herkunft: Rostock

Themenstarter:

Suchmaschine liefert für Passwort-Hash den Klartext

beantworten | zitieren | melden

Ich musste vor Kurzem an einem fremden Projekt mitarbeiten und der Kollege war leider im Urlaub. Da ich kein Passwort für die Anwendung hatte, wollte ich mir über die Datenbank einen Account anlegen (hätte natürlich auch über den Debugger den Login überspringen können :).

Aus reiner Neugier hab ich mir dann mal einen Hash von einem vorhandenen Passwort genommen und in einer bekannten Suchmaschine eingetragen und sie da... das Passwort wurde aufgelöst.

Für mich ist nach diesem Ding eindeutig klar, dass ich fortan alle Passwörter salzen werde. Ich fand das wirklich überraschend, da so gut wie alle Kennwörter bestimmen konnte. Bei Längen über 7 Zeichen wurde es schon schwieriger. Propiert es mal selbst aus, es gibt scheinbar wirklich viel Leute die Langeweile haben und die Hashes durchrechnen (siehe Beispiel)

Habt ihr besondere Mechanismen dafür?
private Nachricht | Beiträge des Benutzers
gfoidl
myCSharp.de - Team

Avatar #avatar-2894.jpg


Dabei seit:
Beiträge: 7563
Herkunft: Waidring

beantworten | zitieren | melden

Hallo itstata,
Zitat
es gibt scheinbar wirklich viel Leute die Langeweile haben und die Hashes durchrechnen
schau dir diesbezüglich auch Rainbow Table an.
Zitat
Habt ihr besondere Mechanismen dafür?
[FAQ] DB-Password/Kennwort/Connection-String sicher speichern


mfG Gü
Stellt fachliche Fragen bitte im Forum, damit von den Antworten alle profitieren. Daher beantworte ich solche Fragen nicht per PM.

"Alle sagten, das geht nicht! Dann kam einer, der wusste das nicht - und hat's gemacht!"
private Nachricht | Beiträge des Benutzers
Taipi88
myCSharp.de - Member

Avatar #avatar-3220.jpg


Dabei seit:
Beiträge: 1044
Herkunft: Mainz

beantworten | zitieren | melden

Hi,

wenn du magst: Schau dir doch mal Rainbow-Tables an. Wiki
Mit den Hashes für Windows XP sind die glaube ich kpl. fertig.
(Gibt gigantische Netzwerke die da an der Berechnung mitwirken)


Habe das Ganze mal 2 Polizisten aus dem Bekanntenkreis
an Ihren PC's vorgeführt... Die waren ziemlich geschockt -
haben allerdings seitdem bessere Passwörter ;)

Dummerweise waren das noch die die gut unterwegs waren... Kenne zu viele
Leute, die meinen kpl. ohne Passwort zu überleben...

Btw: Das gehört eher unter Smalltalk ;-)

LG
Achim

Moderationshinweis von gfoidl (06.09.2011 - 18:06:22):

... ist verschoben.

private Nachricht | Beiträge des Benutzers
Floste
myCSharp.de - Member

Avatar #avatar-2376.jpg


Dabei seit:
Beiträge: 1158
Herkunft: Norddeutschland

beantworten | zitieren | melden

Es gibt auch extra hash-suchmaschinen (z.B. Md5 Suchmaschine, LM / NTLM Decrypter tool)
Ntlm-passwörter (für die windows-anmeldung) kann man übrigends unmöglich sicher bekommen ganz egal wie lang man sie macht. Das passwort wird erst in teile von 7 zeichen länge zerstückelt und dann jeder teil einzeln gehasht. (siehe ophcrack, cain&abel, etc ...)

@ mod: Lass doch mal meine links in ruh...
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Floste am .
Projekte:Jade, HttpSaver
Zum Rechtschreiben gibts doch schon die Politiker. Aber die bauen auch nur mist!
private Nachricht | Beiträge des Benutzers
itstata
myCSharp.de - Member



Dabei seit:
Beiträge: 306
Herkunft: Rostock

Themenstarter:

beantworten | zitieren | melden

Besten Dank für die Links - inbesondere die Iteration hört sich auch noch interessant an.

Gibt es eigentlich einen Grund warum Ntlm-Passwörter so "sicher" sind :)?
private Nachricht | Beiträge des Benutzers
herbivore
myCSharp.de - Experte

Avatar #avatar-2627.gif


Dabei seit:
Beiträge: 52329
Herkunft: Berlin

beantworten | zitieren | melden

Hallo itstata,

das hat historische Gründe bzw. liegt an Kompatibilität mit Software, die aus Zeiten stammt, wo Brute Force für 7 Stellen unrealistisch war.

herbivore
private Nachricht | Beiträge des Benutzers