Laden...

Suchmaschine liefert für Passwort-Hash den Klartext

Erstellt von itstata vor 12 Jahren Letzter Beitrag vor 12 Jahren 5.916 Views
I
itstata Themenstarter:in
302 Beiträge seit 2008
vor 12 Jahren
Suchmaschine liefert für Passwort-Hash den Klartext

Ich musste vor Kurzem an einem fremden Projekt mitarbeiten und der Kollege war leider im Urlaub. Da ich kein Passwort für die Anwendung hatte, wollte ich mir über die Datenbank einen Account anlegen (hätte natürlich auch über den Debugger den Login überspringen können 😃.

Aus reiner Neugier hab ich mir dann mal einen Hash von einem vorhandenen Passwort genommen und in einer bekannten Suchmaschine eingetragen und sie da... das Passwort wurde aufgelöst.

Für mich ist nach diesem Ding eindeutig klar, dass ich fortan alle Passwörter salzen werde. Ich fand das wirklich überraschend, da so gut wie alle Kennwörter bestimmen konnte. Bei Längen über 7 Zeichen wurde es schon schwieriger. Propiert es mal selbst aus, es gibt scheinbar wirklich viel Leute die Langeweile haben und die Hashes durchrechnen (siehe Beispiel)

Habt ihr besondere Mechanismen dafür?

6.903 Beiträge seit 2009
vor 12 Jahren

Hallo itstata,

es gibt scheinbar wirklich viel Leute die Langeweile haben und die Hashes durchrechnen

schau dir diesbezüglich auch Rainbow Table an.

Habt ihr besondere Mechanismen dafür? [FAQ] DB-Password/Kennwort/Connection-String sicher speichern

mfG Gü

Stellt fachliche Fragen bitte im Forum, damit von den Antworten alle profitieren. Daher beantworte ich solche Fragen nicht per PM.

"Alle sagten, das geht nicht! Dann kam einer, der wusste das nicht - und hat's gemacht!"

1.029 Beiträge seit 2010
vor 12 Jahren

Hi,

wenn du magst: Schau dir doch mal Rainbow-Tables an. Wiki
Mit den Hashes für Windows XP sind die glaube ich kpl. fertig.
(Gibt gigantische Netzwerke die da an der Berechnung mitwirken)

Habe das Ganze mal 2 Polizisten aus dem Bekanntenkreis
an Ihren PC's vorgeführt... Die waren ziemlich geschockt -
haben allerdings seitdem bessere Passwörter 😉

Dummerweise waren das noch die die gut unterwegs waren... Kenne zu viele
Leute, die meinen kpl. ohne Passwort zu überleben...

Btw: Das gehört eher unter Smalltalk 😉

LG
Achim

Hinweis von gfoidl vor 12 Jahren

... ist verschoben.

1.130 Beiträge seit 2007
vor 12 Jahren

Es gibt auch extra hash-suchmaschinen (z.B. Md5 Suchmaschine, LM / NTLM Decrypter tool)
Ntlm-passwörter (für die windows-anmeldung) kann man übrigends unmöglich sicher bekommen ganz egal wie lang man sie macht. Das passwort wird erst in teile von 7 zeichen länge zerstückelt und dann jeder teil einzeln gehasht. (siehe ophcrack, cain&abel, etc ...)

@ mod: Lass doch mal meine links in ruh...

Projekte:Jade, HttpSaver
Zum Rechtschreiben gibts doch schon die Politiker. Aber die bauen auch nur mist!

I
itstata Themenstarter:in
302 Beiträge seit 2008
vor 12 Jahren

Besten Dank für die Links - inbesondere die Iteration hört sich auch noch interessant an.

Gibt es eigentlich einen Grund warum Ntlm-Passwörter so "sicher" sind 😃?

49.485 Beiträge seit 2005
vor 12 Jahren

Hallo itstata,

das hat historische Gründe bzw. liegt an Kompatibilität mit Software, die aus Zeiten stammt, wo Brute Force für 7 Stellen unrealistisch war.

herbivore