Troy Hunt: The Dropbox hack is real
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314118
Url: https://administrator.de/forum/troy-hunt-the-dropbox-hack-is-real-314118.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
4 Kommentare
Neuester Kommentar
Naja, ist ja nicht neues, das sensible Daten gehackt/geklaut werden ;).
Was mir nicht klar geworden ist - besteht jetzt irgendeine Gefahr für die Benutzer durch die geklauten Hashes?
Ich meine, SHA-1-Hashes kann man praktisch nicht knacken. Vielleicht gelingt es bei dem ein oder anderen durch einfache Passwörter wie "passwort" oder "123456" aber bei anderen bezweifel ich stark, dass man da Passwörter herausfinden kann.
Vielleicht sollte man auch auf SHA-3 umstellen....Sponge-Funktionen sind schon was feines !
Was mir nicht klar geworden ist - besteht jetzt irgendeine Gefahr für die Benutzer durch die geklauten Hashes?
Ich meine, SHA-1-Hashes kann man praktisch nicht knacken. Vielleicht gelingt es bei dem ein oder anderen durch einfache Passwörter wie "passwort" oder "123456" aber bei anderen bezweifel ich stark, dass man da Passwörter herausfinden kann.
Vielleicht sollte man auch auf SHA-3 umstellen....Sponge-Funktionen sind schon was feines !
Moin @vBurak,
SHA1 ist tot.
Nicht knacken heißt: Wenn ich einen Hash habe, kann ich anhand des Hashes nicht einfach das Passwort herausrechnen. ABER Ich kann mir den SHA1 von einer Liste von Passwörtern erstellen lassen (nennt sich Rainbowtable) und halte diese dann einfach gegen den SHA1 und schon weiß ich, welches Passwort zu welchem Hash wird. Das wiederum kann ich dann vergleichen und habe so zum Hash ein Passwort.
Rainbowtables brauchen also nur eines: Platz. Und dann sind eben gerade große Mengen an Passwörtern interessant, weil ich schnell zu durchaus nutzbaren Ergebnissen komme.
Wie schützt man sich vor solchen Angriffen?
Lange Passwörter. Je mehr Zeichen umso besser. Der Zeichenpool ist dabei nicht mal so wichtig. "Eine alte Ziege die hinter einem Berg steht frisst Gras" ist ein sichereres Passwort als "A!5wNw%2B2". Das einzige wo man nun pech haben kann: Bei Hash Kollisionen, also wenn unterschiedlicher Input den gleichen Hash erzeugt.
Soviel dazu... ;)
Gruß
Chris
SHA1 ist tot.
Nicht knacken heißt: Wenn ich einen Hash habe, kann ich anhand des Hashes nicht einfach das Passwort herausrechnen. ABER Ich kann mir den SHA1 von einer Liste von Passwörtern erstellen lassen (nennt sich Rainbowtable) und halte diese dann einfach gegen den SHA1 und schon weiß ich, welches Passwort zu welchem Hash wird. Das wiederum kann ich dann vergleichen und habe so zum Hash ein Passwort.
Rainbowtables brauchen also nur eines: Platz. Und dann sind eben gerade große Mengen an Passwörtern interessant, weil ich schnell zu durchaus nutzbaren Ergebnissen komme.
Wie schützt man sich vor solchen Angriffen?
Lange Passwörter. Je mehr Zeichen umso besser. Der Zeichenpool ist dabei nicht mal so wichtig. "Eine alte Ziege die hinter einem Berg steht frisst Gras" ist ein sichereres Passwort als "A!5wNw%2B2". Das einzige wo man nun pech haben kann: Bei Hash Kollisionen, also wenn unterschiedlicher Input den gleichen Hash erzeugt.
Soviel dazu... ;)
Gruß
Chris
Hallo,
das ist mir alles bewusst. Gegen Rainbowtables helfen halt Salted Hashes. Bin aber auch nicht sicher ob der Salt auch herausgefunden wurde.
Aber ich denke ein relativ gutes Passwort sollte nicht in einer Rainbowtable stehen. Selbst durch die salted Hashes ist es in diesem Fall schon nutzlos.
Bei SHA1 gibt es 2^160 mögliche Ausgaben. Das ist immer noch eine Menge und nicht zu unterschätzen...
das ist mir alles bewusst. Gegen Rainbowtables helfen halt Salted Hashes. Bin aber auch nicht sicher ob der Salt auch herausgefunden wurde.
Aber ich denke ein relativ gutes Passwort sollte nicht in einer Rainbowtable stehen. Selbst durch die salted Hashes ist es in diesem Fall schon nutzlos.
Bei SHA1 gibt es 2^160 mögliche Ausgaben. Das ist immer noch eine Menge und nicht zu unterschätzen...
Moin,
na dann ist ja alles gut :D
Vielleicht meinst du aber auch Pepper, welches ein zufälliger Wert ist, den man geheim/in der Config (vor)hält, der aber bei allem Passwörtern gleich ist.
In jedem Fall einen angenehmen Abend
Gruß
Chris
na dann ist ja alles gut :D
Bin aber auch nicht sicher ob der Salt auch herausgefunden wurde.
Hier sollte man anmerken, dass man den Salt natürlich im gleichen Atemzug wie den Passworthash speichert. Denn dieser ist ja individuell. Dadurch bräuchte man eben für jedes Passwort eine eigene Rainbowtable passend zum Salt.Vielleicht meinst du aber auch Pepper, welches ein zufälliger Wert ist, den man geheim/in der Config (vor)hält, der aber bei allem Passwörtern gleich ist.
In jedem Fall einen angenehmen Abend
Gruß
Chris