Zurück   klamm-Forum > klamm.de > klamm talk

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 27.02.2009, 22:49:50   #31 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Zitat:
Zitat von hfkb Beitrag anzeigen
Möchtest du damit jetzt in irgendeiner Weise andeuten, dass ich damit ein Problem haben könnte?
Würde ich es jemals wagen?
Ich nehme eher an, dass du die Beschreibung gesehen hast, ganz viele Zahlen und Buchstaben, und dann dachtest "wtf wtf, das ist ja furchtbar, das tu ich mir jetzt nicht an. Der Tag war anstrengend genug, da muss das jetzt nicht auch noch sein ... ich werde lieber weiter ein bisschen im Forum rumsurfen und chillen ... außerdem habe ich ja KeePass, ernsthaft muss ich mich ja sowieso nicht mit irgendsoeinem komplexen System auseinandersetzen, da kann ich mein Gehirnschmalz sinnvoller einsetzen. Hm, ich könnte was essen gehen.".
Was ja auch völlig verständlich und legitim ist, hätte ich genauso gemacht - nur musste ich mich zwangsläufig wegen der theoretischen Informatik letztes Semester damit beschäftigen...
 
DelphiKing ist offline   Mit Zitat antworten
Alt 28.02.2009, 02:18:19   #32 (permalink)
Painkiller
Benutzerbild von XadreS

ID: 370013
Lose-Remote
Abwesend

Reg: 04.05.2006
Beiträge: 3.509
Standard

Zitat:
Zitat von DelphiKing Beitrag anzeigen
Ich hatte mal ne Webseite mit mehreren zehntausend Usern ... und bevor ich da Gegenmaßnahmen ergriffen habe (Passwortänderung bei allen unsicheren Passwörtern) sah es so aus:

2% der User hatten ihrern Username als Passwort
0.8% der User hatten "123456" als Passwort
über 40x das Passwort "ficken"
usw ...

Alles in allem also relativ erschreckend ...
Naja einige dieser PWs wurden aber bestimmt auch absichtlich gewählt. Ich bin bei massig Seiten angemeldet, wo mir der Acc vollkommen egal ist. Soll ihn wer klauen, ist eh nur Fake. Und warum sollte ich auf ein sicheres PW achten. Einfach "f1cken" oder ähnliches und gut ist.
Wird mir der Acc gerippt hol ich mir eben nen neuen....np.

Für mich gilt das bei z.B. Flirtseiten, Foren, Browsergames, Emailaddys, etc...
 
XadreS ist offline   Mit Zitat antworten
Alt 28.02.2009, 07:31:06   #33 (permalink)
klamm-Lipper
Benutzerbild von Blomberger

ID: 130439
Lose-Remote

Reg: 06.05.2006
Beiträge: 13.008
Standard

Zitat:
Zitat von DelphiKing Beitrag anzeigen
[...]
Donnerwetter! Gegessen hatte ich zwar schon, aber ansonsten 100%ige Übereinstimmung. Du machst mir Angst.
Mit freundlichem Gruß
Blomberger
Blomberger ist offline   Mit Zitat antworten
Alt 28.02.2009, 09:45:27   #34 (permalink)
42!

ID: 333985
Lose-Remote

Reg: 06.01.2009
Beiträge: 353
Standard

DelphiKing, ich finde es eher erschreckend, das du die Passwörter anderer Benutzer auslesen kannst. Ist es nicht sicherer, nur den Hash zu speichern?
Auch gegenüber Hackern, die sich in deine Datenbank einhacken?

bick-fm ist offline   Mit Zitat antworten
Alt 28.02.2009, 10:10:07   #35 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von bick-fm Beitrag anzeigen
Ist es nicht sicherer, nur den Hash zu speichern?
Auch gegenüber Hackern, die sich in deine Datenbank einhacken?
Wer sagt denn, dass er es nicht so macht?
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 28.02.2009, 10:35:19   #36 (permalink)
seltener hier
Benutzerbild von FischkopfXL

ID: 155669
Lose-Remote

FischkopfXL eine Nachricht über ICQ schicken FischkopfXL eine Nachricht über Yahoo! schicken FischkopfXL eine Nachricht über Skype™ schicken
Reg: 01.05.2006
Beiträge: 1.785
Standard

Zitat:
Zitat von FischVolk Beitrag anzeigen
Verdammt. Hat nicht jemand ein System für Normalsterbliche?
Hab gestern zufällig was entdeckt

Zitat:
Leicht zu merken sind sichere Passwörter z.B. mit folgendem Trick:
Man bildet einen Satz der optimalerweise auch Zahlen enthält. Nun nimmt man den Anfangsbuchstaben jedes Wortes sowie die Zahl(en) und bildet daraus ein neues Wort.
Beispiel: "Thomas wurde im Mai 74 geboren" Passwort: "TwiM74g"
[Quelle]
 
FischkopfXL ist offline   Mit Zitat antworten
Alt 28.02.2009, 11:19:05   #37 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Zitat:
Zitat von bick-fm Beitrag anzeigen
DelphiKing, ich finde es eher erschreckend, das du die Passwörter anderer Benutzer auslesen kannst. Ist es nicht sicherer, nur den Hash zu speichern?
Auch gegenüber Hackern, die sich in deine Datenbank einhacken?
Selbst wenn der Passworthash gesalzen ist (und damit ein sicheres Passwort praktisch nicht mehr aus dem Hash auslesbar ist), kann man mit Datenbankzugriff sehr leicht herausfinden, wieviele User ein bestimmtes Passwort haben - genau so habe ich es auch gemacht.

Einfaches Beispiel:
SELECT * FROM user WHERE password=MD5(username)


Würde mir alle Accounts liefern, deren Passwort gleich dem Benutzername ist.

Alleine schon aus dem Grund sollte man als User wenigstens eine kleine Modifikation einbauen (ala "DelphiKing" -> "D3lphiKing"), da dann soeine Attacke (die natürlich ein Hacker auch durchführen kann) fehlschlägt.
 
DelphiKing ist offline   Mit Zitat antworten
Alt 28.02.2009, 11:23:19   #38 (permalink)
42!

ID: 333985
Lose-Remote

Reg: 06.01.2009
Beiträge: 353
Standard

Ah, ok, so kann man auch nach Passwörtern wie md5(12345) oder sowas suchen. Da bin ich aber beruhigt!

bick-fm ist offline   Mit Zitat antworten
Alt 28.02.2009, 18:56:56   #39 (permalink)
Chaos-BeseiTiger
Benutzerbild von Eckieck

ID: 15551
Lose-Remote

Eckieck eine Nachricht über ICQ schicken
Reg: 30.04.2006
Beiträge: 638
Standard

Zitat:
Zitat von DelphiKing Beitrag anzeigen
Selbst wenn der Passworthash gesalzen ist [..]
Natürlich bekommt jeder User sein eigenes Salz
 
Eckieck ist offline   Mit Zitat antworten
Alt 28.02.2009, 19:16:14   #40 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von Eckieck Beitrag anzeigen
Natürlich bekommt jeder User sein eigenes Salz
Entschuldige, aber im Zuge einer heutigen rücksichtsvollen Berücksichtigung von Diabethikern und Nieren-Geschädigten möchte ich bitte auch um den Einsatz von gepfefferten Passwort-Hashes bitten.

Schliesslich ist bei Eingabe von gesalzenen Passwörtern die Gefahr groß, das sich der User danach die Finger leckt und so das Salz in den Kreislauf kommt!

Auch ist eine Verwendung weiterer Geschmacksverbesserer / -verstärker durchaus in Erwägung zu ziehen!

Gruß,

jiw
 
jiw ist offline   Mit Zitat antworten
Alt 28.02.2009, 20:16:37   #41 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Zitat:
Zitat von Eckieck Beitrag anzeigen
Natürlich bekommt jeder User sein eigenes Salz
Nja, das erschwert das ganze nur unwesentlich ... sobald der Salz-Alogithmus bekannt ist, ändert man den Query halt oder muss sich notfalls ein kleines Script basteln - aber Passwörter schnell durchtesten kann man ja nach wie vor....
 
DelphiKing ist offline   Mit Zitat antworten
Alt 01.03.2009, 01:16:51   #42 (permalink)
Chaos-BeseiTiger
Benutzerbild von Eckieck

ID: 15551
Lose-Remote

Eckieck eine Nachricht über ICQ schicken
Reg: 30.04.2006
Beiträge: 638
Standard

Zitat:
Zitat von DelphiKing Beitrag anzeigen
[..]sobald der Salz-Alogithmus bekannt ist [..]
Wenn es denn einen gibt - hoffentlich nicht.
Davon ab, ich meinte das in Bezug auf Deine Query

@jiw: Ich wollte erst Pfeffer schreiben, doh!

P.S.: Weg mit md5!
 
Eckieck ist offline   Mit Zitat antworten
Alt 01.03.2009, 16:00:17   #43 (permalink)
Neuer Benutzer

ID: 344160
Lose-Remote

Reg: 01.03.2009
Beiträge: 16
Standard

ich benutz das gleiche passwort für meine e-mail^^
 
dibo80 ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an



Alle Zeitangaben in WEZ +1. Es ist jetzt 02:37:33 Uhr.