Login wie sicher

Eine solche Funktion sollte auch möglichst fest im Browser implementiert und damit von der JavaScript-Unterstützung abhängig sein.
 
Sven Mintel hat gesagt.:
Darin besteht die Angriffsstelle...ein Feind muss nicht das Passwort finden, sondern irgendetwas, was den selben md5-Hash liefert wie das Passwort.
Zum Vergrößern anklicken....
Es sei noch erwähnt dass das Finden eines zweier Inputs für den selben Hash extrem aufwendig ist.

Für wirklich sensible Logins SSL verwenden. Mit Javascript Passwörter bereits auf Clientseite zu hashen geht auch, ist aber aus diversen Gründen eher suboptimal.
 
TriloByte hat gesagt.:
Es sei noch erwähnt dass das Finden eines zweier Inputs für den selben Hash extrem aufwendig ist.
Zum Vergrößern anklicken....

Naja...ich befürchte, für Leute, die sich ernsthaft mit der Sache beschäftigen, ist das garnicht so kompliziert.

Sicher...wenn man mit BruteForce rangeht, dauerts Generationen lang... mit Datenbanken wirds schon schneller gehen.
 
Sehr aufschlussreich!

Danke für die Infos. Nun kann das Projekt zumindest bzgl. von Seiten des Loginbereich online gehen :p
 
Sven Mintel hat gesagt.:
Naja...ich befürchte, für Leute, die sich ernsthaft mit der Sache beschäftigen, ist das garnicht so kompliziert.

Sicher...wenn man mit BruteForce rangeht, dauerts Generationen lang... mit Datenbanken wirds schon schneller gehen.
Zum Vergrößern anklicken....
Mit entsprechend umfangreichen Rainbow Tables kann das ganze auf ein paar Minuten abgekuerzt werden. Ich weiss aber nicht gross die Tables sein muessen damit eine Kollision fuer einen Hash in ein paar Minuten gefunden werden kann.
Ich kann nachher mal schauen, auf dem Server hab ich 700MB Rainbow Tables, weiss aber nicht genau ob die fuer MD5 sind oder nur fuer LMHash.
Rainbow Tables zu erstellen dauert lange, sehr lange. Aber wenn man sie dann einmal hat macht es einen ordentlichen Unterschied zum simplen Brute-Force-Gerate.

Ich wuerde uebrigens empfehlen SHA1 anstelle von MD5 zu nutzen, der erzeugte Hash ist dabei laenger und somit die Chance einer Kollision geringer, aber natuerlich auch nicht ausgeschlossen.
 
soso...ist ja interessant, was du alles auf dem Server hast .

Darf man so indiskret sein zu fragen, wozu du sie dort hast? :-)

Ich glaube allerdings, mit 700MB kommt da nicht viel heraus... wenn ich mich nicht täusche, werden solche Tabellen in 50GB-Paketen "vertrieben".
 
Ja, 700MB sind nicht grad der Brueller, aber ein Anfang. Und ich will auch nicht den ganzen Server mit Tables vollballern nur um gelegentlich mal ein Windows-Passwort recovern zu koennen.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück