AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Frage zu Password-Hashes (SHA512)

Ein Thema von Codehunter · begonnen am 23. Feb 2015 · letzter Beitrag vom 21. Sep 2015
Antwort Antwort
Seite 3 von 3     123   
PeterPanino

Registriert seit: 4. Sep 2004
1.465 Beiträge
 
Delphi 10.4 Sydney
 
#21

AW: Frage zu Password-Hashes (SHA512)

  Alt 21. Sep 2015, 13:30
MD5 selbst ist ja nicht bröckelig. Bröckelig wird's erst, wenn du die Haustür und zugleich die Badezimmertür offenlässt und so jedermann deiner Frau beim Duschen zuschauen kann.

Was ich damit sagen möchte: Wenn du jemandem den Zugang zu deinen Passwort-Hashes erlaubst, bist du selbst schuld, wenn sie geknackt werden. Die Sollbruchstelle ist in diesem Fall ja wohl eher die offene Haustür in Kombination mit der offenen Badezimmertür ...

Übersetzt bedeutet das in diesem Fall, dass du deiner Frau nicht mehr erlaubst, sich zu duschen, nur weil du unfähig bist, die Türen richtig abzuschließen.

Geändert von PeterPanino (21. Sep 2015 um 13:32 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#22

AW: Frage zu Password-Hashes (SHA512)

  Alt 21. Sep 2015, 14:28
MD5 selbst ist ja nicht bröckelig.
Doch, genau das. Es gibt praktisch ausführbare Kollisionsangriffe: md5 ist bröckelig!

Bröckelig wird's erst, wenn du die Haustür und zugleich die Badezimmertür offenlässt und so jedermann deiner Frau beim Duschen zuschauen kann. [...] Wenn du jemandem den Zugang zu deinen Passwort-Hashes erlaubst, bist du selbst schuld, wenn sie geknackt werden. Die Sollbruchstelle ist in diesem Fall ja wohl eher die offene Haustür in Kombination mit der offenen Badezimmertür ...
Mit der Argumentation brauchst du deine Passwörter auch gar nicht zu hashen. Deine Server sind anfällig, deine Türen stehen offen, jeder weiß bereits wie deine Frau nackt aussieht ... ähem, so langsam läuft das mit den Metaphern aus dem Ruder

Im Ernst, das sichere Verwalten von Passwörtern ist die einzige Sicherheit, die du garantieren kannst. Die große Mehrheit aller (und damit auch deiner) Benutzer verwenden Passwörter mehrfach und das Mindeste was du tun kannst, ist dieses Sicherheits-Netz aufzuspannen.

Geändert von BUG (21. Sep 2015 um 14:37 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#23

AW: Frage zu Password-Hashes (SHA512)

  Alt 21. Sep 2015, 14:34
MD5 selbst ist ja nicht bröckelig. Bröckelig wird's erst, wenn du die Haustür und zugleich die Badezimmertür offenlässt und so jedermann deiner Frau beim Duschen zuschauen kann.

Was ich damit sagen möchte: Wenn du jemandem den Zugang zu deinen Passwort-Hashes erlaubst, bist du selbst schuld, wenn sie geknackt werden. Die Sollbruchstelle ist in diesem Fall ja wohl eher die offene Haustür in Kombination mit der offenen Badezimmertür ...

Übersetzt bedeutet das in diesem Fall, dass du deiner Frau nicht mehr erlaubst, sich zu duschen, nur weil du unfähig bist, die Türen richtig abzuschließen.
Genau so könnte der Gedankengang bei den Programmierern der Ashley-Madison-Platform gewesen sein.

Erst heisst es "Das passiert doch nicht" oder "Ist doch nur für Oma" und nach dem GAU hört man dann "Ich dachte ..." oder auch sehr beliebt "Aber das haben wir immer so gemacht"

Standard-Reaktion meinerseits ist dann nur noch "Ja, Ja" - damit ist alles gesagt, jedes weitere Wort ist überflüssig
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
PeterPanino

Registriert seit: 4. Sep 2004
1.465 Beiträge
 
Delphi 10.4 Sydney
 
#24

AW: Frage zu Password-Hashes (SHA512)

  Alt 21. Sep 2015, 15:18
Nun, gut. Aber abgesehen von Passwort-Hashes: Um die Integrität einer Datei zu testen, kann ich wohl noch MD5File verwenden, oder? Oder ist das auch zu unsicher?
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#25

AW: Frage zu Password-Hashes (SHA512)

  Alt 21. Sep 2015, 15:32
Nun, gut. Aber abgesehen von Passwort-Hashes: Um die Integrität einer Datei zu testen, kann ich wohl noch MD5File verwenden, oder? Oder ist das auch zu unsicher?
Ja, es ist unsicher. Natürlich lässt sich abwägen, ob man das Risiko eingeht; aber abgesehen von Kompatibilität mit Legacy-Anwendungen: warum sollte man nicht eine der gut verfügbaren, sicheren Alternativen benutzen?

Geändert von BUG (21. Sep 2015 um 15:36 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#26

AW: Frage zu Password-Hashes (SHA512)

  Alt 21. Sep 2015, 15:50
Nun, gut. Aber abgesehen von Passwort-Hashes: Um die Integrität einer Datei zu testen, kann ich wohl noch MD5File verwenden, oder? Oder ist das auch zu unsicher?
Ja, es ist unsicher. Natürlich lässt sich abwägen, ob man das Risiko eingeht; aber abgesehen von Kompatibilität mit Legacy-Anwendungen: warum sollte man nicht eine der gut verfügbaren, sicheren Alternativen benutzen?
MD5 ist halt sehr schnell und wird teilweise sogar hardwareseitig von diversen Chips unterstüzt. Es kommt halt immer drauf an. Will man irgendwelche Dateien in einem Sicherheitskontext hashen, um Dateiintegrität zu gewährleisten, dann sollte man hier auch nicht auf MD5 setzen, da wie schon beschrieben einige Tools zur Berechnung von Kollisionen existieren.

Gehts nur schnell mal um ein inkrementelles Backup Programm oder sowas, sehe ich absolut kein Problem bei der Verwendung von MD5 oder sogar CRC32.

Wobei selbst bei der Integrität kann man nochmal unterscheiden. Ist es fatal (für eine Serverseite, 3. Clienten, etc), wenn die Datei fehlerhaft/manipuliert ist, oder geht es nur um einen lokalen Check als Komfortfunktion für den User.

Achso:
PHP >= 5.5.0 unterstüzt PBKDF. Dieses Verfahren wurde extra zwecks Passwort Authentifizierung entwickelt (http://php.net/manual/de/ref.password.php)
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)

Geändert von Zacherl (21. Sep 2015 um 16:00 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#27

AW: Frage zu Password-Hashes (SHA512)

  Alt 21. Sep 2015, 16:20
wird teilweise sogar hardwareseitig von diversen Chips unterstüzt
Was auch für SHA-1 und SHA-256 gelten kann ... wobei man SHA-1 im Zweifelsfall auch nicht mehr benutzen sollte.

Achso: PHP >= 5.5.0 unterstüzt PBKDF. Dieses Verfahren wurde extra zwecks Passwort Authentifizierung entwickelt (http://php.net/manual/de/ref.password.php)
PHP ist ja auch am meisten davon betroffen: viele Anfänger (neben den Profis ) und die Software ist am Ende im Internet.

Geändert von BUG (21. Sep 2015 um 16:22 Uhr)
  Mit Zitat antworten Zitat
PeterPanino

Registriert seit: 4. Sep 2004
1.465 Beiträge
 
Delphi 10.4 Sydney
 
#28

AW: Frage zu Password-Hashes (SHA512)

  Alt 21. Sep 2015, 16:45
Vielen Dank für euren wertvollen Input!

Welche optimale Alternative würdet ihr für FileMD5 in Delphi vorschlagen?

Geändert von PeterPanino (21. Sep 2015 um 16:47 Uhr) Grund: Link hinzugefügt
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:12 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz