AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Datenbanken Delphi Passwordverschlüsselung
Thema durchsuchen
Ansicht
Themen-Optionen

Passwordverschlüsselung

Ein Thema von Tinewww · begonnen am 12. Sep 2006 · letzter Beitrag vom 14. Sep 2006
Antwort Antwort
Seite 3 von 3     123   
Der_Unwissende

Registriert seit: 13. Dez 2003
Ort: Berlin
1.756 Beiträge
 
#21

Re: Passwordverschlüsselung

  Alt 14. Sep 2006, 18:47
Hi,
sorry aber irgendwas versteh ich doch jetzt falsch, wenn jmd aus der DB den gespeicherten Hash auslesen kann (sonst kann man schlecht das PW aus den Rainbow Tables auslesen), dann hab ich doch eh schon ganz andere Probleme!
Ich meine ist ja schön und gut für die Theorie, aber es wird ja hier schließlich auf einem fremden, entfernten Rechner der Hash des PW auf Gleichheit mit dem gespeicherten geprüft.
Tauchen dabei Sicherheitslücken in der DB auf, so hat man natürlich den Vorteil, dass hier nur Hashes bekannt werden und mit Rechtzeitigem erkennen des Angriffs / auslesen der Hashes hat man dann reagieren.

Zitat von Meflin:
Desweiteren ist der Artikel Heise-typsich: man verstecke eine einigermaßen potentiell-tolle Nachricht unter einer reiserischen Überschrift und kläre dann im Artikel dass es eigentlich garnicht so schlimm sei...
Na ja, so Heise-typisch ist das finde ich nicht. Das nennt man zurzeit wohl Journalismus. Da findet man doch häufig reisserische Überschriften mit wenig hinter, aber gerade wenn es um Sicherheit geht finde ich haben die alles richtig gemacht. Das sichert zu, dass Leute das Lesen und wenn man in Nachrichten schon Teile austauschen kann, sollte man ruhig schon mal über mögliche Probleme und Alternativen zu den Verfahren nachdenken. Ich glaube es gibt Leute, die werden nicht all zu publik machen, dass sie einen Weg haben um ein Sicherungsverfahren zu umgehen.

Gruß Der Unwissende
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#22

Re: Passwordverschlüsselung

  Alt 14. Sep 2006, 19:24
Zitat:
Hm, vielleicht waren das sg. Rainbow Tables. Diese lassen sich aber glaube ich für jedes Hashverfahren erstellen.
Diese Aussage muß ich korregieren. Rainbow Tables sind eine Form des Dictionary=Wörterbuch Angriffes. Bei diesen Verfahren berchnet man eine Tabelle aller möglichen Passwörter und deren Hash. Beim Angriff schlägt man einen Hashwert in dieser Tabelle nach und findet so das Passwort. Rainbow Tables sind eine spezielle Form dieser Wörterbücher die diesen Angriff beschleunigen weil weitaus weniger Speicher für diese Tabelle benötigt wird.

ABER! wenn man ein krytographisch korrektes Verfahren benutzt um das Passwort zu schützen dann funktionieren auch Rainbow Tables nicht mehr. Die Frage ist wie macht man es richtig ?

1.) ein Salt benutzen
2.) eine Hashfunktion benutzen

Man erzeugt einen Salt, das sind Zufallsdaten. Diese sollten mindestens so groß sein wie die Hashfunktion, dh. wenn wir SHA1 benutzen dann sollte dieser Salt 160 Bits groß sein, weil SHA1 eben 160 Bit groß ist.

Diesen Salt + das Passwort wird nun transformiert indem man damit die Hashfunktion füttert.
Der Hashdigest + der Salt werden auf dem Server zur Verifikation gespeichert.

Durch die Benutzung dieses Salts würde man also 2^160 Rainbow Tables benötigen statt nur EINER Tabelle ! Somit macht dieser simple Salt jedweige Form von Wörterbuch Angriffen unpraktikabel.

Rainbow Tables sind eine relativ neue Erfindung die überwertet wird. Ja, sie sind eine interessante Methode um schlecht bzw. kryptographisch unmodern konstuierte Verfahren zu knacken, zb. Windows/UNIX-Passwörter oder WLAN Verschlüsslung die nicht WPA2 konform ist.

Aber wenn man wie oben einen Salt + Password hasht dann funktinieren diese Angriffe nicht mehr.

Fazit: immer mit Salts arbeiten. Einmal um ein Password für eine Verschlüsselung in einen sicheren Sessionkey umzuwandlen, und zweites ein Salt vor die Daten die man verschlüsseln möchte um zb. Known Plaintext Angriffe auf unsere Daten zu verhindern !

Gruß Hagen
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:35 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz