Zuletzt Online vor 6 Jahren

andryyy

Mitglied seit 13 Jahren

Kommentare

  • 459

    Kommentare
    geschrieben
  • 301

    Antworten
    erhalten
  • 1.323

    Likes
    erhalten
  • 09.03.18
  • 10:24
  • Artikel
  • +8-4

Netflix steht kurz vor der Verpflichtung Barack Obamas für eigene Show

@tripe_down: Lass die AfD Propaganda mal Zuhause, die brauchen wir hier nicht.

  • 26.09.16
  • 19:16
  • Artikel
  • +3-1

Oculus kriecht zu Kreuze: Gründer und Top-Manager entschuldigen sich

@Caliostro: Anti-Trump-Bashing-Hirnwäsche? Weißt du eigentlich, wofür der Typ steht?

"The concept of global warming was created by and for the Chinese."
"I am being proven right about massive vaccinations. The doctors lied. Save our children and their future."
"She does have a very nice figure, I've said if Ivanka weren't my daughter, perhaps I'd be dating her"

Nur um mal drei zu nennen. Wer so blöd ist und den Klimawandel eine Erfindung Chinas nennt oder Impfungen für dumm hält, der muss Trump gut finden, ja. Bist du das? Bist du so doof? Dann bist du bestimmt auch Rassist, denn: "When Mexico sends its people, they're not sending their best. They're not sending you. They're not sending you. They're sending people that have lots of problems, and they're bringing those problems with us. They're bringing drugs. They're bringing crime. They're rapists. And some, I assume, are good people."

  • 11.07.16
  • 09:33
  • Artikel
  • +2

Build 14385 im Fast Ring: Neue Win-10-Preview kann ausprobiert werden

@BartVCD: Danke!

  • 15.06.16
  • 20:07
  • Artikel
  • -1

Großer Hoster verliert 45 Mio. Nutzerdaten von tausend Foren

@Draco2007: Ich dumpe mir den Datensatz mit PW (hashed) UND Salt des PWs. Also habe ich zum Beispiel "MD5:HASH" in einer Datei. Der Salt steht jetzt rechts vom Hash, verstehst du? Der Cracker (das Programm) kann den Salt für jedes einzelne Passwort aus der Datei lesen und entsprechend das Wörterbuch anpassen.

Ich kann dir eine solche DB einfach mal darstellen:

User, Password, Salt
------------------------
user1,22e5ab5743ea52caf34abcc02c0f161d,apodjgfajgfaga
user2,ffaaab57434a526888abc902c0f1121,olifhj0913jraf

Ich dumpe mir jetzt folgende Daten:

22e5ab5743ea52caf34abcc02c0f161d:apodjgfajgfaga
12aaab57434a526888abc902c0f1121:olifhj0913jraf

Dem Cracker sage ich "links ist der MD5-Hash, rechts der einmalige Salt". Das Programm testet jetzt anstatt "s3cret" zum Beispiel "s3cretapodjgfajgfaga". Das ist natürlich abhängig von der Anwendung, wie der Salt angefügt wird. Für Open-Source Software bedeutet das allerdings 10 Sekunden googlen. :-)

  • 15.06.16
  • 20:01
  • Artikel
  • -1

Großer Hoster verliert 45 Mio. Nutzerdaten von tausend Foren

@dpazra: ? "Die Verwendung von unterschiedlichen genügend langen Salts für jedes Passwort führt dazu, dass du nicht das selbe Hash zu Passwort Wörterbuch zum Knacken der gesamten DB verwenden kannst."

Das stimmt nicht. Das ist total egal, das der Salt anders ist. Wenn der einmalige Salt NEBEN dem Passwort steht (MD5), dann dumpe ich mir den MD5 UND den Salt, merge die beiden zu einem String a la "MD5:SALT" und gebe den Cracker durch, dass der Salt jeweils rechts vom MD5 steht.
Der Cracker nimmt sich dann das Wörterbuch und hängt einfach (je nach Art, wie gesagt) den Salt rechts an. So wird anstatt "1234" eben "1234SALT" gebruteforced.

Ich frage mich, wie du das überhaupt in Frage stellen kannst, wenn ich doch schrieb, dass wir auf diese Art erfolgreich einige PWs knacken konnten. ^^

  • 15.06.16
  • 17:03
  • Artikel

Großer Hoster verliert 45 Mio. Nutzerdaten von tausend Foren

@dpazra: Der Salt wurde mit allergrößter Sicherheit in der selben DB gespeichert. Ich kenne kaum eine Software, die es anders macht. Wer MD5 einsetzt, der hat sich DIE Mühe bestimmt nicht gemacht.
Auch wenn der Salt für jeden Hash anders ist, was bringt es dann noch? Wenn der Dump vorliegt, parse ich mir die Hashes + Salt zurecht, schaue womöglich, wie das Passwort mit dem Salt kombiniert wurde (evtl. vorher noch unhex'en) und los geht es.

Ich habe es einem Kunden mal vorgemacht. Dort haben wir die Hashes + individuellem Salt aus der DB gezogen, schnell in die Software geschaut, wie gesalzen wurde und dann mit Cuda + Nvidia GPU 500 Millionen Passwörter die Sekunde ausprobiert (sogar "nur" eine GTX 960).
Wir haben irgendeine Passwortliste ergooglet, um die 100MB. Den Salt hängen die Cracker an den String nach deinen Vorgaben an und unhexen sogar vorher.

Man darf nicht unterschätzen, wie einfach das heute alles geht... Wenn ich das nach ein paar Minuten googlen konnte, kann das jemand, der sich damit dauerhaft beschäftigt, bestimmt noch viel besser. :-)

PS: Wir konnten ihn umstimmen, die Authentifizierung zu verändern...

  • 19.05.16
  • 10:46
  • Artikel
  • +1

Allo: Google bringt den Über-Messenger - mit Assistent & Privatsphäre

@Alexmitter: Nun?

  • 27.11.15
  • 11:42
  • Artikel

Mozilla Foundation: Google-Abhängigkeit beendet, Umsatz gesteigert

News #90000 und keiner sagt was? :-)

  • 22.07.15
  • 14:44
  • Download
  • +1

Ninjacat: Microsofts Spezial-Hintergrundbilder für Windows Insider

@hhgs: Ich wußte nicht, dass der Narwhal auch 2015 noch bacon't.

  • 31.12.14
  • 09:33
  • Artikel
  • +4

Für Silvester: Microsoft-Mitbegründer parkt 250 Mio. Jacht in Sydney

@Freudian: Und er hält sich immer für so schlagfertig, das finde ich fast am lustigsten. Ich freue mich immer, wenn ich den Blödsinn wieder lesen darf. Ich hoffe, ich bekomme eine besonders schlaue und schlagfertige Antwort hierauf.

Mehr anzeigen

Entdecke deine Nachbarn