Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=15c89b124257e922d42232c6d815cfc3 profile.php?mode=register&sid=15c89b124257e922d42232c6d815cfc3 faq.php?sid=15c89b124257e922d42232c6d815cfc3 memberlist.php?sid=15c89b124257e922d42232c6d815cfc3 search.php?sid=15c89b124257e922d42232c6d815cfc3 index.php?sid=15c89b124257e922d42232c6d815cfc3

Foren-Übersicht » Krypto- & Steganografie » md5 - Sicher oder nicht? Gehe zu Seite 1, 2, 3, 4  Weiter
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
md5 - Sicher oder nicht?
BeitragVerfasst am: 01.01.2006 21:41 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Nachdem Tobias hier erwähnt hat, dass md5 unsicher sei dachte ich mir, dass es villeicht ganz interessant sei dieses Thema mal genauer zu diskutieren.

Zu Anfang mal ein kleiner Auszug aus dem Wikipediaartikel zu md5
Zitat:
MD5 ist ein Vertreter aus einer Reihe von Hashfunktionen, die von Professor Ronald L. Rivest am MIT entwickelt wurden. Als Analysen ergaben, dass der Vorgänger MD4 wahrscheinlich unsicher ist, wurde MD5 1991 als sicherer Ersatz entwickelt. Tatsächlich wurden später von Hans Dobbertin Schwächen in MD4 gefunden.

1996 meldete Dobbertin eine Kollision in der Kompressionsfunktion von MD5. Dies war zwar kein Angriff auf die vollständige MD5-Funktion, dennoch empfahlen Kryptographen bereits damals, wenn möglich auf sicherere Algorithmen wie SHA-1 oder RIPEMD-160 umzusteigen. Im August 2004 fanden chinesische Forscher Kollisionen für die vollständige MD5-Funktion. Wie sich diese Entdeckung auf die Verwendung von MD5 auswirkt, bleibt abzuwarten.

Diese Attacken wirken sich allerdings nur auf Kollisionsangriffe aus, Preimage-Angriffe können auch mit diesen Methoden nicht in sinnvoller Zeit durchgeführt werden. So kann ein bestehendes, mit MD5 erzeugtes Zertifikat nach wie vor nicht gefälscht werden.


Hier wird ja im Grunde genommen Die Aussage von Tobias gestützt....

Jetzt meine Frage:
Was haltet ihr von md5?
Ist es sicher, wie bisher allgemein angenommen oder etwa doch nicht so sicher, wie Tobias meint?
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 01.01.2006 21:52 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Von mir aus können wir mal die Sicherheit von md5 überprüfen.

Das heißt: Ich gehe hin und erstelle md5-Prüfsummen von Passwörter - die Passwörter würden sich dann im Schwierigkeitsgrad steigern.

Meines Wissens ist md5 ab 7-8 Zeichen relativ sicher - das heißt man braucht einige Zeit das zu bruten. Entschlüsseln lässt es sich meines Wissens nämlich nicht. Diese Sicherheit potenziert sich natürlich durch immer mehr Zeichen und durch Sonderzeichen, Zahlen etc. im Passwort. Wir könnte hier also herausfinden, ab wann ein Knacken solch eines Hashes wirklich zu lange dauert, d.h. mehrere Jahre.

Passwörter wären dann z.B.solche:

Einfach: geheim (sollte relativ schnell gehen)
Mittel: 50prisa
Schwer: 3plq892qw

Was haltet ihr von der Idee?
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 01.01.2006 21:54 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Md5 ist nicht mehr sicher. Ich kenne eine Seite wo bei einem Rainbow-Tables Projekt fast alle md5 Hashes verfügbar sind.
Innerhalb von weniger als 5 Minuten ist ist das PW mit durchschnittlich 99% Erfolgsrate ermittelt.
Selbst SHA1 (für mySQL) wird schon bald kein Problem mehr darstellen.

*/www.rainbowcrack.com/*

Was sagt ihr dazu?
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 01.01.2006 21:59 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Ok wir beginnen mit einem ganz leichten Wort, was in jedem Wörterbuch vorkommt (alles Kleinbuchstaben).

598d4c200461b81522a3328565c25f7c

Wenn ihr das habt, steigern wir den Schwierigkeitsgrad immer weiter.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 01.01.2006 22:15 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Das Passwort ist: hallo
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 01.01.2006 22:19 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Ok, dann sag uns bitte noch ob du es gebrutet hast (wenn ja, wie lange) oder ob du es in der besagten Datenbank nachgeschlagen hast.

Wir gehen dann zum nächsten Passwort-"Level" über:

20d6013c0ced4dc44182f0c85d1b70bf

Dieses Wort kommt in keinem Wörterbuch vor.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 01.01.2006 22:22 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Die zwei größten Datenbanken sind nicht verfügbar (bei einer müsste ich erst selbst generierte Hashes erzeugen und abschicken was mich aber 133 Stunden kosten würde.
Die andere war einfach so nicht verfügbar und wird es für ein paar Tage auch weiterhin bleiben.)
Ich hab aber dann ne andere Datenbank gefunden. Hat eine Sekunde gedauert *g*.


Zuletzt bearbeitet von Lukas am 01.01.2006 22:25, insgesamt einmal bearbeitet
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 01.01.2006 22:23 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Das neue PW ist ?????
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 01.01.2006 22:24 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Zitat:
Das neue PW ist ?????


Falsch! Es besteht diesmal aus Kleinbuchstaben und Zahlen - insgesamt 8 Zeichen. Es kommt in keinem Wörterbuch vor.

Für diese leichten Wörter aus Wörterbüchern mit wenig Buchstaben scheint deine Methode aber funktioniert zu haben.

Wir halten den Link zu der Datenbank mit den MD5-Hashes von G-DATA mal fest: http://gdataonline.com/seekhash.php

???? bedeutet dort wohl eher, dass es in der Datenbank keinen Eintrag für den eingegebenen Hashwert gibt.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 02.01.2006 00:24 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Also zum bruten braucht man lange xD
Mein PC arbeitet jetzt schon seit 1h 10min und ist erst bei aaac3???
(? = beliebiges zeichen)
Ich persönlich bin zu ungeduldig dafür^^
Und ich wette selbst wenn ich das Script noch bis morgen früh laufen lasse hat der den Hash noch nicht vollig gebrutet...

edit: es ist jetzt 2:30 und das Script ist immer noch bei aaaii???


Zuletzt bearbeitet von Phara0h am 02.01.2006 02:31, insgesamt einmal bearbeitet
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 02.01.2006 00:31 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Ja, es sind ja immerhin 8 Zeichen mit Kleinbuchstaben und Zahlen. Das dauert sicher ein paar Tage. Wenn du willst, kannst du es weiter testen.

Ansonsten halte ich mal fest:
- Passwörter in Foren oder überhaupt auf Webseiten (in der Regel wird dort MD5 verwendet) sollten mindestens 8 Zeichen haben, Zahlen und Sonderzeichen am besten auch noch enthalten.

Diese Panikmache von Tobias & Co finde ich albern. Denn außer der Administrator einer Webseite, hat sowieso keiner Zugriff auf die MySQL Datenank mit den Hashes. Und Datenpakete im Internet abzufangen ist kein Kinderspiel.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 02.01.2006 13:03 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




^^
8 Zeichen (Kleinbuchstaben und Zahlen) sind nicht so leicht zu knacken... das Bruteforce-Script ist immer noch bei aaaP????
Und das nach 12 1/2 Stunden non stop....
Ich breche das jetzt ab, da ich nicht die Geduld habe das durchlaufen zu lassen....
Ausserdem wollten wir nur beweisen, dass md5 auch sicher sein kann...
Und das haben wir xD
Mit handelsüblichen PCs dauert das cracken via Bruteforce definitiv zu lange!
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 02.01.2006 14:29 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Nein bewiesen ist nur, dass es mit handelsüblichen Pc's und einem normalen md5 cracker unpraktikabel ist.
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 02.01.2006 15:15 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Gut, genau das habe ich erwartet. Aber gewisse Leute müssen ja von Anfang an alles schlecht machen; die Verschlüsselung gibt es nicht umsonst schon seit 15 Jahren.

Entschlüsseln lässt es sich nicht - oder ich wurde noch von keiner Lösung überzeugt.

Das Bruten ist bei sicherern Passwörtern unmöglich: das heißt, wenn man ein 10stelliges Passwort verwendet, ein Mix aus Buchtaben, Zahlen und Sonderzeichen, so wird es Jahre dauern, bis das gecrackt würde. Natürlich spreche ich hier von einem PC, den man zuhause hat.

Supercomputer oder wie man sie nennt, die besten Computer der Welt also, die vermutlich in riesigen Gebäuden Platz finden, cracken das natürlich in ein paar Sekunden.

Das mit den Datenbanken, wo die MD5-Hashes abgespeichert werden, scheint ganz interessant zu sein, jedoch nur bei Passwörtern aus Wörterbüchern (z.B. erstes Beispiel: "hallo"). Bei einer Kombination aus Buchstaben und Zahlen kann wohl kaum ales in einer Datenbank abgespeichert werden.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 02.01.2006 16:20 Antworten mit Zitat
Lukas
Anmeldedatum: 31.12.2005
Beiträge: 257
Wohnort: Wien




Doch genau das ist bei www.rainbowcrack.com der Fall!


Zuletzt bearbeitet von Lukas am 03.01.2006 13:48, insgesamt einmal bearbeitet
Benutzer-Profile anzeigen Private Nachricht senden
md5 - Sicher oder nicht?
Foren-Übersicht » Krypto- & Steganografie
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 4  
Gehe zu Seite 1, 2, 3, 4  Weiter
  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum