md5 hash (salted)

[zig81]

und da langen
die 4 zeichen, egal wo und wie angehängt.

Stimmt nicht ganz.
Sobal der salt vorne oder hinten an den plain angehängt wird und das ganze einmal gehast wird, ist es im Endeffekt nur ein verlängertes Passwort.

Dann ist die Chance recht gut, dass man das Passwort in onlinedb's oder per Rainbowtable etc. crackt.
Beim bigwareshop sind das z.B. nur 2 Zeichen was ja noch leichter ist.

Natürlich ist auch ein pw normaler Länge etc. gemeint.

Sobal der salt an einen Hash angehängt wird wie bei vBulletin z.B. der Fall, ist die Chance einen solangen plain (hash + salt noch dazu) in einer onlinedb zu finden oder per rt's zu cracken natürlich Nahe null.

Aber wie du ja schon andeutest, ist es natürlich möglich diese durch bruten zu cracken. Aber es wird eben erschwert.
wbb3 und phpBB3 sind da z.B. kein Zuckerschlecken mehr.

[II Pichy II]

Nur frag ich mich dann woher er den salt hat^^

der war in der datenbank mit eingetragen.

[r0nny]

pw mit 7-8 zeichen + 4 zeichen salt = 11-12 zeichen, darunter auch ein upper char (pws sind ja auch capitalized) und numbers.
also mind. mixalpha-numeric charset bei rainbowtables mit 11-12 zeichen länge.
versuch dafür mal rainbowtables mit "guter" erfolgsrate zu erstellen.
die ganzen online dbs haben auch nicht ihre ganzen wordlists mit nem salt vorne und hinten mit 4 zeichen á 36 möglichkeiten
(insg. 1679616 möglichkeiten) versehen, weil das selbst bei ner wordlist von 100mb ~160tb an space fressen würde.

[zig81]

Ich sagte das die Chance besteht und nicht das es super einfach ist die zu cracken.
Dämlich bin ich auch wieder nicht.

Edit//
Achja. Nicht alle benutzen Passwörter mit 7-8 oder mehr Zeichen.
Sehr sehr viele benutzen weit kürzere.

Und deswegen halte ich kurze salts die direkt an den plain gehängt werden für unsicher.

@II Pichy II
Poste doch mal den username dazu

[r0nny]

Achja. Nicht alle benutzen Passwörter mit 7-8 oder mehr Zeichen.
Sehr sehr viele benutzen weit kürzere.

7-8 ist normal. das liegt sogar noch unter dem durchschnitt
meiner 10k gecrackten md5hashes.
am besten rechnest auch noch bitte alle möglichen zeichen
mit ein.

Aber wie du ja schon andeutest, ist es natürlich möglich diese durch bruten zu cracken. Aber es wird eben erschwert.

durch den salt wird das brute forcen kein bischen erschwert.

Ich sagte das die Chance besteht und nicht das es super einfach ist die zu cracken.

Dann ist die Chance recht gut, dass man das Passwort in onlinedb's oder per Rainbowtable etc. crackt.

die chance ist gleich 0. außerdem bin ich nicht der meinung,
dass "die chance besteht" == "recht gut" ist.

niemand verschwendet terabyte weise den space seiner lookup
db, nur um hashes mit 4 zeichen salt cracken zu können.
sowas wird gebruteforced.

[zig81]

1. Wie du schon sagst ist der Durchschnitt höher als 7 Zeichen. Das heißt aber nicht das niemand kürzere Wörter nutzt.
Einen Durchschnittswert kann ich dir nicht geben, aber bei 500k kann ich dir aber sehr wohl sagen dass sehr viele Leute sehr schwache Passwörter nutzen.

2. Achso. Also wenn ein Passwort länger wird durch den Salt, bzw. ein Passwort doppelt gehast wurde + Salt, wird es nicht schwieriger den zu cracken? :roll:
Also vBulletin finde ich geht ja noch. Aber wbb3 und phpBB3 finde ich nicht mehr lustig.

3. Entschuldige das ich mich falsch ausgedrückt habe ihn dem Post oben.
Ich versuchs nochmal zu erklären.

Kurzes Passwort + kurzer Salt -> einfach gehasht = nicht sehr sicher.
Z.B. hat 36c vor ner Zeit für jemanden einen bigwareshop hash gecrackt, da der nur einen 2Stelligen Salt hinten dranhängt.

Damit will ich nur sagen, dass die Methode zum generieren + kurzem salt meiner Meinung nach einfach zu unsicher ist.
Egal ob jetzt per onlinedb, rt's oder brute force.

Und was bringt es salted Hashes zu nutzen wenn die Methode zum generieren dieser von vornherein schwach ist?

niemand verschwendet terabyte weise den space seiner lookup
db, nur um hashes mit 4 zeichen salt cracken zu können.
sowas wird gebruteforced.

Kann mich auch nicht erinnern gesagt zu haben, dass das jemand tun sollte oder gar ich selbst.

[r0nny]

zu 1. du redest doch die ganze zeit von durchschnittlen pws, siehe zitat.

Natürlich ist auch ein pw normaler Länge etc. gemeint.

zu 2. nein, das brute forcen wird nicht eingeschränkt, da alle
wichtigen infos bekannt sind. der salt, die methode wie der
salt im ganzen eingebaut ist. es werden weiterhin alle
möglichen kombinationen durchprobiert wie wenn kein salt
verwendet werden würde.

zu 3. 2stelliger salt != 4stelliger salt
bei nem 2stelligen salt ist die wahrscheinlichkeit viel höher,
dass ein häufig verwendetes anhängsel rauskommt
wie z.B. dass beide stellen mit zahlen besetzt sind oder
gleiche buchstaben etc.

Kurzes Passwort + kurzer Salt -> einfach gehasht = nicht sehr sicher.

stimmt so nicht. das hängt mehr davon ab wie das pw und der
salt ausschauen.

und zu dem zitat wegen tb space verschwenden ...

Dann ist die Chance recht gut, dass man das Passwort in onlinedb's ... crackt.

dabei ging es um einen 4stelligen salt und ein

pw normaler Länge

eine gute lookup db besteht mind. aus ner db mit ~70-90mb.
dann rechnen wir mal die kominationen mit 4stelligem (loweralpha-numeric) salt
vor und hinter jedem wort aus
-> 3359232 kombinationen

ergibt dann ~224-288tb

[zig81]

1. Durchschnittliche Passwörter liegen meiner Erfahrung nach ca. bei 4 - 6 Zeichen. 7-8 laut dir.
Besonders beliebt dabei: 123456

zu 2.
Keine Ahnung was du für einen Rechner hast, aber meiner kann keine Wunder vollbringen.
Meiner ist in der Regel langsamer bei salted Hashes.
Ist ja auch logisch.
Es muß zumindest der Salt mit einließen beim Hashen und bei vielen wird auch noch ein zweites mal oder mehr gehasht.

3. Stimmt. Hast schon recht. War auch nur ein Beispiel mit dem 2stelligem.
4 Zeichen schützen aber trotzdem nicht davor, dass der Hash nicht gecrackt wird.

stimmt so nicht. das hängt mehr davon ab wie das pw und der
salt ausschauen.

Klar hängt es davon ab. Aber ich hab ja auch nicht ohne Grund "kurzes Passwort" und "kurzer salt" geschrieben.
Ein 4 stelliges Passwort + 4 stelliger salt ist doch nicht sicher genug.


Und zum Rest mit der onlinedb.
Ich sags nochmal. Ich behaupte nicht dass man alle Kombinationen in Db's speichern sollte/kann.
Ist mir schon klar wieviele Kombinationen es da gibt. Brauchst mir nicht vorechnen.

Aber die Chance dass solche Wörter enthalten sind, besteht trotzdem.
Besonders weil bei vielen Seiten/OnlineDbs etc. per rt's, wordlist usw. gecrackt wird. Und die gecrackten Passwörter finden dann auch ihren Weg in die Datenbanken.

Braucht nur jemand anderer vorher an den Hash geraten sein und irgendwo eingetragen haben.
Und das ist garnicht so selten.


Aber genug jetzt. Das artet hier schon bisschen aus, also wars das erstmal von mir.

[r0nny]

1. Durchschnittliche Passwörter liegen meiner Erfahrung nach ca. bei 4 - 6 Zeichen. 7-8 laut dir.
Besonders beliebt dabei: 123456

liegt wohl daran, dass ab da mit cracken bei dir schluss ist ?!

zu 2.
Keine Ahnung was du für einen Rechner hast, aber meiner kann keine Wunder vollbringen.
Meiner ist in der Regel langsamer bei salted Hashes.
Ist ja auch logisch.
Es muß zumindest der Salt mit einließen beim Hashen und bei vielen wird auch noch ein zweites mal oder mehr gehasht.

der eine hash durchgang mehr muss so oder so bei allen methoden vollzogen werden nur ist das rein eine zeitliche einschränkung bei brute force. rainbowtables oder lookup dbs
ist das problem um welten größer weil unmengen an space
zusätzlich benötigt wird.

3. Stimmt. Hast schon recht. War auch nur ein Beispiel mit dem 2stelligem.
4 Zeichen schützen aber trotzdem nicht davor, dass der Hash nicht gecrackt wird.

die 4 zeichen langen, solange sie nicht bekannt sind.
wenn der salt bekannt ist kann der meintwegen 512 zeichen
lang sein und schützt nicht besser als nen gebet beim
geschlechtsverkehr.

stimmt so nicht. das hängt mehr davon ab wie das pw und der
salt ausschauen.

Klar hängt es davon ab. Aber ich hab ja auch nicht ohne Grund "kurzes Passwort" und "kurzer salt" geschrieben.
Ein 4 stelliges Passwort + 4 stelliger salt ist doch nicht sicher genug.

hier ist ein md5 hash von einer 8 stelligen zeichenkette.

Code:

c5cbda7a173e37fe443e8e0ba3267eaf

viel spaß .. sollte ja nicht so lange dauern, gell ?
hängt ja nur davon ab wieviel stellen das pw hat und sonst
von garnichts.

Und zum Rest mit der onlinedb.
Ich sags nochmal. Ich behaupte nicht dass man alle Kombinationen in Db's speichern sollte/kann.
Ist mir schon klar wieviele Kombinationen es da gibt. Brauchst mir nicht vorechnen.

Aber die Chance dass solche Wörter enthalten sind, besteht trotzdem.
Besonders weil bei vielen Seiten/OnlineDbs etc. per rt's, wordlist usw. gecrackt wird. Und die gecrackten Passwörter finden dann auch ihren Weg in die Datenbanken.

rt's kannst du schon bei salts ab 2 zeichen in die tonne
kloppen, wordlists wären die ~250tb space falls pre-
computed und niemand betrieb nen wordlist cracker mit
ruled wie ^[a-z0-9]^[a-z0-9]^[a-z0-9]^[a-z0-9] weils
jahre dauert.

Code:

Braucht nur jemand anderer vorher an den Hash geraten sein und irgendwo eingetragen haben.
Und das ist garnicht so selten.

toll. dann steht der hash in ner liste und keiner kann ihn
cracken.[/code]

[zig81]

Ist schon gut.
Gegen jemanden der auf jedem i Tüpfelchen herumreitet und alles anders verstehen will was ich schreibe, komm ich nicht an.