md5 hash (salted)

**r0nny** · 04.08.2008, 16:28

Aber genug jetzt. Das artet hier schon bisschen aus, also wars das erstmal von mir.

?! wohl doch nicht *hust*

**necory** · 04.08.2008, 17:33

wenn man sowas liest denkt man sich nur ob nicht jemand am thema vorbeiredet

**r0nny** · 04.08.2008, 18:31

und dass dazu leute noch abwegigere kommentare abgeben müssen nur um etwas gesagt zu haben

**pHySSiX** · 05.08.2008, 21:19

Zitat von r0nny

Zitat von zig81

Aber wie du ja schon andeutest, ist es natürlich möglich diese durch bruten zu cracken. Aber es wird eben erschwert.

durch den salt wird das brute forcen kein bischen erschwert.

dumbshit?

überleg mal...
bruten = passwörter ausprobieren wie ein vollidiot
jetz überleg mal weiter...
annahme: 10 stelliges passwort
nur zahlen
-> 10^10 möglichkeiten
...
angenommen es wär nen salt dabei, den du entweder NICHT kennst, oder nicht weisst wie er verwendet wird... (passwort+salt | salt+pw oder noch unsympathischer)
sagen wir nen salt mit 5 zeichen, was nicht gerade viel ist und durchaus möglich ist!
hätten wir scon 10^15 zeichen, angenommen es wär nen sympathischer salt der auch nur aus zahlen besteht....

dann überleg dir jetz mal wie falsch deine aussage ist:
[ ] bisschen falsch
[ ] ok sorry hab total unrecht
[ ] ich bin soooo dooof sorry

wenn mir nicht glaubst... rechne das mal mit ner "normalen" zeichen zahl...
sowas wie:
mixalpha-numeric + .,;:-_()
sowas wird recht oft verwendet :D

greetz
phy

ps.: kann dir gernen nen hash geben und den salt dazu in plaintext...
du wirst ihn NIE bruten (sagen wir 7 stellig + 5 stelligen salt)

**r0nny** · 06.08.2008, 12:56

also les den ganzen thread am besten nochmal bevor auch du anfängst zu klugscheissen.
ich nehme stehts an, dass der salt bekannst ist.
der salt wird sowieso mit dem hash gespeichert, falls extra einer generiert wird. von daher
ist es ein kinderspiel auch an den salt zu kommen, da man ja an den hash gekommen ist.
und zu der sache mit salt und wie er an das pw/hash konkateniert
wird. wenn du das nicht rausbekommst solltest du deine
arbeitsweise vll mal überdenken.

zeichen zahl... sowas wie:
mixalpha-numeric + .,;:-_()

was solln das sein :roll:

salt dazu in plaintext...

:roll:

du wirst ihn NIE bruten

schon alleine die tatsache, dass die zeit die dazu nötig ist
nicht unendlich ist widerlegt das NIE.
bei mixalpha-numeric-symbol32-space wäre der zeitraum bei
sehr realisitschen 5*10^6 md5 durchläufen pro sekunde
nur ~161 tage lang. so einen zeitraum würde ich niht als
NIE bezeichnen.

**pHySSiX** · 06.08.2008, 13:21

wie gesagt diese 10 zeichen habe ich nur als beispiel genommen um mal aufzuzeigen wie enorm sich der aufwand durch einen salt erhöht.

mit: "mixalpha-numeric + .,;.-_()"
meine ich, dass das statistisch gesehen die häufigsten zeichen in einem passwort sind. es erleichtert schlicht und einfach die anzahl der möglichen zeichen.

und wenn man dann statt 10 zeichen ca 100 zeichen hat, wird das schon etwas länger dauern. und darf bei 7 zeichen + 5stelligen salt auch als UNENDLICH bezeichnet werden. da du es mit 99,999999999%iger wahrscheinlichkeit nicht miterleben wirst, wenn der brute erfolgreich ist.

wären immerhin (ungefähr) 100^13 möglichkeiten
wenn mann bedenkt, dass du 5*10^6 h/s angibst kämen wir auf "ein wenig" als deine maximale lebenszeit...
ohne nachzurechnen vermute ich mal schlicht und einfach 10^12 mal mehr als deine lebenszeit

greetz

edit: habs doch noch nachgerechnet...
wären so ca 63 milliarden jahre (mit der annahme von 5*10^6 hashes/s)
wenn man annimmt dass das passwort irgendwo in der mitte der prozedur erraten/gefunden wird, isses immernoch lange genug um es als unendlich zu bezeichnen

**r0nny** · 06.08.2008, 14:09

so da du es anscheinend immer noch nicht checkst und weiter
von deiner eigentlichen kritik an meiner aussage abkommst
schreibe ich es nochmal am anfang bevor ich auf deinen post
eingehe.

salts erschweren das brute forcen nicht!
das ist eine tatsache. egal ob mit oder ohne salt.
lediglich methoden die auf pre-computing aufbauen wird
auf den fuß getreten. da mag ein hash mit 2stelligem salt
ab und zu noch gecrackt werden aber spätestens ab 4 stellen
kommt man mit den methoden keinen meter mehr weit.
es muss immer der gleiche aufwand verrichtet werden.
es werden immer die gleichen möglichkeiten durchgetestet
und einfach bei nem salted hash an die möglichkeiten der
salt während der laufzeit entsprechend angehängt.

Code:

wie gesagt diese 10 zeichen habe ich nur als beispiel genommen um mal aufzuzeigen wie enorm sich der aufwand durch einen salt erhöht.

und wie erhöht sich nun der aufwand?
garnicht. man muss, ob mit oder ohne salt, die gleiche anzahl
an möglichkeiten durchgehen.

Code:

mit: "mixalpha-numeric + .,;.-_()"
meine ich, dass das statistisch gesehen die häufigsten zeichen in einem passwort sind. es erleichtert schlicht und einfach die anzahl der möglichen zeichen.

mir ist schnuppe was du mit "mixalpha-numeric + .,;.-_()" meinst!
erkläre lieber mal was eine "zeichen" zahl ist.
und btw fehlen in deinem charset viel interessantere zeichen
als () nämlich !@*# die häufiger verwendet werden.

und wenn man dann statt 10 zeichen ca 100 zeichen hat, wird das schon etwas länger dauern. und darf bei 7 zeichen + 5stelligen salt auch als UNENDLICH bezeichnet werden.

selbst wenn du sagt, dass der charset aus allen 256 ascii zeichen besteht
dauert es nicht unendlich. dann nehm ich mir eben noch
meine 2 ps3 und die von nem bekannten dazu und brute mit.
4.5*10^9 md5 durchläufen pro sekunde und brauche nur
~185 tage bis das 7 stellige pw vergangenheit ist.

(und kleiner tip: bezeichne nicht alles als zeichen.
verwende mal klarere begriffe was du meinst.
7 zeichen + 5stelligen salt mit 100 zeichen .. ja ne is klar:roll

Code:

da du es mit 99,999999999%iger wahrscheinlichkeit nicht miterleben wirst, wenn der brute erfolgreich ist.

werde ich innerhalb der nächsten 184 tage mit 99%
wahrscheinlichkeitvon nem auto überfahren?

wären immerhin (ungefähr) 100^13 möglichkeiten
wenn mann bedenkt, dass du 5*10^6 h/s angibst kämen wir auf "ein wenig" als deine maximale lebenszeit...
ohne nachzurechnen vermute ich mal schlicht und einfach 10^12 mal mehr als deine lebenszeit

greetz

wie gesagt. man braucht nur hardware zu nehmen die schneller
als die ganzen desktop pcs sind in sachen mathematischer
berechnungen und schon sieht das ganz anders aus.
beziehe bitte auch mit ein, um welchen faktor sich pro
jahrzehnt die geschwindigkeit von prozessoren vervielfacht,
oder meinst du in 10 jahren bruted noch einer auf nem
lumpigen quad core von intel mit 2.66ghz?

edit: habs doch noch nachgerechnet...
wären so ca 63 milliarden jahre (mit der annahme von 5*10^6 hashes/s)
wenn man annimmt dass das passwort irgendwo in der mitte der prozedur erraten/gefunden wird, isses immernoch lange genug um es als unendlich zu bezeichnen

s.o.

Thema: md5 hash (salted)

Themen-Optionen

Anzeige

Stichworte

Berechtigungen