|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Unter anderem liessen sie auch john laufen, das ergebnis ist erschreckend:
(letzte spalte sind zeiten beim passwortcheck von datenschutz.ch)
magic (TorstenK) 0s
abc123 (PoelzI) 0s
thh (ThomasHochstein) 0s
foo (ColinMarquardt) 0s
creative (ValentinWorm) 2s
123456 (BlueLoop) 0s
mantiut (ValerieHaselbek) 14min
guest (#TWikiGuest) 0s
tester1 (HannoWagner) 19s
9758 (SenfMan) 1s
enter (BenjaminSchweizer) 0s
deppen (FräuleinKlein) 21s
bin ich der einzige, der die meinung vertritt, dass leute mit solchen passwoertern exekutiert werden muessen?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich schätze mal die Passwörter waren DES? Bei praktisch allen mehr-oder-weniger modernen Linux (ich weiss es war BSD) Distri's sinds ja bereits MD5-Passwörter in der shadow. Ist das bei BSD nicht der Fall?
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Spielt es bei einem Wörterbuchangriff eine Rolle, ob man die Passwörter durch DES oder MD5 lässt? Obige Passwörter wurden ziemlich sicher mit Wörterbuchangriffen geknackt. Da nimmst Du einfach ein Wörterbuch, lässt die Passwörter durch DES oder MD5 durch und schaust ob das was rauskommt gleich aussieht wie einer der Einträge in der Passwort-Datei (modulo etwas "Salz").
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja, dachte das is bei MD5 nicht so einfach ;). Wenn du ein Passwort DES verschlüsselst, sieht dieses ja auch nicht immer gleich aus. Deshalb dachte ich, sowas ist bei MD5 aufwändiger zu knacken bei einem dictionary attack.
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
|
|
|
|
Es spielt keine Rolle, was du verwendest. Es wird ja nicht das Passwort, sondern nur ein Hash (kryptografischer Hashwert) abgelegt. Aus dem Hash lässt sich keine Aussage über das ursprüngliche Passwort machen und es ist sehr schwierig ein anderes Passwort zu finden, dass denselben Hash generiert (Kollision). DES ist kein Hash Algorithmus, sondern eine symmetrische Verschlüsselung, lässt sich also zurückrechnen. (Es iat allerdings möglich, auf Grundlage des DES Algorithmus eine kryptografische Hashfunktion zu bauen)
Beim Knacken musst du, da sich die Werte nicht zurückrechnen lassen, ein Passwort nehem, den Hash bilden und mit dem gespeicherten Wert vergleichen. Und das mit jedem möglichen Passwort. Klar spielt es dabei eine Rolle, wie schnell du die Hashfunktion rechnen kannst, aber das macht allenfalls einen einstelligen Faktor aus.
Drum kommst du unabhängig vom verwendeten Hasch nicht drum rum, die Passwörter so zu wählen, dass das Ausprobieren sehr aufwändig ist.
Es gibt noch den Ansatz mit 'Salt'. Die Idee dabei ist, den Hash so zu bauen, dass er erstens sehr aufwändig zu rechnen ist (z.B. eine Sekunde pro Durchlauf) und zweitens für jedes gespeicherte Passwort anders funktioniert. Letzteres macht das Anlegen von vorgerechneten Wörterbüchern und ihren Hash nutzlos.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja das mit dem salt kenn ich! Deshalb sieht der hash auch bei gleichen Passwoertern nicht immer gleich aus oder?
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
|
|
|
|
Das kannst du verhindern, indem du für jedes Passwort einen eigenen Salt-Wert verwendest. Dieser Salt-Wert wird zusammen mit dem Hash des Passworts abgelegt. Er ist also kein Geheimnis (bzw. so geheim, wie die Hashes der Passwörter), er führt aber dazu, dass du für eine Wörterbuchattacke alle Versuche für jedes Passwort einzeln durchführen musst.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Sunday 28. November 2004, 20:05 MEW (#2)
|
|
|
|
|
Wieso hatten die Root-Zugriff? War fuer mich aus dem Text nicht erkennbar, die Wiki hat ja 'nen eigenen User.
Btw., die lieben Passwoerter .. :>
am.
|
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 29. November 2004, 23:18 MEW (#18)
|
|
|
|
|
Hmm, -1, das war jetzt keine Anklage sondern eine Frage.
|
|
|
|
|
|
|
|
|
Von loozer
(niki punkt christener at dtc punkt ch)
am Sunday 28. November 2004, 20:54 MEW (#3)
(User #974 Info)
|
|
|
|
|
diese Woche stand auf planet.freedesktop.org folgendes zum Einbruch auf freedesktop.org:
It turned out that it was compromised via a hole in TWiki, but no news was to be found on the TWiki site about this hole, nor was there a new release. How not to do security 101.
Das wären dann also schon zwei prominente Opfer. Ob das Loch nun gefunden wurde?
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Sunday 28. November 2004, 21:45 MEW (#5)
|
|
|
|
|
Ja. Es wurde auch ein Advisory dazu veröffentlich.
http://twiki.org/cgi-bin/view/Codev/SecurityAlertExecuteCommandsWithSearch
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 29. November 2004, 02:36 MEW (#9)
|
|
|
|
|
Ja, vor 14 Tagen kam das entsprechende Advisory raus. Der Bug wurde beseitigt, und ein paar weitere Unsauberheiten hoffentlich (wenn Upstream die Patches annimmt) auch.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 29. November 2004, 08:00 MEW (#11)
|
|
|
|
|
Die Twiki coder sollte man an den nasenlöchern aufhängen..
Wer so doof ist und userinput an die shell weiterleited (-T ? hallo?) ist echt ziemlich ...
|
|
|
|
|
|
|
|
|
|
|
|
|
Es hat euch keiner gezwungen den Code einzusetzen. Nach bekanntwerden der Lücke wurde zügig reagiert und _diese_ Lücke geschlossen. Ansonsten halte ich einige Kommentage für recht sinnfrei; oder zumindest widersprüchlich zu den _dokumentierten_ Ereignissen. Was geschah ist ja aus erster Hand überliefert (und auch nicht ganz so lame wie es mancherorts dargestellt wird). Wozu ein sicheres Passwort verwenden, wenn es nicht wichtig ist?
--
redsheep.de/
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 29. November 2004, 12:59 MEW (#15)
|
|
|
|
|
SCO hats scheinbar auch erwischt.
Man findet dort nun Sätze wie:
"We own all your Code - Pay us all your Money"
"Apply for a FREE assessment of SCOoffice Server, and see how it brings a business together better than a group hug."
http://www.sco.com
Und man sollte mal genau hinsehen was die Dame da an die Tafel schreibt...
http://www.sco.com/images/landing_pages_new/webinar_land2-1.jpg
|
|
|
|
|
