1 registered members (TipmyPip),
1,310
guests, and 0
spiders. |
Key:
Admin,
Global Mod,
Mod
|
|
|
Re: Der "mich kotzt etwas verdammt an"- Thread
[Re: Damocles]
#417217
02/10/13 11:22
02/10/13 11:22
|
Joined: Apr 2007
Posts: 3,751 Canada
WretchedSid
Expert
|
Expert
Joined: Apr 2007
Posts: 3,751
Canada
|
Warte mal, man soll also komplexe Passwörter bilden, weil das System SQL Anfragen annimmt die die Hashes zurückliefern? Ähm, wie kommst du jetzt darauf?! Darum ging es doch überhaupt gar nicht?
Shitlord by trade and passion. Graphics programmer at Laminar Research. I write blog posts at feresignum.com
|
|
|
Re: Der "mich kotzt etwas verdammt an"- Thread
[Re: Sajeth]
#417224
02/10/13 13:03
02/10/13 13:03
|
Joined: Jan 2003
Posts: 4,305
Damocles
Expert
|
Expert
Joined: Jan 2003
Posts: 4,305
|
Der angriffsvektor ist der MySQL dump Deshalb.
|
|
|
Re: Der "mich kotzt etwas verdammt an"- Thread
[Re: Sajeth]
#417230
02/10/13 15:49
02/10/13 15:49
|
Joined: Jan 2002
Posts: 4,225 Germany / Essen
Uhrwerk
Expert
|
Expert
Joined: Jan 2002
Posts: 4,225
Germany / Essen
|
Es geht eher darum, dass die Login-Eingabebox keine zu langen Passwörter akzeptieren darf Warum sollte sie das nicht tun?
Always learn from history, to be sure you make the same mistakes again...
|
|
|
Re: Der "mich kotzt etwas verdammt an"- Thread
[Re: Uhrwerk]
#417235
02/10/13 17:34
02/10/13 17:34
|
Joined: Apr 2008
Posts: 650
Sajeth
User
|
User
Joined: Apr 2008
Posts: 650
|
Warum sollte sie das nicht tun? Angenommen, für einen kritischen User-Account ist der Passwort-Hash bekannt, das zugehörige Passwort allerdings nicht. Wenn das Login-Passwort eine beliebige Länge haben darf, so ist ein kurzes Passwort zusätzlich gefährdet, da man jetzt nicht mehr das exakte Passwort finden muss, sondern nur einen beliebigen (langen) String, der den gleichen Hash erzeugt - was unter Umständen sehr viel einfacher ist. Ist ein sehr theoretischer Angriff, aber möglich.
Teleschrott-Fan.
|
|
|
Re: Der "mich kotzt etwas verdammt an"- Thread
[Re: Sajeth]
#417236
02/10/13 17:45
02/10/13 17:45
|
Joined: Jan 2002
Posts: 4,225 Germany / Essen
Uhrwerk
Expert
|
Expert
Joined: Jan 2002
Posts: 4,225
Germany / Essen
|
Für den Fall ungesalzener Hashes spielt das überhaupt keine Rolle. Ein Lookup in einer Rainbowtable und fertig. Da ist die Länge des Passwortes egal.
Bei gesalzenen Hashes wird das Nichtzulassen langer Passwörter nur dazu führen, dass Du dem Angreifer einen immensen Gefallen tust. Wenn Du ihm den Eingaberaum verkleinerst, ersparst Du ihm eine Menge Rechenzeit. Zwar ist die Wahrscheinlichkeit eine andere Eingabe mit gleichem Hash zu finden größer wenn der Eingaberaum größer wird, aber gleichzeitig vervielfacht sich ja auch die Möglichkeit an Eingaben.
Always learn from history, to be sure you make the same mistakes again...
|
|
|
|