Wann ist eine Software gut geschrieben und wie lange bleibt sie gut geschrieben, wenn sich niemand um die Software nach der Entwicklung kümmert?
Die Welt entwickelt sich ständig weiter und es gibt immer neue Angriffsvektoren. Was heute noch Up-to-date erscheint, sieht in 5 Jahren wieder anders aus.
Von Verfluchtnochmal_5987109 am Mo, 11. Juni 2018 um 20:03 #
Zwischen naiver und defensiver Programmierung liegen Welten, beim ersten Fall kannst du alle paar Tage rumfrickeln und im zweiten Fall stellen sich viele zukünftige Vektoren die immer schon da aber wenig bekannt waren erst gar nicht
Von Verfluchtnochmal-05995bd7b am Mo, 11. Juni 2018 um 22:48 #
Die Frage ist völlig wurscht, im Zweifel wird von wem auch immer was auch immer möglich ist abgegriffen und wenn ud die dateh mal hast dann kannst du dir immer noch überlegen wpzu sie denn gut sind - So einfach funktioniert das im echten Leben
Ja leider, MD5 ist mit überschaubaren Aufwand im Minutenbereich für kürzere Passwörter (kleiner 12 Zeichen, nicht voller ASCII Zeichensatz) zu brechen. Längere Zeichenketten sind daher deutlich im Vorteil.
Der Salt dient nur dazu, dass dieser Aufwand für jeden User wiederholt werden muss aber erhöht nicht die Sicherheit eines Kennworts.
Mit aktuellen Grafikkarten im Verbund lassen sich erschreckend viele Hash/Sec berechnen. z.B.: * 1x Nvidia GTX 1080 = ~25GH/s * 8x Nvidia GTX 1080 = ~200GH/s * 200 GH/s = 200 000 000 000 H/s
Für 44bit Entropy (XKCD Comic) braucht diese Konfiguration maximal 5 Minuten
Grobe Brechung der durchschnittlichen Dauer: https://www.bee-man.us/computer/password_strength.html
Das Hauptprob bei MD5 für pw-hashing ist die schnelle Berechnung, der Rest (salted und damit die Länge) ist das angeblich eher nebensächlich. Der Aufwand steigt aber dennoch exponentiell mit der Länge und je nachdem wie das salt implementiert ist, wird der String gleich nochmal deutlich länger. Wenn ich da einen Hash über einen gesalteten String der z.B. 255 Zeichen lang ist bilde, hat auch ein Grafikkartenmonster, Rainbowtabelbesitzer sehr lange daran zu knabbern. Praktisch sind aber die pws oft in der Länge sehr beschränkt (bsp. max. 12 Zeichen), was ich schon immer sehr seltsam fand, da hat dann ein Angreifer leichtes Spiel.
Windows gehört verboten, Microsoft hat damit eine Spionagesoftware in die Welt gesetzt, die seinesgleichen sucht. Vollidioten verwenden Windows - und die gibt es besonders in der Regierung.
Für die Benutzer stellt sich die Frage, ob die Seite überhaupt noch betreut wird
Naja, da wird sich schon noch der eine oder andere darum kümmern, dass die 40 Ad-Tracker und zahlreiche Werbefenster laufen. Die Seite ist gut in Schuss...
Wenn ein Portal seine Software nicht pflegt, ist es völlig egal welche Lizenz hier eine Rolle spielt. Versagt hat offenbar eine ganz andere Stelle.
Die Lizenz ist ohnehin egal. Wenn es gut geschrieben ist, wird es nicht geknackt, wenn nicht, dann doch.
Das ist weder eine Frage von Quelloffenheit, noch von Kostenfreiheit.
Das ist zu einfach ausgedrückt.
Wann ist eine Software gut geschrieben und wie lange bleibt sie gut geschrieben, wenn sich niemand um die Software nach der Entwicklung kümmert?
Die Welt entwickelt sich ständig weiter und es gibt immer neue Angriffsvektoren. Was heute noch Up-to-date erscheint, sieht in 5 Jahren wieder anders aus.
... das Stimmt ... deswegen ist der Bleistift ausgestorben ... und es gibt keine mehr ... deswegen bin ich sehr Traurig!!
"max jut"
Zwischen naiver und defensiver Programmierung liegen Welten, beim ersten Fall kannst du alle paar Tage rumfrickeln und im zweiten Fall stellen sich viele zukünftige Vektoren die immer schon da aber wenig bekannt waren erst gar nicht
Die Frage die sich stellt:
Wem nutzen die Daten, zu welchem Zweck, an welchem Zeitpunkt am meisten?
Die Frage ist völlig wurscht, im Zweifel wird von wem auch immer was auch immer möglich ist abgegriffen und wenn ud die dateh mal hast dann kannst du dir immer noch überlegen wpzu sie denn gut sind - So einfach funktioniert das im echten Leben
Also wenn jeder Login nen anderen Salt hat,
ist das eher utopisch.
Ja leider, MD5 ist mit überschaubaren Aufwand im Minutenbereich für kürzere Passwörter ( 8x = ~200GH/s
* 200 GH/s == 200 000 MH/s == 200 000 000 kH/s = 200 000 000 000 H/s
* Für 44bit Entropy (XKCD Comic) braucht diese Konfiguration maximal 5 Minuten
Grobe Brechung der durchschnittlichen Dauer:
https://www.bee-man.us/computer/password_strength.html
Bitte den vorigen Eintrag löschen, es wurde ein Bereich wegen Sonderzeichen entfernt.
Ja leider, MD5 ist mit überschaubaren Aufwand im Minutenbereich für kürzere Passwörter (kleiner 12 Zeichen, nicht voller ASCII Zeichensatz) zu brechen. Längere Zeichenketten sind daher deutlich im Vorteil.
Der Salt dient nur dazu, dass dieser Aufwand für jeden User wiederholt werden muss aber erhöht nicht die Sicherheit eines Kennworts.
Mit aktuellen Grafikkarten im Verbund lassen sich erschreckend viele Hash/Sec berechnen.
z.B.:
* 1x Nvidia GTX 1080 = ~25GH/s
* 8x Nvidia GTX 1080 = ~200GH/s
* 200 GH/s = 200 000 000 000 H/s
Für 44bit Entropy (XKCD Comic) braucht diese Konfiguration maximal 5 Minuten
Grobe Brechung der durchschnittlichen Dauer:
https://www.bee-man.us/computer/password_strength.html
Habe jetzt selber mal gesucht:
link
Das Hauptprob bei MD5 für pw-hashing ist die schnelle Berechnung, der Rest (salted und damit die Länge) ist das angeblich eher nebensächlich.
Der Aufwand steigt aber dennoch exponentiell mit der Länge und je nachdem wie das salt implementiert ist, wird der String gleich nochmal deutlich länger. Wenn ich da einen Hash über einen gesalteten String der z.B. 255 Zeichen lang ist bilde, hat auch ein Grafikkartenmonster, Rainbowtabelbesitzer sehr lange daran zu knabbern.
Praktisch sind aber die pws oft in der Länge sehr beschränkt (bsp. max. 12 Zeichen), was ich schon immer sehr seltsam fand, da hat dann ein Angreifer leichtes Spiel.
Der Link wurde verschluckt:
link
Windows gehört verboten, Microsoft hat damit eine Spionagesoftware in die Welt gesetzt, die seinesgleichen sucht. Vollidioten verwenden Windows - und die gibt es besonders in der Regierung.
Lass dein scheiss tourette behandeln
Müste der Webseitenbetreiber nach der neuen DSGVO diesen Einbruch nicht melden?
Sitzt der denn in Deutschland?