Login
Login-Name Passwort


 
Newsletter
Werbung

Thema: Server-Einbruch bei LinuxForums.org

23 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von kommentar am Mo, 11. Juni 2018 um 17:27 #

Zum Einsatz kommt auf LinuxForums.org eine proprietäre Software, vBulletin, in der obsoleten Version 4.2.2, die fast fünf Jahre alt ist.

Wenn ein Portal seine Software nicht pflegt, ist es völlig egal welche Lizenz hier eine Rolle spielt. Versagt hat offenbar eine ganz andere Stelle.

  • 0
    Von Hoshi am Mo, 11. Juni 2018 um 18:13 #

    Die Lizenz ist ohnehin egal. Wenn es gut geschrieben ist, wird es nicht geknackt, wenn nicht, dann doch.

    Das ist weder eine Frage von Quelloffenheit, noch von Kostenfreiheit.

    • 0
      Von kommentar am Mo, 11. Juni 2018 um 19:39 #

      Das ist zu einfach ausgedrückt.

      Wann ist eine Software gut geschrieben und wie lange bleibt sie gut geschrieben, wenn sich niemand um die Software nach der Entwicklung kümmert?

      Die Welt entwickelt sich ständig weiter und es gibt immer neue Angriffsvektoren. Was heute noch Up-to-date erscheint, sieht in 5 Jahren wieder anders aus.

0
Von OibE am Mo, 11. Juni 2018 um 18:49 #

Die Frage die sich stellt:
Wem nutzen die Daten, zu welchem Zweck, an welchem Zeitpunkt am meisten?

  • 0
    Von Verfluchtnochmal-05995bd7b am Mo, 11. Juni 2018 um 22:48 #

    Die Frage ist völlig wurscht, im Zweifel wird von wem auch immer was auch immer möglich ist abgegriffen und wenn ud die dateh mal hast dann kannst du dir immer noch überlegen wpzu sie denn gut sind - So einfach funktioniert das im echten Leben

0
Von Lemmip am Mo, 11. Juni 2018 um 19:59 #

Also wenn jeder Login nen anderen Salt hat,
ist das eher utopisch.

  • 0
    Von Scipio am Di, 12. Juni 2018 um 15:13 #

    Ja leider, MD5 ist mit überschaubaren Aufwand im Minutenbereich für kürzere Passwörter ( 8x = ~200GH/s
    * 200 GH/s == 200 000 MH/s == 200 000 000 kH/s = 200 000 000 000 H/s
    * Für 44bit Entropy (XKCD Comic) braucht diese Konfiguration maximal 5 Minuten

    Grobe Brechung der durchschnittlichen Dauer:
    https://www.bee-man.us/computer/password_strength.html

    0
    Von Scipio am Di, 12. Juni 2018 um 15:15 #

    Ja leider, MD5 ist mit überschaubaren Aufwand im Minutenbereich für kürzere Passwörter (kleiner 12 Zeichen, nicht voller ASCII Zeichensatz) zu brechen. Längere Zeichenketten sind daher deutlich im Vorteil.

    Der Salt dient nur dazu, dass dieser Aufwand für jeden User wiederholt werden muss aber erhöht nicht die Sicherheit eines Kennworts.

    Mit aktuellen Grafikkarten im Verbund lassen sich erschreckend viele Hash/Sec berechnen.
    z.B.:
    * 1x Nvidia GTX 1080 = ~25GH/s
    * 8x Nvidia GTX 1080 = ~200GH/s
    * 200 GH/s = 200 000 000 000 H/s

    Für 44bit Entropy (XKCD Comic) braucht diese Konfiguration maximal 5 Minuten

    Grobe Brechung der durchschnittlichen Dauer:
    https://www.bee-man.us/computer/password_strength.html

    0
    Von Lemmip am Di, 12. Juni 2018 um 16:53 #

    Habe jetzt selber mal gesucht:
    link

    Das Hauptprob bei MD5 für pw-hashing ist die schnelle Berechnung, der Rest (salted und damit die Länge) ist das angeblich eher nebensächlich.
    Der Aufwand steigt aber dennoch exponentiell mit der Länge und je nachdem wie das salt implementiert ist, wird der String gleich nochmal deutlich länger. Wenn ich da einen Hash über einen gesalteten String der z.B. 255 Zeichen lang ist bilde, hat auch ein Grafikkartenmonster, Rainbowtabelbesitzer sehr lange daran zu knabbern.
    Praktisch sind aber die pws oft in der Länge sehr beschränkt (bsp. max. 12 Zeichen), was ich schon immer sehr seltsam fand, da hat dann ein Angreifer leichtes Spiel.

0
Von Schröder am Mo, 11. Juni 2018 um 21:43 #

Windows gehört verboten, Microsoft hat damit eine Spionagesoftware in die Welt gesetzt, die seinesgleichen sucht. Vollidioten verwenden Windows - und die gibt es besonders in der Regierung.

0
Von wagnbeu0 am Di, 12. Juni 2018 um 07:59 #

Müste der Webseitenbetreiber nach der neuen DSGVO diesen Einbruch nicht melden?

0
Von asdfghjkl am Di, 12. Juni 2018 um 16:30 #

Für die Benutzer stellt sich die Frage, ob die Seite überhaupt noch betreut wird
Naja, da wird sich schon noch der eine oder andere darum kümmern, dass die 40 Ad-Tracker und zahlreiche Werbefenster laufen. Die Seite ist gut in Schuss...

Pro-Linux
Unterstützer werden
Neue Nachrichten
Werbung