Ja leider, MD5 ist mit überschaubaren Aufwand im Minutenbereich für kürzere Passwörter (kleiner 12 Zeichen, nicht voller ASCII Zeichensatz) zu brechen. Längere Zeichenketten sind daher deutlich im Vorteil.
Der Salt dient nur dazu, dass dieser Aufwand für jeden User wiederholt werden muss aber erhöht nicht die Sicherheit eines Kennworts.
Mit aktuellen Grafikkarten im Verbund lassen sich erschreckend viele Hash/Sec berechnen. z.B.: * 1x Nvidia GTX 1080 = ~25GH/s * 8x Nvidia GTX 1080 = ~200GH/s * 200 GH/s = 200 000 000 000 H/s
Für 44bit Entropy (XKCD Comic) braucht diese Konfiguration maximal 5 Minuten
Grobe Brechung der durchschnittlichen Dauer: https://www.bee-man.us/computer/password_strength.html
Das Hauptprob bei MD5 für pw-hashing ist die schnelle Berechnung, der Rest (salted und damit die Länge) ist das angeblich eher nebensächlich. Der Aufwand steigt aber dennoch exponentiell mit der Länge und je nachdem wie das salt implementiert ist, wird der String gleich nochmal deutlich länger. Wenn ich da einen Hash über einen gesalteten String der z.B. 255 Zeichen lang ist bilde, hat auch ein Grafikkartenmonster, Rainbowtabelbesitzer sehr lange daran zu knabbern. Praktisch sind aber die pws oft in der Länge sehr beschränkt (bsp. max. 12 Zeichen), was ich schon immer sehr seltsam fand, da hat dann ein Angreifer leichtes Spiel.
Also wenn jeder Login nen anderen Salt hat,
ist das eher utopisch.
Ja leider, MD5 ist mit überschaubaren Aufwand im Minutenbereich für kürzere Passwörter ( 8x = ~200GH/s
* 200 GH/s == 200 000 MH/s == 200 000 000 kH/s = 200 000 000 000 H/s
* Für 44bit Entropy (XKCD Comic) braucht diese Konfiguration maximal 5 Minuten
Grobe Brechung der durchschnittlichen Dauer:
https://www.bee-man.us/computer/password_strength.html
Bitte den vorigen Eintrag löschen, es wurde ein Bereich wegen Sonderzeichen entfernt.
Ja leider, MD5 ist mit überschaubaren Aufwand im Minutenbereich für kürzere Passwörter (kleiner 12 Zeichen, nicht voller ASCII Zeichensatz) zu brechen. Längere Zeichenketten sind daher deutlich im Vorteil.
Der Salt dient nur dazu, dass dieser Aufwand für jeden User wiederholt werden muss aber erhöht nicht die Sicherheit eines Kennworts.
Mit aktuellen Grafikkarten im Verbund lassen sich erschreckend viele Hash/Sec berechnen.
z.B.:
* 1x Nvidia GTX 1080 = ~25GH/s
* 8x Nvidia GTX 1080 = ~200GH/s
* 200 GH/s = 200 000 000 000 H/s
Für 44bit Entropy (XKCD Comic) braucht diese Konfiguration maximal 5 Minuten
Grobe Brechung der durchschnittlichen Dauer:
https://www.bee-man.us/computer/password_strength.html
Habe jetzt selber mal gesucht:
link
Das Hauptprob bei MD5 für pw-hashing ist die schnelle Berechnung, der Rest (salted und damit die Länge) ist das angeblich eher nebensächlich.
Der Aufwand steigt aber dennoch exponentiell mit der Länge und je nachdem wie das salt implementiert ist, wird der String gleich nochmal deutlich länger. Wenn ich da einen Hash über einen gesalteten String der z.B. 255 Zeichen lang ist bilde, hat auch ein Grafikkartenmonster, Rainbowtabelbesitzer sehr lange daran zu knabbern.
Praktisch sind aber die pws oft in der Länge sehr beschränkt (bsp. max. 12 Zeichen), was ich schon immer sehr seltsam fand, da hat dann ein Angreifer leichtes Spiel.
Der Link wurde verschluckt:
link