|
|
|
|
| Zitat von Cubic
| Zitat von indifferent
Davon ab: Passwort-DBs muss man immer noch Bruteforcen, wenn die PWs als Hashes gespeichert sind, so wie es mittlerweile Standard ist.
| |
In diesem Video wird das Gegenteil bewiesen.
| |
Hab erst ab 1. wieder ne Flat zuhause, kannst du einfach kurz schreiben was da passiert? Der Beschreibung nach werden da vermutlich schwache Hashes geknackt (md5, ggf SHA1...), kann das sein? Die alte Technik waren Rainbow Tables, das kann man aber bei aktuellen Hashes (bcrypt bzw SHA256 mit Salt) knicken.
Und ja, Wordlist geht natürlich auch immer wenn Bruteforce geht, das muss man ja wohl nicht jedes Mal noch dazuschreiben.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 07.10.2017 10:30]
|
|
|
|
|
|
Er zeigt am Beispiel einer Passwort-Datei mit 6000 md5-Hashes, wie schnell man die Passwörter mit Hilfe von vier GeForce GTX Titan knacken kann. Dabei nutzt er erst Brute Force, dann Wörterbuchdateien mit diversen Regeln.
Es zeigt sich, dass sich mit Wörterbuchdateien wesentlich besser und schneller Passwörter knacken lassen, als mit Brute Force.
md5 wurde in dem Video wohl nur genutzt, damit in 20 Minuten alles gezeigt werden kann. Er sagt auch, dass man md5 heute auf keinen Fall mehr nutzen darf.
Das Video widerlegt aber auch so klar die Aussage, dass man Passwort-DBs immer noch Bruteforcen muss.
|
|
|
|
|
|
|
Ja okay, wenn sie scheisse gemacht sind, kann man auch zurückrechnen.
MD5 ist aber echt mittlerweile kalter Kaffee, als das aktuell war, war WhatsApp noch unverschlüsselt.
Mal als Vergleich: WEP Keys konnte man auch mit 40k Datenpaketen zurückrechnen, die man in weniger als nem Tag sammeln kann wenn irgendwer das WLAN benutzt. Das ist nicht mehr so, WPA2 Angriffe brauchen entweder eine Schlamperei beim generieren der PWs oder man muss mit dem Holzhammer ran. Das ist bei Hashes nicht anders, wenn sie nach aktuellen best practice Regeln gerechnet wurden.
|
|
|
|
|
|
|
|
|
|
|
Ist jedenfalls nicht mehr ganz so aktuell.
--
PW-Manager Vergleich auf Golem: 7 Seiten, Contender: Keepass, Lastpass, 1Password, Dashlane.
https://www.golem.de/news/passwortmanager-im-vergleich-das-letzte-passwort-das-du-dir-jemals-merken-musst-1710-130346.html
Fand ich super interessant, grade weil PW-Manager irgendwie so gar nicht mein Ding sind... Kein Bock alle auszuprobieren, und bei der üblichen Diskussion kriegt man auch keinen Überblick finde ich.
Golem ist meistens so eher mittelmässiger Journalismus, aber zu Security-Kram haben sie alle paar Monate mal wieder was richtig schönes. Letztes Mal haben sie den inoffiziellen "Einstellungstest" der ZITIS zernichtet, und damit auch diese ganze Werbestrategie.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 10.10.2017 18:14]
|
|
|
|
|
|
Wollte sagen: MD5 war in diesem Jahrtausend noch nie sicher. Es spricht nicht gerade für "die IT-Branche", dass die meisten pOTler (mich eingeschlossen) rein zeitlich überhaupt noch eine Diskussion über MD5 mitbekommen haben.
Perspektive: MD5 ist 25 Jahre alt und bereits in den 90ern war klar, dass das kein guter Hash ist; SHA-1 ist fast genauso alt.
| Zitat von indifferent
Golem ist meistens so eher mittelmässiger Journalismus, aber zu Security-Kram haben sie alle paar Monate mal wieder was richtig schönes. Letztes Mal haben sie den inoffiziellen "Einstellungstest" der ZITIS zernichtet, und damit auch diese ganze Werbestrategie.
| |
Golem-Artikel, die tatsächlich selbst recherchiert sind, sind sehr stark autorengeprägt. Bei Security-Zeugs liefert Hanno Böck z.B. fast durchgehend hohe Qualität.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von csde_rats am 10.10.2017 18:37]
|
|
|
|
|
|
Das sehe ich genauso.
Aber mittlerweile halten sich zumindest alle grossen Anbieter (Google, Apple, Facebook, Dropbox, MS, Amazon...) und nicht nur die Nerdbuden auch an den Stand der Technik, und die Unternehmen die sowas nicht leisten können nehmen halt deren Cloud. Um heute ne ansatzweise wertvolle DB zu finden die man so abrasieren kann, muss man schon ordentlich suchen.
|
|
|
|
|
|
|
Naja alle paar Monate taucht wieder ein Blogpost auf mit "Ich habe auf Shodan die Port-Nummer von $Datenbank eingeben und so-und-so-viele GB/TB Daten gedumpt".
Ob die wertvoll sind, sei eine andere Frage
Bei den Hipster-DBs sind da aber oft komische Defaults drin, ich will nicht zu sehr mit den Fingern zeigen, aber ich meine z.B. ElasticSearch hatte da Clustering per Netzwerk auf allen Interfaces ohne Passwort als default usw.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 10.10.2017 19:24]
|
|
|
|
|
|
|
|
|
|
Autsch.
/ Bin mir grad nicht sicher, ob ich das unserem Exchange Menschen schicken soll.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Kif am 11.10.2017 7:22]
|
|
|
|
|
|
|
|
|
|
CLOSED WONTFIX NOTABUG WORKSASINTENDED
Selected format is plain text, behavior of application is correct.
|
|
|
|
|
|
|
Die Story werde ich bei jeder Bitlocker vs Veracrypt Diskussion jemandem unter die Nase reiben
|
|
|
|
|
|
|
Wieviele Outlook-Entwickler wohl im NT-Team sitzen?
|
|
|
|
|
|
|
Wie viel mich das wohl kümmert? Dumme Argumente gegen dumme Positionen
|
|
|
|
|
|
|
Weiß nicht ob ich es hier gefunden hatte, aber ich möchte nochmal den Vortrag von Andreas May zu Tor empfehlen, den er dieses Jahr auf der Re:Publica gehalten hat. Der Titel ist dumm (Internet der Zukunft oder so), aber da kann man nen echt schönen Eindruck davon bekommen was grade in Deutschland für Behörden geht und was nicht.
Ich kannte diesen Typ gar nicht und er hat auch keine Wiki-Seite oder so, aber er ist Oberstaatsanwalt und war das Brain hinter vielen der großen Darknet-Ermittlungen in DE. Die Jagd nach dem Waffenhändler für den Amoklauf in München wäre so ne Geschichte, und man kann ihm auch ganz gut zuhören.
Aber sie verhaften immer wieder Nutzer.
Öhh ja... Ich könnt das mal son bisschen flapsig sagen: Wir fangen nur die Doofen.
Ab ca 18:45 min ungefähr wirds interessant.
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von indifferent am 21.10.2017 15:56]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich hoffe, das passt hier rein. Ich habe angefangen meine Passwörter via KeePass zu verwalten, habe aber dennoch ein paar Fragen:
- Ist Auto-Type die einzige Funktion, um Formulare im Browser auszufüllen? Das funktioniert an manchen Enden nicht korrekt (das PayPal Log-In Formular ist ein einziger Clusterfuck). Ich habe gesehen, dass es Chrome Plug-Ins gibt, aber wird die Geschichte nicht potentiell unsicher, wenn man irgendwelche dritten Parteien wissentlich zwischen schaltet?
- Gleiches für iOS: Es scheint Plug-Ins zu geben, aber wie sicher ist sowas?
- Wo speichert ihr eure Datenbanken? Kann man sowas dank Verschlüsselung bedenkenlos in einer Cloud ablegen (würde die Synchronisation zwischen den Endgeräten erleichtern)?
|
|
|
|
|
|
|
Der geht immer nach dem Fenstertitel, was bei Browsern (meist) der Webseitentitel ist (hier bei mir gerade "mods.de - Forum"). Ist natürlich bescheiden wenn das bei Logins dann "Login" ist und nicht den Titel der Seite enthält.
Ansonsten kannst du im KeePass auch für einen Eintrag die Auto-Typ-Sequenz anpassen. (z.B. den Benutzername weglassen, wenn der vorausgefüllt wird).
Theoretisch (wenn das Passwort gut genug ist) kannst du die Datenbank in die Cloud legen. Musst du mit deinem Gewissen vereinbaren.
tschy2m
|
|
|
|
|
|
|
Wisst ihr, was mir in letzter Zeit so richtig übel auf den Sack geht? "Alternative" Messenger auf Basis des WA Protokolls wie WhatsApp Plus, die nur paranoide Wichser benutzen, und damit v.a. den Online-Status mitloggen können (nicht den Statustext sondern ob die App grade offen ist, woraus man eine Menge extrahieren kann) und die die eigentlich okaye Verschlüsselung der Nachrichten auf einer Clientseite untergraben.
Was mich daran am meisten ärgert ist die Tatsache, dass man diesen ganzen Abfall in einem Zug ausradieren könnte, indem man a) eine Option zum Verstecken des Online-Status in die reguläre App einbaut und b) die Option, automatisches Joinen zu Gruppen zu blockieren... Ein Problem für viele Nutzer, v.a. für Schüler, scheint zu sein, dass irgendwelche Idioten sie erst in Gruppen "einladen" und dann ihre Karte mit Bildern flooden.
|
|
|
|
|
|
|
Einfach kein WhatsApp benutzen?
|
|
|
|
|
|
|
| Zitat von hödyr
Einfach kein WhatsApp benutzen?
| |
Das ist mein Traum, glaube aber nicht dass er jemals möglich sein wird ohne die Hälfte aller sozialen und 90% aller beruflichen Kontakte aufgeben zu müssen. Und natürlich jeden Kontakt zu Frauen.
Wenn irgendwann ne Ablösung kommt, wird die wahrscheinlich nur beschissener.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 05.11.2017 14:50]
|
|
|
|
|
|
|
|
|
|
Interessant.... Damit kann man mal ordentlich Metadaten-Überwachung ins Leere laufen lassen.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 06.11.2017 13:48]
|
|
|
|
|
|
| Zitat von indifferent
eine Option zum Verstecken des Online-Status in die reguläre App einbaut
| |
Die gibt es doch? Einstellungen - Account - Datenschutz - "Zuletzt online".
Oder ist das etwas anderes?
|
|
|
|
|
|
|
| Zitat von *tilt*
| Zitat von indifferent
eine Option zum Verstecken des Online-Status in die reguläre App einbaut
| |
Die gibt es doch? Einstellungen - Account - Datenschutz - "Zuletzt online".
Oder ist das etwas anderes?
| |
Wann du online bist wird ja noch immer übermittelt.
Darum ging es.
|
|
|
|
|
|
|
So ist es... dieses kleine "Online" unter dem Namen kriegst du nicht mit der offiziellen App weg, und wenn das mitgeloggt wird, hast du automatisch die Info wann jemand zuletzt online war und vieles Anderes.
Die Person zu blocken hilft immerhin, und wer sowas macht hat es imo auch nicht anders verdient.
|
|
|
|
|
|
|
| Zitat von indifferent
Interessant.... Damit kann man mal ordentlich Metadaten-Überwachung ins Leere laufen lassen.
| |
Ein Schritt in die richtige Richtung, bis gängige OS das mitbringen wird es aber noch sehr lange dauern imho.
Dann landet die Anfrage ja auch immer noch irgendwo, aber das Problem gibts auch bei VPN/TOR. Der Client dort teilt die Anfragen an einige Hosts auf, es sollte also kein komplettes Bild irgendwo zustande kommen..
|
|
|
|
|
|
|
|
|
|
Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt ) |