Zitat:
Tip: MD5.
mein letzter kommentar bevor du endlich Hashs benutzt, und ich möchte dich eigentlich nicht persönlich angreifen, aber ich tus trotzdem mal.....
schließen, und somit ist dann auch die Verschlüsselte Datei mit den passwörtern insofern sicher (hab mal gelesen dass v.a. Chinesische Programmierer an Methoden erfolgreich arbeiten sollen, die ein BruteForce zu verkürzen, k.a. ob da was dran ist) auf jedenfall ist es aufwendiger einen MD5 zu knacken(BruteForce/Wortlisten).
Ja das stimmt, obs Chinesen waren weiß ich jetzt nicht aus dem Stegreif.
Dabei wird kurioserweise folgendes Verfahren angegriffen: Ein Passwort wird mit einem Hash abgesichert
Man kann nämlich bei vielen solcher Verfahren, weil sie kryptographsich unsicher konstruiert worden sind, die Brute Force Attacke enorm beschleunigen indem offline diese Attacke schon vorbereitet wird. Offline bedeutet der Angreifer hat die Möglichkeit gezielt die nötige Hardware und Software und Zeitspanne zu nutzen die für ihn von Vorteil ist. Ein solches Verfahren sind die sogennten Rainbow-Tabellen. Das Neue an diesen Tabelen ist es das sie enorm effizient Milliarden vn Passwörtern und deren Hashwert abspeichern können, und das auf eine DVD.
Verhindern kann man dies indem man in die Hashberechnung zum Passwort noch einen entsprechend großen Zufallssalt mit einberechnet und wie bei heutigen KDF's -> Schlüselableitungsfunktionen üblich, nicht einfach einen 1 zu 1 Hash zieht sondern iterativ tausende von Hashberechnungen über diese Werte anstellt.
Allerdings nützt so eine Hashberechnung von einem Passwort im Falle eines Passwortsafes überhaupt nichts. Solche Protokolle werden für Loginbasierte Systeme benutzt wobei dann der Server als einbruchsicher anzunehmen ist. Der Passwortsafe benötigt aber das Masterpasswort in direkter Form um damit die in ihm gespeicherten Passwörter zu schützen und auch wieder zu entschlüsseln. Natürlich sind diese Passwörter nicht direkt mit dem Masterkey verschlüsselt sondern eben durch eine randomisierte KDF. Da die Passwortrecords aber aus Zufall bestehen, also der Zufalls-XOR-Salt + Zufalls-Passwort, kann man keine auf differnetiellen Methoden basierte Angriffstaktik fahren, auf den Masterkey. Der Angreifer hat direkt keine Möglichkeit der Verifikation ob seine Attacke korrekt ist, selbst wenn er Passwortübergreifend über alle im Safe gespeicherten Passwörter eine Angriff tätigt. Deshalb ist es wichtig das keinerlei Prüfsummen, auch nicht verschlüsselt, in einem Passwortsafe benutzt werden. Er müsste schon den zugehörigen Account zum geschützten Passwort kennen und diesen aktiv benutzen um seinen Agriff zu überprüfen.
Gruß Hagen