[HaBo]
| Cryptography & Encryption Ver- und Entschlüsselung, Algorithmen, Kryptoanalyse ? Kryptographie in der Praxis. Blowfish, Triple-DES, XOR u.a. |
Welcher Algorithmus?
Diskussion: Welcher Algorithmus? im Forum Cryptography & Encryption, in der Kategorie Security Area; Hallo, ich habe ein Programm welches sich mit einer SQL-Datenbank verbindet und dort dann einige Werte ändert. Ich habe die ...
 |
31.07.06, 14:41
| #1 (permalink) |
| Registriert seit: 26.04.06  Likes: 0 |  Welcher Algorithmus? Hallo, ich habe ein Programm welches sich mit einer SQL-Datenbank verbindet und dort dann einige Werte ändert. Ich habe die ganze Prozedur dreimal gemacht und entsprechend (mit Ethereal) dreimal mitgesnifft. Dabei kamen folgende Werte für das Passwort herraus: 1.) ZXDIOXGN 2.) J\TMRYBN 3.) NHWDG]GW Weiss jemand was für ein Verschlüsslungsalgorithmus das ist??? Also es muss ja einer sein, der für einen konstanten Wert unterschiedliche Hashes erzeugen kann. Dann stellt sich mir gleich auch noch die Frage ob so etwas knackbar ist. THX 4 HELP & GREETZ |
|  |
|
31.07.06, 14:48
| #2 (permalink) |
| Senior Member Registriert seit: 23.12.03 Likes: 0 | Ja, sollte knackbar sein... Unterschiedliche Werte bekommst du auch wenn du die Passwörter salzt :-) Salted passwords :-) |
|
| |
| HaBOT | |
|
|
31.07.06, 15:03
| #3 (permalink) |
| Themenstarter Registriert seit: 26.04.06 Likes: 0 | hmm ich hab das mal gegoogelt und so weit ich nun weiß ist "salten" wenn man einem Passwort bevor man es hasht einen beliebigen Wert dazu addiert. Daraus resultiert dann doch aber immer der gleiche Hash. Hier sind es aber unterschiedliche Hashs. |
|
| |
|
31.07.06, 15:31
| #4 (permalink) |
| Senior Member Registriert seit: 03.09.05 Likes: 0 | Wieso sollte da der gleiche Hash entstehen, wenn man einen _zufälligen_ Wert an das Passwort hängt? http://de.wikipedia.org/wiki/Salted_Hash Ich würde empfehlen, sich das Programm, was diese Werte erzeugt mit IDA(ein Disassembler) anzusehen, um herauszufinden, wie diese Werte erstellt werden, dann lässt sich auch mehr über die Sicherheit davon sagen. |
|
| |
|
31.07.06, 19:13
| #5 (permalink) |
| Registriert seit: 01.11.03 Likes: 0 | Das Verfahren bei MySQL wurde hier schon angeschnitten... |
|
| |
|
03.08.06, 18:23
| #6 (permalink) |
| Registriert seit: 11.09.05    Likes: 0 | Bei gesalzten Passwörtern muss man doch das Salz mitspeichern - wenn man nicht jedesmal dasselbe nimmt, funktioniert der Vergleich nicht mehr. Wieso sollte es dann beim Login verschiedene Hashs geben, wenn man doch immer das selbe Salz nutzen muss? Bei der Generierung eines neuen Passwortes (inklusive neuem Salz) wäre das was anderes...aber wenn sich das Passwort nicht ändert und man sich nur einloggt, müsste doch immer derselbe Hash zu übertragen sein - oder habe ich das mit den salted Passwords nicht richtig verstanden? |
|
| |
|
03.08.06, 18:29
| #7 (permalink) |
| Moderator   Registriert seit: 30.03.04  Likes: 14 | Hallo, evt. ist das Passwort in der DB als Klartext gespeichert, und wenn du dich mit der DB verbindest, sagt der Server: Du benutzt folgendes Salz (  ).Der Client generiert dann den Hash mit der Salt und der Server überprüft dies. Ein weiterer Vorteil wäre, dass wenn jmd. den Hash mitscheidet, sich nur dann mit dem Hash auch einloggen kann, wenn der Server ihm zufällig den gleichen Salt zuweist. Bei einem anderen Salt wäre der Login nicht möglich. Hab man eine außreichend große Vielfalt an Salts, so würde einem das Mitschneiden des Hash-Wertes nichts bringen. |
|
| |
|
03.08.06, 19:03
| #8 (permalink) | |
| Registriert seit: 01.11.03 Likes: 0 | Zitat:
 Passwort-hash und salt wird gespeichert. Bei der Anmelung wird dann dieser salt und ein zufälliger salt geschickt. Client hashet das Passwort mit dem Salt und der Hash wird dann mit dem zufälligensalt nochmal gehasht und dann an den Server geschickt. Der Rest düfte klar sein Wurde aber im zuvor geposteten Thread schon angeschnitten.... | |
|
| |
|
04.08.06, 22:15
| #9 (permalink) |
| Themenstarter Registriert seit: 26.04.06 Likes: 0 | Hmm ich hab mir das jetzt nochmal genau im Sniffer angeschaut und es scheint tatsächlich so zu sein wie lagalopex meint: Der Client sendet einen Request an den Server. Der Server sendet einen Salt, z.B. "n^hs)le" Daraus macht der Client dann "JTIHWPRJ" und loggt sich damit ein. Also mit so einer Technik ist sicher schonmal ausgeschlossen, dass man das Passwort im Klartext herausbekommen kann. Ist es denn möglich nach der Anmeldung des Clients beim Server dem Server SQL Abfragen von externen Quellen (also nicht vom Client) zu schicken??? |
|
| |
|
05.08.06, 13:46
| #10 (permalink) | |
| Moderator Registriert seit: 30.03.04 Likes: 14 | Hallo, Zitat:
Stellt sich die Frage, wie der Client auf den Server zugreift. Geschieht dies über einen lokalen Sockel, so wie es bei MySQL fast immer ist, wird es bestimmt recht schwer. Geschieht der Datenaustausch per Netzwerk, könnte ein Angreifer z.B. ein Packet mit der SQL Anweisung an den Server senden. Bei diesem Packet müsste er die Absender-IP so fälschen, das es die von dem eingewählten Client ist. Da aber der Datenaustausch über TCP läuft, müsste er noch die Sequenz-Nummer erraten, was zwischen relativ einfach (Netzwerk mit Hub) bis relativ schwer (Router) ist. Des Weiteren würde der Angreifer keine Antwort auf seine Anfrage bekommen, denn die sendet der Server zu dem eingelogten Client. Man kann also nicht sagen, ob solch eine Attacke schwer oder leicht zu realisieren ist. In einem Netzwerk mit einem Hub könnte man relativ leicht manipulierte Packete sende, oder sich gar in die Mitte von Server & Client stellen. Ist aber zwischen dem Angreifer und dem Client z.B. ein Router (z.B. Internet), dann wird der Angriff schon deutlich schwerer. Des Weiteren bieten die meisten SQL Server noch eine Verbindung per SSL, dort wären solche Angriffe nicht möglich. | |
|
| |
|
05.08.06, 20:22
| #11 (permalink) | |
| Themenstarter Registriert seit: 26.04.06 Likes: 0 | Zitat:
Somit ist doch auch eine Mitm bzw. IP Spoofing Attacke ausgeschlossen, da diese einen dritten Host vorraussetzen. Denn ein Client ist ja kein Host. Aber vor diesem Hintergrund, dass Client und Angreifer den gleichen Host benutzen, müsste es doch eigentlich trotzdem möglich sein, wie du beschrieben hast, ein Packet mit einer SQL Anweisung an den Server zu senden, oder??? Sogar ja eigentlich noch viel einfacher, da man z.B. die Sequenz Nummer im Sniffer angezeigt bekommt. | |
|
| |
|
06.08.06, 13:44
| #12 (permalink) |
| Moderator Registriert seit: 30.03.04 Likes: 14 | Hallo, wenn der Angreifer auf dem gleichen Computer ist, dann kann er doch einfach einen Keylogger starten und das Passwort mitschneiden. Es macht doch eigentlich eher weniger Sinn, das Angreifer und Opfer am gleichen Computer sind, denn dagegen hilft kaum eine Sicherheitsmaßnahme. |
|
| |
|
06.08.06, 19:58
| #13 (permalink) |
| Themenstarter Registriert seit: 26.04.06 Likes: 0 | Nabend, ich glaub du hast da was falsch verstanden  Der Angreifer startet auf seinem PC den Clienten, der sich wiederrum mit dem SQL Server verbindet. Das Passwort (bzw. dessen Hash) ist in der kompillierten .exe des Clients enthalten. |
|
| |
|
| | |
|
|
[HaBo] » Security Area » Cryptography & Encryption » Welcher Algorithmus?
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Welcher Hashcode/welche Signatur ist dies (Algorithmus gesucht)? | krassy | Cryptography & Encryption | 5 | 12.08.09 01:15 |
| ICQ-Passwort - welcher Algorithmus? | Xalon | Cryptography & Encryption | 19 | 07.08.07 15:11 |
| Welcher Algorithmus in Verbindung mit wie langem Passwort ist wie sicher? | die-FreSSe | Cryptography & Encryption | 11 | 15.03.07 19:11 |
| 0=336d5ebc5436534e61d16e63ddfca327 Welcher Algorithmus ? | Xalon | Cryptography & Encryption | 8 | 23.10.05 14:12 |
| Welcher Provider ist gut und welcher nicht !? | HighTower | (In)security allgemein | 13 | 28.03.05 18:36 |
