Gemeinsamkeiten bei Verschlüsselung?

[Acheron]

Hi, könnt ihr mir sagen, welche Gemeinsamkeiten die folgenden Schlüssel haben und wie ich daraus die Grundform finden kann?

Eigentlich müssten die folgenden Schlüssel aus dem selben Wort oder Passwort erstellt worden sein:

ANS75F93JRQPFG
2AR944X2P3EET
8KAS57P3Z4HPMU
7J5YFDUWLAJ9UUZ
KXDY2HSYV32974S
74FNELMJB6X81S

Gibt es ein Programm, das ich mit solchen Daten füttern und sie dadurch entschlüsseln kann?

Vielen Dank!

 

[JTron]

wie gesagt mit cryptool kann man sowas machen

 

[Elderan]

Hallo,
ohne weitere Hinweise wirst du hier kaum eine Chance haben! Und nur über die Ausgaben den Algorithmus der dahinter steckt herauszufinden, ist fast aussichtslos. Also lieber den Programmcode analysieren.

 

[pi()]

Hm.Lass mich das wiederholen.Du willst gemeinsamkeiten von Schlüsseln finden, die aus einem Passwort generiert wurden ?Schau dir doch den Code des Programms an, das aus Passwörtern solche Schlüssel macht (wenn du dazu kommst).
Sonst wird es wahrscheinlich schwer.Aber gib mal ein bisschen mehr Hinnweise, dann kann dir vlt. mehr geholfen werden.

 

[Acheron]

Also wenn ich auf der Homepage angebe, dass ich mein Passwort vergessen habe, muss ich meinen Usernamen auf ner php-seite eingeben. Ich bekomme ne Mail mit nem Link und bei dem ist der Code unterschiedlich. Wenn ich das öfter mache, dann erhalte ich immer den selben Link, bloß mit einem anderen Code zum Schluss. Aber ich kann jeden Link (auch die älteren) hernehmen, damit mir ein zufälliges, neues Passwort erstellt wird.

Jetzt habe ich mir gedacht, dass es wohl etwas mit dem Usernamen, UserID oder sonstwas zu tun haben muss. Denn wenn der Link nicht veraltet, muss er ja eigentlich auf irgendetwas dauerhaftes zugreifen...

 

[Eydeet]

Normalerweise wird so ein Code zufällig erzeugt und dann in einer Datenbank abgelegt. Wenn man dann versucht, mit irgendeinem Code ein neues Passwort anzufordern, wird überprüft, ob der Code sich in der Datenbank befindet, und auf welchen User er verweist. Dessen Passwort wird dann zurückgesetzt.

Ich denke mal, dass deine Codes keine Gemeinsamkeiten haben, außer dass sie mit der selben Zufalls-Routine erzeugt wurden.

Die Codes werden nur anscheinend nach einer erfolgreichen Passwort-änderung nicht zurückgesetzt, was zu einem Sicherheitsproblem werden könnte, da
1. die Wahrscheinlichkeit immer weiter steigt, mit einem beliebigen Code zufällig einen richtigen zu erwischen
2. abgefangene Codes immer wieder zum zurücksetzen verwendet werden können

 

[Elderan]

Hallo,
@Eydeet: Dieses Problem ist nicht so gravierend, denn dem User wird ja ein zufälliges Passwort per Email zugesendet.
Und ob die Code zurückgesetzt werden, kann man mit den bisherigen Infos nicht beurteilen. Evt. werden noch offene Code gelöscht, wenn man einen entsprechenden Link besucht hat.

Ein anderes Problem ist die geringe Varianz an neu vergebenen Passwörter. Auch wenn diese evt. 8 Zeichen und aus Groß-, Kleinbuchstaben und Zahlen bestehen, so gibt es oft nur 1 Mio. verschiedene Passwörter, manchmal sogar noch deutlich weniger.

Denn die meisten initialisieren den Zufallsgenerator so:
srand((double)microtime() * 1000000);

Da (double)mircotime() ein Wert zwischen 0 und 1 ist, srand einen Integer erfordert, gibts als Startwert nur Werte zwischen 0 und 1000000 und somit auch nur 1 Mio. Passwörter.
Wenn die CPU aber nur alle 10 Microsekunden die Zeit aktualisiert, gibts sogar nur 100k Startwerte.


Entweder sollte man auf srand() verzichten (ab 4.2) oder lieber:
srand(crc32(mircotime()); verwenden.

So hat man immerhin ca. 2^32 Startwerte/Passwörter, was aber eigentlich auch noch zuwenig, darum nach dem Zurücksetzen des PW das Passwort unbedingt ändern (auch weil Mails im Klartext versendet werden).