Mitleser: Mathematik zum Montag

Beitrag lesen

Wie schon erklärt, kann der Angreifer schon bevor er in den Besitz eines Salt+Hash-Paares gelangt, eine Lookup-Tabelle konstruieren. Wenn er dann schließlich in den Besitz eines solchen Paares kommen sollte, profitiert er von dem von mir beschriebenen Laufzeit-/Speicherplatz-Tradeoff.

Der Angreifer konstruiert nach Deiner Darlegung also für 2^32-1 (also 4.294.967.295) mögliche Startwerte des Seeds die Rainbowtables vor um dann, wenn und falls er jemals an die Daten kommt schneller zu sein, weil er dann 200 Rainbowtables erzeugen müsste?

4.b. Ja, die Datenmengen sind gewaltig. Aber Speicherplatz ist günstig und wird ständig günstiger. Wenn dazu kriminelle Energie im Spiel ist, wird der Angreifer möglicherweise nicht mal den Marktpreis für den Speicherplatz bezahlen, sondern ein illegales Bot-Netzwerk dafür benutzen.

Soso. Damit kann er sicherlich gewaltige Datentransferraten erzielen um die Exabyte großen Partitionen der Tabellen transportieren zu können. Beziffer doch mal den Bedarf an Rechenleistung und Speicher. Vermutlich muss er alles beschäftigen, "was er kriegen" kann und die Cloudabteilungen von Amazon, Google und Microsoft sind dann dennoch auf Jahrzehnte, wenn nicht Jahrtausende ausgelastet. Außerdem wird Siliziumoxyd ("Sand, Gestein") erst knapp und dann so teuer wie Gold. Wir reden schließlich von sha512 und blowfish-Algos, welche dafür konstruiert wurden, dem bei MD5 sehr realen Problem der "Knackbarkeit mit Rainbowtables" effektiv entgegenzuwirken in diese Möglichkeit verteuert wird.

Ob Hacker oder nicht: Über vier Milliarden Rainbowtables für sha512 und/oder blowfish zu erzeugen um dann an vielleicht (der Server muss ja trotzdem noch auf anderem Wege gehackt werden) 200 Passwörter heranzukommen ist völlig abstrus. Und zu einem Zeitpunkt, an dem es nicht mehr ganz vollständig abstrus, sondern schon nur noch einer Großmacht möglich wäre, ist zu befürchten, dass der Server, auf dem die 200 Passwörter mal gespeichert waren, seit "geologischen Zeiträumen" nur noch Staub ist.

0 62

Login-script -- Mit wie viel Euro muss ich rechnen wenn jemand von euch mir das programmiert?

einsiedler
  • php
  1. 0
    Emil
    1. 0
      einsiedler
  2. 0
    Felix Riesterer
    1. 3
      Matthias Scharwies
      • php
      • wordpress
    2. 0
      einsiedler
      1. 0
        Felix Riesterer
  3. 1
    Mutter der Porzellankiste
    1. 0
      Matthias Scharwies
      1. 0
        Mutter der Porzellankiste
    2. 0
      einsiedler
    3. 8
      1unitedpower
      • php
      • sicherheit
      1. 0
        Matthias Apsel
        • php
        • selfhtml-wiki
        • sicherheit
        1. 0
          1unitedpower
      2. 0
        Indianerversteher
        1. 0
          1unitedpower
          1. 0
            Indianerversteher
            1. 0
              Indianerversteher
            2. 2
              Camping_RIDER
              1. 0
                Indianerversteher
                1. 6
                  JürgenB
                  1. 0

                    Login-script -- Mit wie viel Euro muss ich rechnen wenn jemand von euch mir das programmiert? - Moderiert -

                    Indianerversteher
                    1. 7

                      Login-script -- Mit wie viel Euro muss ich rechnen wenn jemand von euch mir das programmiert?

                      JürgenB
                2. 0

                  Mathematik zum Montag

                  Indianerversteher
                  1. 0
                    Gunnar Bittersmann
                    1. 0
                      Indianerversteher
                  2. 2
                    Camping_RIDER
                    1. 0
                      Indianerversteher
                    2. 0
                      Indianerversteher
                      1. 0
                        Camping_RIDER
                  3. 3
                    Matthias Apsel
                    • sicherheit
                    1. 2
                      marctrix
                  4. 0
                    1unitedpower
                    1. 0
                      Mitleser
                      1. 2
                        1unitedpower
                        1. 0
                          Mitleser
                          1. 0
                            marctrix
                          2. 2
                            Christian Kruse
                            1. 0
                              Mitleser
                              1. 0
                                1unitedpower
                                1. 0
                                  Mitleser
                              2. 0

                                Bevor gefragt wird, wieso denn alle unzutreffend seien

                                Mitleser
                                1. 0
                                  1unitedpower
                                  1. 0
                                    Mitleser
                                    1. 2
                                      Matthias Apsel
                                      • meinung
                                      1. 0
                                        Mitleser
                                        1. 0
                                          Christian Kruse
                  5. 2
                    marctrix
                    1. 0
                      Tabellenkalk
              2. -2
                Indianerversteher
                1. 0
                  Camping_RIDER
                  1. 0
                    Indianerversteher
                    1. 1
                      Camping_RIDER
                      1. 0
                        Indianerversteher
            3. 0
              1unitedpower
              1. 0
                Indianerversteher
                1. 0
                  Camping_RIDER
                  1. 0
                    Indianerversteher
                  2. 0
                    Indianerversteher
      3. 0
        Indianerversteher
        1. 0
          Camping_RIDER
          1. 0
            Indianerversteher