Klacht: Ik kan niet meekeuvelen over de slechte beveiliging MD5 %hacksorz%^&^&*WTF$^%%
Antiklacht: ik wil het ook niet
Normale mensen houden zich gewoon stil als ze iets niet snappen...
Groetjes!
MD5 is zo verouderd, tegenwoordig gebruiken de echte webdeveloppers minimaal MD7 want andere kan je hacken via port 9838 enzo.. jeweet...
quote:Wat doe jij nou?!Op dinsdag 25 augustus 2009 00:45 schreef Biels het volgende:
MD5 is een soort codering van wachtwoorden. Die blijkbaar makkelijk te kraken is. Beter is om deze codering op de 1e codering los te laten.
Groetjes!
quote:Meer weet ik er niet van. Ik kan het ook fout hebben, hoor.
quote:Laat hem lekker in onwetendheid. Waar moet 'ie nu z'n briljante klaagbaaktopics over openen? Nou?Op dinsdag 25 augustus 2009 00:47 schreef Biels het volgende:
[..]
Meer weet ik er niet van. Ik kan het ook fout hebben, hoor.
quote:over nerds die eigenlijk op GoT thuishoren maar op fok rondlopen natuurlijkOp dinsdag 25 augustus 2009 00:50 schreef Jordy-B het volgende:
[..]
Laat hem lekker in onwetendheid. Waar moet 'ie nu z'n briljante klaagbaaktopics over openen? Nou?
quote:Hou je gedeisd, Exphy.Op dinsdag 25 augustus 2009 00:53 schreef zquing het volgende:
[..]
over nerds die eigenlijk op GoT thuishoren maar op fok rondlopen natuurlijk
quote:Net als een echte tweakerOp dinsdag 25 augustus 2009 01:00 schreef Ron.Burgundy het volgende:
Kijk even op wikipedia en doe daarna gewoon alsof je er ook verstand van hebt.
_!Het Juvenalis Dilemma
quote:huh, wie is dat
quote:Net als iedereen. Het grappige is dat 99,5% van alle mensjes in de ICT gewoon eindgebruikertjes zijn, en zelf zo goed als geen kennis hebben van de diepere technologie. Het zijn gewoon een kudde aapjes die allemaal handige trucjes hebben geleerd door het op te zoeken met Google en WikiPedia.
quote:Bron?Op dinsdag 25 augustus 2009 07:27 schreef AlphaOmega het volgende:
[..]
Net als iedereen. Het grappige is dat 99,5% van alle mensjes in de ICT gewoon eindgebruikertjes zijn, en zelf zo goed als geen kennis hebben van de diepere technologie. Het zijn gewoon een kudde aapjes die allemaal handige trucjes hebben geleerd door het op te zoeken met Google en WikiPedia.
quote:* kijkt eens in zijn team en naar collega's buiten zijn team.
En geloof me, dit bedrijf is een redelijke weerspiegeling van ICT land.
quote:Dat doet iedereen.
quote:Ja, maar op het tweakers nazi-forum, doet iedereen alsof ze het beter weten, terwijl bijna alles een herformulering is van wat een admin met kennis van zaken in een ander topic een keer heeft gezegd
Ik studeer elektrotechniek, en had een keer problemen met een printplaat. Mijn hoogleraar kon met de informatie die ik gaf niet 1-2-3 bedenken wat er fout kon zijn en dat ik het door moest meten overal, maar op tweakers.net wisten ze het wel hoor
sorryquote:Die docent had de goede hoop dat je zelf zou gaan zoeken.... je faalde... heel erg... ik hoop dat je het niet triomfantelijk aan de docent hebt gemeld, want dan heb je nu waarschijnlijk een minnetje achter je naam.Op dinsdag 25 augustus 2009 10:22 schreef Ascendancy het volgende:
[..]
Ja, maar op het tweakers nazi-forum, doet iedereen alsof ze het beter weten, terwijl bijna alles een herformulering is van wat een admin met kennis van zaken in een ander topic een keer heeft gezegd
Ik studeer elektrotechniek, en had een keer problemen met een printplaat. Mijn hoogleraar kon met de informatie die ik gaf niet 1-2-3 bedenken wat er fout kon zijn en dat ik het door moest meten overal, maar op tweakers.net wisten ze het wel hoor
quote:Het zijn gewoon rukkertjes die gehoord hebben dat MD5 "zwak" is, terwijl dat hier helemaal het probleem niet was. Beetje lopen doen alsof ze het allemaal beter weten. InteressantOp dinsdag 25 augustus 2009 00:42 schreef Fortitudo het volgende:
ben ik nou zo'n n00b dat ik dit allemaal niet ken? Iedereen lijkt mee te praten met al dat gezeik om die hack.
Klacht: Ik kan niet meekeuvelen over de slechte beveiliging MD5 %hacksorz%^&^&*WTF$^%%
Antiklacht: ik wil het ook niet
quote:Op dinsdag 25 augustus 2009 10:31 schreef AlphaOmega het volgende:
[..]
Die docent had de goede hoop dat je zelf zou gaan zoeken.... je faalde... heel erg... ik hoop dat je het niet triomfantelijk aan de docent hebt gemeld, want dan heb je nu waarschijnlijk een minnetje achter je naam.
quote:q.e.d.
quote:Pcies! Dat doen we allemaal zo toch?!Op dinsdag 25 augustus 2009 01:00 schreef Ron.Burgundy het volgende:
Kijk even op wikipedia en doe daarna gewoon alsof je er ook verstand van hebt.
quote:Gelukkig behoor ik dus tot die 0,5%.Op dinsdag 25 augustus 2009 07:27 schreef AlphaOmega het volgende:
[..]
Net als iedereen. Het grappige is dat 99,5% van alle mensjes in de ICT gewoon eindgebruikertjes zijn, en zelf zo goed als geen kennis hebben van de diepere technologie. Het zijn gewoon een kudde aapjes die allemaal handige trucjes hebben geleerd door het op te zoeken met Google en WikiPedia.
quote:MD5 encryptie is ook zwak.Op dinsdag 25 augustus 2009 10:52 schreef Catbert het volgende:
[..]
Het zijn gewoon rukkertjes die gehoord hebben dat MD5 "zwak" is, terwijl dat hier helemaal het probleem niet was. Beetje lopen doen alsof ze het allemaal beter weten. Interessant
Dat is meerdere malen aangetoond.
quote:No shit sherlock, maar ook SHA-1 heeft zwakke punten. Het probleem is die SQL injection, dat is een groter issue dan hoe zwak MD5 is.Op dinsdag 25 augustus 2009 11:45 schreef Netsplitter het volgende:
MD5 encryptie is ook zwak.
Dat is meerdere malen aangetoond.
quote:Fok! was zo waardeloos beveiligd dat het om de dag gehackt werd. Dat kon natuurlijk ook niet langer zo.Op dinsdag 25 augustus 2009 11:55 schreef Catbert het volgende:
[..]
No shit sherlock, maar ook SHA-1 heeft zwakke punten. Het probleem is die SQL injection, dat is een groter issue dan hoe zwak MD5 is.
quote:True, maar aan de andere kant.Op dinsdag 25 augustus 2009 11:55 schreef Catbert het volgende:
[..]
No shit sherlock, maar ook SHA-1 heeft zwakke punten. Het probleem is die SQL injection, dat is een groter issue dan hoe zwak MD5 is.
Wanneer de encryptie SHA1/2 was geweest had ons scriptkiddie de passwords niet kunnen ontcijferen.
Dus was het een veel minder groot issue geweest dan dat het nu geweest is.
quote:Maar waar ligt de exacte bron van dit probleem? Voor zover ik het nu begrijp is er iemand niet netjes met zijn/haar credentials omgegaan.... is dat hacken, of is dat gewoon simpele slordigheid. En ja, als je een keer voorbij de deur bent, dan is het een stuk makkelijker om de sleutels van het huis te vinden... duh...Op dinsdag 25 augustus 2009 11:57 schreef Netsplitter het volgende:
[..]
True, maar aan de andere kant.
Wanneer de encryptie SHA1/2 was geweest had ons scriptkiddie de passwords niet kunnen ontcijferen.
Dus was het een veel minder groot issue geweest dan dat het nu geweest is.
quote:Hoezo zou 'ie de passwords niet kunnen ontcijferen? Het is net zo straightforward als MD5: dictionary attack. Mensen moeten gewoon niet hetzelfde password voor een forum gebruiken als voor belangrijke dingen. Klaar.Op dinsdag 25 augustus 2009 11:57 schreef Netsplitter het volgende:
True, maar aan de andere kant.
Wanneer de encryptie SHA1/2 was geweest had ons scriptkiddie de passwords niet kunnen ontcijferen.
Dus was het een veel minder groot issue geweest dan dat het nu geweest is.
quote:Dat en wanneer de wachtwoorden waren voorzien van een salt (bij voorkeur uniek voor ieder account) dan had het ook al veel gescheeld.Op dinsdag 25 augustus 2009 11:55 schreef Catbert het volgende:
[..]
No shit sherlock, maar ook SHA-1 heeft zwakke punten. Het probleem is die SQL injection, dat is een groter issue dan hoe zwak MD5 is.
zal ze leren, de motherfuck hackers
quote:Aangezien hij admin-access had, kon 'ie er met gemak achter komen wat de salt was. Dus nee. rainbow tables werken dan niet. Dictionary attacks wel.Op dinsdag 25 augustus 2009 12:00 schreef servus_universitas het volgende:
Dat en wanneer de wachtwoorden waren voorzien van een salt dan had het ook al veel gescheeld.
quote:Hoe had hij de salt kunnen achterhalen? Die wordt toch ergens in de code berekend? Ik neem aan dat hij toegang had tot de gebruikersomgeving op adminniveau, toch niet tot de broncodes? Bovendien had hij die admin-access pas na het kraken van de MD5-hash van Danny. Maar aan dat resultaat zou hij dan niets hebben gehad.Op dinsdag 25 augustus 2009 12:02 schreef Catbert het volgende:
[..]
Aangezien hij admin-access had, kon 'ie er met gemak achter komen wat de salt was. Dus nee. rainbow tables werken dan niet. Dictionary attacks wel.
quote:Ik ga er van uit dat hij ook tot de source toegang heeft gekregen.Op dinsdag 25 augustus 2009 12:05 schreef servus_universitas het volgende:
Hoe had hij de salt kunnen achterhalen? Die wordt toch ergens in de code berekend? Ik neem aan dat hij toegang had tot de gebruikersomgeving op adminniveau, toch niet tot de broncodes?
quote:Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.Op dinsdag 25 augustus 2009 12:05 schreef servus_universitas het volgende:
Bovendien had hij die admin-access pas na het kraken van de MD5-hash van Danny. Maar aan dat resultaat zou hij dan niets hebben gehad.
quote:Oké, in dat geval heb je er inderdaad niets aan.Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
[..]
Ik ga er van uit dat hij ook tot de source toegang heeft gekregen.
quote:Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
[..]
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.
quote:Ja maar die SQL injection die was in dit geval helemaal goed, volgens mij is het juist de GYGI injection waar de problemen begonnen. En inderdaad de MD5 staat er volledig buiten.Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
[..]
Ik ga er van uit dat hij ook tot de source toegang heeft gekregen.
[..]
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.
quote:Toegang tot de source lijkt mij niet met een sql injection. Dan moet het wel heel slecht beveiligd zijn.Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
[..]
Ik ga er van uit dat hij ook tot de source toegang heeft gekregen.
[..]
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.
Voor de rest eens.
quote:Hij had de admin passwords. Het zou me verbazen als de passwords voor de forum gerelateerde functies anders waren dan die van bijvoorbeeld de FTP.Op dinsdag 25 augustus 2009 12:47 schreef DragonFire het volgende:
Toegang tot de source lijkt mij niet met een sql injection. Dan moet het wel heel slecht beveiligd zijn.
Voor de rest eens.
quote:Ik zou never ever ftp toegang gelijk stellen aan een user account op een forum.Op dinsdag 25 augustus 2009 12:49 schreef Catbert het volgende:
[..]
Hij had de admin passwords. Het zou me verbazen als de passwords voor de forum gerelateerde functies anders waren dan die van bijvoorbeeld de FTP.
quote:Die zijn wel degelijk andersOp dinsdag 25 augustus 2009 12:49 schreef Catbert het volgende:
[..]
Hij had de admin passwords. Het zou me verbazen als de passwords voor de forum gerelateerde functies anders waren dan die van bijvoorbeeld de FTP.
quote:Nee, zo werkt dat niet. Het moet iemand zijn die dedicated voor de FOK! software kan zorgen en dat is nagenoeg niemand op het forum.
Fok! heeft in ieder geval een gigantische bron met talent dat zo uit de fora geplukt kan worden om Fok! te verbeteren. Stel je voor, dit was al de hoeveelste keer dat Fok! gehackt is? Daar moet nodig iets aan gedaan worden.
En de hoeveelste keer is het dat dit gebeurd volgens jou???
quote:Eens met 1 opmerking: het probleem wordt vanwege het gebruik van MD5 wel vergroot en mogelijk gemaakt. Het werkt op elkaar door.
[..]
Ja maar die SQL injection die was in dit geval helemaal goed, volgens mij is het juist de GYGI injection waar de problemen begonnen. En inderdaad de MD5 staat er volledig buiten.
Ja, een sql injection of een gygi injection is fout maar zoiets kan gebeuren. Soms mis je zoiets nou eenmaal. Kan. Maar dat zou geen probleem zijn geweest (een fout maar geen probleem) als MD5 niet was gebruikt he
quote:De eerste keer bij mijn weten? Heerlijk die speculaties altijd.Op dinsdag 25 augustus 2009 12:58 schreef AlphaOmega het volgende:
Stel je voor, dit was al de hoeveelste keer dat Fok! gehackt is?
quote:Dat ben ik met je eens. Even puur zonder inhoudelijke/technische kennis over dit onderwerp (interessant is het zeker) beredeneerd: het lijkt mij dat de enige reden om een wachtwoord gecodeerd op te slaan is om te voorkomen dat mensen met bevoegde toegang tot de database deze zomaar kunnen lezen. Al was het alleen maar psychologisch zodat gebruikers je niet gaan wantrouwen. Maar als je het doet om te voorkomen dat onbevoegden het kunnen lezen, dan lijkt het mij dat er wel meer gegevens zijn die je dan onleesbaar moet maken. Het probleem zit hem inderdaad puur in de toegang, lijkt mij.Op dinsdag 25 augustus 2009 12:07 schreef Catbert het volgende:
Mijn punt was dus al dat hij uberhaupt nooit zover had mogen komen. Het probleem was die SQL injection, niet of MD5 al dan niet zwak was.
quote:Ik heb het al meerdere keren geroepen, en het is sarcastisch bedoeld. Al dat gezeik en geneuzel over een slechte beveiliging, en zo lang ik op Fok! zit is Fok! nog nooit gehackt. Dus blijkbaar valt die beveiliging wel een beetje mee. En daarbij, de basis van deze inbraak ligt volgens mij in social engineering, en niet in hacken. En dat is een hele grote wereld van verschil.Op dinsdag 25 augustus 2009 13:00 schreef Aestivate het volgende:
[..]
De eerste keer bij mijn weten? Heerlijk die speculaties altijd.
[ afbeelding ]
quote:Hoe bedoel je dit?Op dinsdag 25 augustus 2009 13:03 schreef AlphaOmega het volgende:
En daarbij, de basis van deze inbraak ligt volgens mij in social engineering, en niet in hacken.
quote:"social engeneering: Iemand krijgt op een of andere manier een wachtwoord onder ogen van een admin en is daarmee in het systeem gekomen. Bijvoorbeeld als iemand als Danny in een internetcafe even probeert om iets te regelen en een ander ziet zijn wachtwoord en denkt "hey das Danny".
quote:Ik ken de exacte gang van zaken niet, maar volgens mij is gewerkt vanuit een account met meer rechten dan een normaal useraccount. En of dat nu het account van iemand was met inderdaad meer rechten, of dat de eigenaar slordig is geweest met zijn wachtwoord, of de wachtwoordkeuze, dan is het al niet zo zeer hacken, maar iemand die daar slim misbruik van heeft gemaakt. En daar lijkt dit voorval sterk op.
En toevallig genoeg is het vakantietijd, en er is vast wel door mensen met meer rechten vanuit een internetcafé ergens ingelogd. En voor je het weet is een slim persoon al een stap verder. En dan kunnen de achterliggende gegevens interessant worden, want er zijn genoeg mensen die overal hetzelfde wachtwoord gebruiken, en vaak ook nog met gelijke username. In sommige gevallen met een beetje werk een hoop interessante gegevens.
quote:hihihihihihihi.
[..]
Ik ken de exacte gang van zaken niet, maar volgens mij is gewerkt vanuit een account met meer rechten dan een normaal useraccount. En of dat nu het account van iemand was met inderdaad meer rechten, of dat de eigenaar slordig is geweest met zijn wachtwoord, of de wachtwoordkeuze, dan is het al niet zo zeer hacken, maar iemand die daar slim misbruik van heeft gemaakt. En daar lijkt dit voorval sterk op.
De ddos kwam van Danny zelf af om te zorgen dat diegene met het wachtwoord niet op het systeem kan komen
Slechte gedachtes heb ik he
quote:MD5 maakt passwords niet alleen niet leesbaar voor het blote oog, het is ook nog eens one-way. De enige manier om uit MD5 (paar loopholes daargelaten) een password terug te halen is brute-force. Voor zaken als e-mail e.d. is dit dus ook niet toe te passen. MD5 is alleen geen beveiliging: een MD5-hashed password is net zo goed iets wat je niet weg wil geven, het duurt alleen een tijdje om het terug te rekenen.Op dinsdag 25 augustus 2009 13:01 schreef servus_universitas het volgende:
Dat ben ik met je eens. Even puur zonder inhoudelijke/technische kennis over dit onderwerp (interessant is het zeker) beredeneerd: het lijkt mij dat de enige reden om een wachtwoord gecodeerd op te slaan is om te voorkomen dat mensen met bevoegde toegang tot de database deze zomaar kunnen lezen. Al was het alleen maar psychologisch zodat gebruikers je niet gaan wantrouwen. Maar als je het doet om te voorkomen dat onbevoegden het kunnen lezen, dan lijkt het mij dat er wel meer gegevens zijn die je dan onleesbaar moet maken. Het probleem zit hem inderdaad puur in de toegang, lijkt mij.
quote:Op dinsdag 25 augustus 2009 13:06 schreef wdn het volgende:
[..]
"social engeneering: Iemand krijgt op een of andere manier een wachtwoord onder ogen van een admin en is daarmee in het systeem gekomen. Bijvoorbeeld als iemand als Danny in een internetcafe even probeert om iets te regelen en een ander ziet zijn wachtwoord en denkt "hey das Danny".
quote:Ah, thanks for the info.Op dinsdag 25 augustus 2009 13:06 schreef AlphaOmega het volgende:
[..]
Ik ken de exacte gang van zaken niet, maar volgens mij is gewerkt vanuit een account met meer rechten dan een normaal useraccount. En of dat nu het account van iemand was met inderdaad meer rechten, of dat de eigenaar slordig is geweest met zijn wachtwoord, of de wachtwoordkeuze, dan is het al niet zo zeer hacken, maar iemand die daar slim misbruik van heeft gemaakt. En daar lijkt dit voorval sterk op.
En toevallig genoeg is het vakantietijd, en er is vast wel door mensen met meer rechten vanuit een internetcafé ergens ingelogd. En voor je het weet is een slim persoon al een stap verder. En dan kunnen de achterliggende gegevens interessant worden, want er zijn genoeg mensen die overal hetzelfde wachtwoord gebruiken, en vaak ook nog met gelijke username. In sommige gevallen met een beetje werk een hoop interessante gegevens.
quote:Ja oké, maar is het dan wel zo dat het dan met name gericht is op interne beveiliging? Want zoals je eerder aangaf zou het van buitenaf helemaal niet mogelijk moeten zijn om bij de hashes te kunnen komen. In hoeverre dat 100% te beveiligen valt betwijfel is, maar oké.Op dinsdag 25 augustus 2009 15:11 schreef Catbert het volgende:
[..]
MD5 maakt passwords niet alleen niet leesbaar voor het blote oog, het is ook nog eens one-way. De enige manier om uit MD5 (paar loopholes daargelaten) een password terug te halen is brute-force. Voor zaken als e-mail e.d. is dit dus ook niet toe te passen. MD5 is alleen geen beveiliging: een MD5-hashed password is net zo goed iets wat je niet weg wil geven, het duurt alleen een tijdje om het terug te rekenen.
quote:Ja, in princiepe mag je er helemaal niet bij kunnen. Gegeven genoeg rekenkracht kun je de sterkste hashes van de sterkste passwords brute-forcen.Op dinsdag 25 augustus 2009 15:17 schreef servus_universitas het volgende:
Ja oké, maar is het dan wel zo dat het dan met name gericht is op interne beveiliging? Want zoals je eerder aangaf zou het van buitenaf helemaal niet mogelijk moeten zijn om bij de hashes te kunnen komen. In hoeverre dat 100% te beveiligen valt betwijfel is, maar oké.
quote:maar de meeste md5-combinaties zijn al eens gebrute-forced ... en alle uitkomsten zijn ook in grote databases gezet, waardoor je nu gewoon kan zoeken op de md5 hash ... en dan een aantal mogelijke wachtwoorden kan achterhalen, zonder zelf urenlang te hoeven brute-forcen.Op dinsdag 25 augustus 2009 15:11 schreef Catbert het volgende:
[..]
MD5 maakt passwords niet alleen niet leesbaar voor het blote oog, het is ook nog eens one-way. De enige manier om uit MD5 (paar loopholes daargelaten) een password terug te halen is brute-force. Voor zaken als e-mail e.d. is dit dus ook niet toe te passen. MD5 is alleen geen beveiliging: een MD5-hashed password is net zo goed iets wat je niet weg wil geven, het duurt alleen een tijdje om het terug te rekenen.
quote:Nee, Brute-forcen is van MD5 naar origineel. Het genereren van die tabellen heet geen brute-forcen.Op dinsdag 25 augustus 2009 16:04 schreef SeanFerdi het volgende:
maar de meeste md5-combinaties zijn al eens gebrute-forced ...
quote:Dat zijn rainbow-tables. Dat is een van de methoden om een password te vinden maar in de meeste gevallen (omdat een salt gebruikt wordt) niet effectief. Dergelijke rainbow-tables bestaan net zo goed voor bijvoorbeeld SHA-1 trouwens.en alle uitkomsten zijn ook in grote databases gezet, waardoor je nu gewoon kan zoeken op de md5 hash ... en dan een aantal mogelijke wachtwoorden kan achterhalen, zonder zelf urenlang te hoeven brute-forcen.
quote:volgens mij is brute-forcen het met veel rekenkracht en -tijd combinaties om in te voeren vinden, dat bedoel ik dus.Op dinsdag 25 augustus 2009 16:07 schreef Catbert het volgende:
[..]
Nee, Brute-forcen is van MD5 naar origineel. Het genereren van die tabellen heet geen brute-forcen.
[..]
er worden dus van alle mogelijke combinaties van x karakters een hash gemaakt, tot je dezelfde hash krijgt. en dan kan je met dat wachtwoord binnen komen. (ook al is het niet hetzelfde wachtwoord, het werkt dan wel)
en dat kan dan ook in die rainbowtables worden gezet.
quote:en hier werd dus geen salt gebruikt, maar alleen md5, en daarom wil je liever niet alleen md5 hebben ... en het liefst een een SHA met veel bits inclusief salt, zodat het nog moeilijker te brute-forcen valt, en het dus waarschijnlijk ook niet in die rainbow tables te vinden is.Dat zijn rainbow-tables. Dat is een van de methoden om een password te vinden maar in de meeste gevallen (omdat een salt gebruikt wordt) niet effectief. Dergelijke rainbow-tables bestaan net zo goed voor bijvoorbeeld SHA-1 trouwens.
en ik lees af en toe dat een 'pepper' erbij, nog beter is ... maar daar weet ik helaas niet van wat dat is.
quote:Uitgelegd in jip-en-janneketaal:Op dinsdag 25 augustus 2009 00:42 schreef Fortitudo het volgende:
ben ik nou zo'n n00b dat ik dit allemaal niet ken? Iedereen lijkt mee te praten met al dat gezeik om die hack.
Klacht: Ik kan niet meekeuvelen over de slechte beveiliging MD5 %hacksorz%^&^&*WTF$^%%
Antiklacht: ik wil het ook niet
Jouw gebruikersnaam en wachtwoord staan opgeslagen in de database fan Fok!.
Maar je wachtwoord is voor niemand leesbaar. Deze is versleuteld. Hij staat opgeslagen met 32 cijfers en letters. Zo weet niemand wat jouw wachtwoord is. (daarom kan fok je je wachtwoord ook niet geven als jij hem vergeten bent. Kan alleen een nieuw instellen).
Nu zijn er mensen die hele tabellen hebben gemaakt met alle mogelijke wachtwoorden en de versleutelde versie hiervan. Zo kan je daarmee andersom als je een versleuteld wachtwoord hebt zien wat het origineel is geweest. Gewoon door in de lijst te zoeken.
De hacker die de md5-wachtwoorden heeft, kan dus de originele wachtwoorden van iedereen herleiden. En deze bv ook proberen bij je ingestelde e-mail, als het wachtwoord hetzelfde is.
Dat dus.
Wat is een hash?
Jij hebt een wachtwoord "Aap", nu willen wij als webmakers niet dat het wachtwoord in de database als "Aap" wordt opgeslagen. Als iemand dan bij de database zou komen kan hij zo alle wachtwoorden uitlezen. Om dit te tegen te gaan slaan we niet het wachtwoord op maar een berekening van het woord. (hash) Je zou een hele simpele vorm kunnen bedenken hiervan: stel ik pak voor elke letter in het alfabet een getal en tel deze bij elkaar op dan wordt "Aap" 1 + 1 + 16 = 18
De hash met deze berekening is van jouw wachtwoord dus 18.
Nu kan het zijn dat een ander woord "Apa" dezelfde hash krijgt in deze berekening want 1 + 16 + 1 = 18.
Er zijn dus meerdere combinaties mogelijk die dezelfde hash terug krijgen. Hierdoor kan je dus nooit meer vanuit een hash het orginele wachtwoord terug halen. Want 18 kan de uitkomst zijn van heel veel verschillende woorden.
Als jij met jouw wachtwoord inlogt dan controleren wij dus niet of jouw wachtwoord goed is, wij berekenen opnieuw de hash van het ingevoerde wachtwoord tegen de hash die wij hebben opgeslagen. In mijn vorige voorbeeld van een hash berekening zou je dus kunnen inloggen met het wachtwoord "Apa" terwijl jouw wachtwoord "Aap" was. We rekenen beide gewoon goed.
Wat is een rainbow table?
Je kan je voorstellen dat als we altijd dezelfde hash berekening over wachtwoorden heen gooien dat je in theorie alle verschillende soorten wachtwoorden zou kunnen hashen en deze opslaan in een heeeeeeele grote tabel. Vervolgens als je een dan een hash weet kan je een passend bijbehorend wachtwoord zoeken door in deze tabel te zoeken naar een hash. Mijn vorige voorbeeld gaf kleine getalletjes terug zoals het getal 18 als hash. De berekening welke fok gebruikte was MD5, dit berekend via een andere wijze een lang getal waardoor het woord "Aap" en "Apa" niet dezelfde uitkomst krijgen. Pas wanneer je hele lange wachtwoorden hebt zou je met MD5 voor twee wachtwoorden dezelfde hash kunnen krijgen. Nu is het dus heel makkelijk om alle kleine woorden, of veel voorkomende wachtwoorden zoals "Aardappel" of "Wachtwoord" allemaal te berekenen en in een tabel te gooien (rainbowtable). Dit is de reden waarom er wordt geadviseerd om altijd minimaal 8 karakters voor een wachtwoord te gebruiken en geen bestaande woorden.
Wat is een salt?
Zoals ik in mijn vorige stukje al schreef kan je indien je altijd dezelfde berekening gebruikt ook altijd dezelfde wachtwoorden terug krijgen. En nog erger we kunnen dus alvast een opzoek tabel maken. Om er voor te zorgen dat deze rainbowtables niet gebruikt kunnen worden voegen wij een salt toe aan het wachtwoord.
Stel mijn wachtwoord is "Aap" dan voegen wij een willekeurig lange stuk tekst toe aan jouw wachtwoord:
"Aap2344asds_@3sdFsveteDatte" nu is jouw wachtwoord in ene veel langer en dit wachtwoord zal waarschijnlijk in geen een rainbowtabel zijn opgenomen. Dus ook al heeft iemand de hash dan alsnog kan hij er niks meer, want zou hij toch op een wonderbaarlijke wijze hebben uitgevonden dat jouw hash betekend:
"Aap2344asds_@3sdFsveteDatte"
Wanneer hij het invoert maken wij er van ""Aap2344asds_@3sdFsveteDatte2344asds_@3sdFsveteDatte"
En dan klopt het niet meer
quote:ik weet niet of ik moet huilen of lachenOp dinsdag 25 augustus 2009 12:54 schreef Aestivate het volgende:
Het is toch duidelijk dat als die knakker zijn firewall goed ingeplugt had de windows partitie en alle wachtwoorden goed waren bewaard in mijn documenten. Maar nee, na de TCP/IP instellingen geherconfigureerd te hebben bleek de master boot record duidelijk te zijn geďnfecteerd met diverse attacks.
quote:Doe een huillach, dan hoef je niet te kiezen!Op dinsdag 25 augustus 2009 19:35 schreef Waaghals het volgende:
[..]
ik weet niet of ik moet huilen of lachen
quote:Op dinsdag 25 augustus 2009 19:35 schreef Waaghals het volgende:
[..]
ik weet niet of ik moet huilen of lachen
Die inderdaad, het was geen serieuze post.