[TYPO3-german] Password cracker/checker

Fabian Koenig koenig at bluhouse.de
Tue Aug 7 09:53:10 CEST 2007 

Ingo schrieb:
> On Wed, 01 Aug 2007 13:55:45 +0200 Fabian Koenig <koenig at bluhouse.de>
> wrote: 
> Quatsch, der Unix-Klassiker "Crack" kommt mit ein paar 100k Wörterbuch
> aus, der Rest wird zusammenkombiniert. Bruteforce ist auch Unfug, das
> kann über die Passwortlänge (mindestens x Zeichen) abgefangen werden.

Du sagst es: Unix-Klassiker.
Ich finde es krass, dass naiver Weise IMMER und ueberall Unix 
vorausgesetzt wird.
Und das mit "mindestens x Zeichen", sofern ueberhaupt gesetzt, was nicht 
vorausgesetzt ist (!!), ist in bruteforce kein Unfug, da du dort 
ebenfalls angeben kannst, ab wievielen zeichen angefangen werden soll zu 
penetrieren, sofern eine halbwegs vernuenftige Applikation zur 
Verfuegung steht.

> Ich finde die Idee gut. Ich würd's ungefähr so machen:
> - Trivalcheck bei Passwort-Eingabe (Länge, verwendete Zeichen etc)
> - alle bisherigen accounts als neu kennzeichnen
> - Extension schreiben, die eine passwd Datei aus der Datenbank für die
> zu überprüfenden neuen accounts schreibt
> - darauf mit nice -20 Crack (oder ähnliches) ansetzen (nicht das Rad neu
> erfinden, das gibt's alles schon seit 20 Jahren)
> - Ergebnisdatei mit eigener extension auswerten

Joah. Viel Spass mit "Crack" unter Windows ;-)
(Es ist ja nichteinmal jede Linux-Distribution mit ´"Crack" ausgestattet.)

> PHP gefällt mir auch nicht, sollte aber hierfür genügen, ganz einfach
> weil es da sein muß. Und shell-scripts saugen ja wohl auch ;-)

Mal davon abgesehen, dass shell-scripts in einem fuer "Dau-Admins" nicht 
erreichbaren Systemordner liegen koennen, unabhaengig vom docroot & 
typo3conf/ext-Ordner, sind shell-scripts weitaus schneller und man 
sollte sowieso nicht versuchen, solche "Spielereien" auf einem 
Live-Server auszufuehren. :-P Es gibt genug User, die "wissen was sie 
tun" (oder es zumindest behaupten) und 10x am Tag den Server in's 
Nirvana jagen. (Sofern diese entsprechende Berechtigungen haben.)

Daher wuerde ich den ganzen Kram eher auf einer lokalen Spiegelung 
durchlaufen.

More information about the TYPO3-german mailing list