[TYPO3-german] TYPO3.org: Eh, hallo?
Markus Bucher
markus.bucher at bucher-it.de
Fri Nov 14 23:16:59 CET 2008
Hallo Manfred,
fms1961 at gmx.de schrieb:
> MD5 alleine bringt auch ohne Rainbow-Tables keine große Sicherheit für
> Attacken wie die vorgefallene. Denn mit den echten MD5-Werten ohne SALT
> kann man sich problemlos anmelden, wenn man den Hash in Händen hält.
> Selbst ein Challenge-Response-Verfahren nützt da nichts, denn hier muss
> ja auch der Hashwert eingesetzt werden (sonst müssten die PW im Klartext
> auf dem Server liegen). Das hilft dann zwar gegen eine
> Man-in-the-middle-Attacke, aber wenn ich den Hashwert habe, kann ich
> mich auch so anmelden. Den Challenge-Wert bekomme ich ja vom Server. Das
> zeigt, wie wichtig ein Schutz der Daten ist und wie wichtig das Ablegen
> der Daten mit MD5 + SALT ist.
Der Bösewicht hat also beim salted Verfahren username,
md5(md5(plaintextpass).salt) und das salt in seinen Händen. Kann er sich
damit nicht analog zum herkömmlichen Verfahren dennoch anmelden?
Verhindert das wirklich das Fremdanmelden am System und schützt nicht
nur das eigentliche Passwort?
Markus
More information about the TYPO3-german
mailing list