[TYPO3-german] Password cracker/checker
Ingo
leo.ingson at gmx.de
Sat Aug 4 14:30:05 CEST 2007
On Wed, 01 Aug 2007 13:55:45 +0200 Fabian Koenig <koenig at bluhouse.de>
wrote:
> Ein bruteforce- / dictonary-attack stellt sich dahingehend als
> schwierig heraus, da einige Wortlisten gut und gerne (im simplen
> txt-format) an die 500MB umfassen. Klingt krass, ist aber so. :-P
Quatsch, der Unix-Klassiker "Crack" kommt mit ein paar 100k Wörterbuch
aus, der Rest wird zusammenkombiniert. Bruteforce ist auch Unfug, das
kann über die Passwortlänge (mindestens x Zeichen) abgefangen werden.
Ich finde die Idee gut. Ich würd's ungefähr so machen:
- Trivalcheck bei Passwort-Eingabe (Länge, verwendete Zeichen etc)
- alle bisherigen accounts als neu kennzeichnen
- Extension schreiben, die eine passwd Datei aus der Datenbank für die
zu überprüfenden neuen accounts schreibt
- darauf mit nice -20 Crack (oder ähnliches) ansetzen (nicht das Rad neu
erfinden, das gibt's alles schon seit 20 Jahren)
- Ergebnisdatei mit eigener extension auswerten
Ich weiß nicht genau, ob man Crack neue Passwortlisten unterjubeln kann,
solange er nicht fertig ist, das muß du vielleicht serialisieren indem
die passwd Datei immer nur einen Eintrag enthält (oder so).
PHP gefällt mir auch nicht, sollte aber hierfür genügen, ganz einfach
weil es da sein muß. Und shell-scripts saugen ja wohl auch ;-)
Gruss, Ingo
More information about the TYPO3-german
mailing list