Archiv für den Monat: September 2017

8 09, 2017

50%-Gutschein der binsec-academy.com für das „Pentest Training“

von |8. September 2017|binsec|0 Kommentare|

Es ist bald soweit. Die binsec academy startet in den nächsten 2-3 Monaten mit dem ersten Online-Schulungskurs: Dem „Pentest Training“:

https://binsec-academy.com/courses/p/

Wer sich jetzt an dem Portal als Interessent registriert und sich bei mir oder direkt bei der binsec GmbH meldet (E-Mail: info@binsec.com) bekommt einen 50%-Gutschein. Unverbindliche Registrierung unter:

https://binsec-academy.com/portal/register/user/

(Aktion gültig bis Ende September 2017. Auf 100 Gutscheine beschränkt.)

5 09, 2017

Entschlüsselung von Passwort-Hashes ist unmöglich, auch im Fall von sha1 und md5.

von |5. September 2017|IT-Sicherheit|0 Kommentare|

Die Entschlüsselung von Passwort-Hashes ist unmöglich. Nicht nur sha1 kann man nicht entschlüsseln, sogar die noch ältere Hashfunktion md5 ist absolut unmöglich zu entschlüsseln. Man kann gehashte Passwörter erraten und man kann abhängig von Grad der Robustheit einer Hashfunktion Kollisionen erzeugen.

Ich verstehe ja, dass man im normalen Sprachgebrauch und in der Boulevardpresse diesen Sachverhalt nicht korrekt beschreiben kann. Aber selbst bei heise.de – der Online- und Offline-Fachpresse im professionellem IT-Bereich – ist man leider nicht in der Lage das korrekt darzustellen:

„Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.“

Quelle: https://www.heise.de/security/meldung/Finger-weg-von-SHA-1-320-Millionen-Passwoerter-geknackt-3822005.html

Kein Wunder, dass ich bei „IT Professionals“ immer mal wieder Diskussionen mitbekomme wie:

„Wir haben das base64 verschlüsselt.“

„Die Passwörter liegen sha512 verschlüsselt in der Datenbank.“

„Welchen Algorithmus verwenden Sie zur Verschlüsselung?“ – „SSL“

Korinthenkackerei? Vielleicht. Aber man muss im professionellen Umfeld schon verstehen, was der Unterschied von einer Hash- bzw. Einwegfunktion und einem Verschlüsselungsalgorithmus ist und welche Verfahren man wann warum anwendet. Passwörter verschlüsseln ist meistens – bis vielleicht auf Ausnahmen – eine schlechte Idee. Wenn  man sie nicht verschlüsselt, kann man sie auch nicht entschlüsseln. Nur vielleicht erraten und cracken..