News Facebook sucht im dunklen Netz nach Passwörtern
- Ersteller Robert
- Erstellt am
- Zur News: Facebook sucht im dunklen Netz nach Passwörtern
C
carom
Gast
Der-Orden-Xar schrieb:
Ist das so im Kontext von Passwörtern mit üblicher Länge (sagen wir mal 8 Zeichen im Schnitt)? Lasse mich gerne eines besseren belehren, aber wenn mir jemand bisher eine Wette angeboten hätte, ob es in der gesamten Datenbank von Facebook Passwörter gibt, die Kollisionen erzeugen, hätte ich vermutlich eher auf nein getippt.
Die simpelste Kollision, die ich via Google finden konnte, ist eine mit dem bald antiquitären MD5 erzeugte und benötigt zwei Sequenzen mit je satten 128 Bytes.
Da sollte man doch meinen, dass ein Beispiel mit einer Kollision durch 2 realistische Passwörter weltbekannt sein müsste, alleine schon aus Lehrgründen.. habe dahingehend aber nichts finden können.
edit: Hier noch was mit jeweils 64 bytes... immer noch einiges für ein Passwort.
Zuletzt bearbeitet:
Der-Orden-Xar
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.661
Meine Anmerkung ist eher ein theoretisches Konstrukt.
MD5 mit seinen 128 Bit theoretischer Sicherheit, hat unter 60 Bit praktische Sicherheit (laut en.wiki) und Kollisionen sind leicht berechenbar.
Wenn ich jetzt ein Passwort anschaue
26+26 = 52 Buchstaben (Deutsche Zeichen äöüß unberücksichtigt).
10 Ziffern
und sagen wir mal runde Klammern: ()
Macht 64 = 2^6 Zeichen
Dein 8 Zeichen PW hätte damit 64^8 = 2^48 mögliche Varianten
Wenn das PW jetzt auch 9 oder 10 Zeichen lang sein könnte wären es 2^54 bzw 2^60 Möglichkeiten
Wenn das PW jetzt 8 oder 9 oder 10 Zeichen lang sein könnte wäre es immer noch ungefähr 2^60
Ein Passwort, dass einen größeren Namensraum zugrund liegt, z.B.
A-Z, a-z, 0-9, !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
=95 Zeichen
Bei 20 Zeichen wären das ~ 2^131,4 Möglichkeiten, also gäbe es sicher eine Kollision in den MD5s aller Möglichen PWs
Ebenso könnte SHA 256 gebrochen werden, hier ist jedoch keine Schwäche bekannt, die wie bei MD5 den Exponenten mehr als halbiert.
Jetzt müssten nur noch genügend Menschen derart lange & komplexe PWs nutzen.
Wie gesagt theoretisches Konstrukt.
MD5 mit seinen 128 Bit theoretischer Sicherheit, hat unter 60 Bit praktische Sicherheit (laut en.wiki) und Kollisionen sind leicht berechenbar.
Wenn ich jetzt ein Passwort anschaue
26+26 = 52 Buchstaben (Deutsche Zeichen äöüß unberücksichtigt).
10 Ziffern
und sagen wir mal runde Klammern: ()
Macht 64 = 2^6 Zeichen
Dein 8 Zeichen PW hätte damit 64^8 = 2^48 mögliche Varianten
Wenn das PW jetzt auch 9 oder 10 Zeichen lang sein könnte wären es 2^54 bzw 2^60 Möglichkeiten
Wenn das PW jetzt 8 oder 9 oder 10 Zeichen lang sein könnte wäre es immer noch ungefähr 2^60
Ein Passwort, dass einen größeren Namensraum zugrund liegt, z.B.
A-Z, a-z, 0-9, !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
=95 Zeichen
Bei 20 Zeichen wären das ~ 2^131,4 Möglichkeiten, also gäbe es sicher eine Kollision in den MD5s aller Möglichen PWs
Ebenso könnte SHA 256 gebrochen werden, hier ist jedoch keine Schwäche bekannt, die wie bei MD5 den Exponenten mehr als halbiert.
Jetzt müssten nur noch genügend Menschen derart lange & komplexe PWs nutzen.
Wie gesagt theoretisches Konstrukt.
Hm, muss eine Hashfunktion surjektiv sein? Ich denke, dass das häufig nicht sinnvoll ist. In deinem Beispiel musst du insbesondere etwas vorsichtiger sein, denn eine Funktion besteht nicht nur aus einer Funktionsvorschrift, sondern vielmehr über den definierten Mengen. Denn zu deiner Funktionsvorschrift kann man sowohl bijektive und damit insb. surjektive, injektive als auch Funktionen konstruieren, die weder das eine noch das andere sind.Der-Orden-Xar schrieb:
22428216
Captain
- Registriert
- März 2011
- Beiträge
- 3.103
Mal ganz ehrlich:
Facebook muss ihre Nutzer doch echt für sehr dumm halten oder?
Okay, viele sind es, aber es sind oft erwachsene Menschen, die nicht derart bevormundet werden müssen.
Wenn die so dumm sind und 12345 überall als Passwort nehmen, sind sie es selbst schuld.
Denn ich denke solche Aktionen sorgen dafür, dass die Mensch immer dümmer und naiver mit dem Internet umgehen.
Ganz zu schweigen von den informationen, die Facebook da selber erntet.
Ich weiss schon, wieso ich nicht dort bin....
Facebook muss ihre Nutzer doch echt für sehr dumm halten oder?
Okay, viele sind es, aber es sind oft erwachsene Menschen, die nicht derart bevormundet werden müssen.
Wenn die so dumm sind und 12345 überall als Passwort nehmen, sind sie es selbst schuld.
Denn ich denke solche Aktionen sorgen dafür, dass die Mensch immer dümmer und naiver mit dem Internet umgehen.
Ganz zu schweigen von den informationen, die Facebook da selber erntet.
Ich weiss schon, wieso ich nicht dort bin....
Der-Orden-Xar
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.661
Jiub schrieb:
Stimmt, es muss nicht surjektiv sein, es sollte nur nicht möglich sein das Urbild bzw eine Umkehrabbildung zu berechnen.
miri83
Ensign
- Registriert
- Juni 2014
- Beiträge
- 168
Crizzo schrieb:
IT-Folgen von NCIS sind glaube ich absichtlich falsch, so schlecht kann man nicht recherchieren.
Sag mal nichts, vor Snowden habe ich mich da auch immer beömmelt, wenn die mal eben alles Mögliche aus ihrer Super-Datenbank gezogen haben. Nach Snowden gibt's da immer nur noch ein kleines Lächeln.
Aber stimmt schon, die IT-Geschichten da sind ansonsten sehr flach, aber 97% der Zuschauer kaufen es denen bestimmt ab.^^
Ähnliche Themen
