4images Forum & Community
General / Allgemeines => Chit Chat => Topic started by: x23piracy on December 18, 2010, 10:39:49 AM
-
Hi,
you all can find the userpass hash in your cookie, copy it and paste it for example on:
http://md5cracker.org/ (http://md5cracker.org/) you will see if your pass is not to complex you will get your password quickly.
This is an security risk since md5 is attackable and should be changed quickly.
Greetz X23
-
Meine Passwörter konnte das teil nicht cracken
-
Meine Passwörter konnte das teil nicht cracken
Hi,
dann hast du ein complexes was nicht bedeutet das es nicht ermittelbar ist.
Jedenfalls gilt md5 als geknackt und ist ich drück mich mal sauber aus...
"die falsche Wahl" das sollte geändert werden z.B. sh1
Gruß Jens
-
Am besten wäre wenn md5 2x hashed würde.
md5 salted sasgt man auch
wbb nutzt das ebenfalls
-
Meine Passwörter konnte das teil nicht cracken
Hi,
dann hast du ein complexes was nicht bedeutet das es nicht ermittelbar ist.
Jedenfalls gilt md5 als geknackt und ist ich drück mich mal sauber aus...
"die falsche Wahl" das sollte geändert werden z.B. sh1
Gruß Jens
Jens, solche generatoren gibt es schon ein paar jahre.
deswegen verstehe ich gerade deine panickmache nicht.
-
pseudocrack engine, sonst nichts.
der hat eine mords datenbank mit namen und begriffen und den hinterlegten md5.
gibts du ein md5 ein wird der in der DB gesucht und der hinterlegte name oder begriff ausgegeben.
von entschlüsseln keine spur.
eine diskussion in dieser richtung hatten wir schon mal: http://www.4homepages.de/forum/index.php?topic=27004.0
-
Just so you know, by submitting MD5s on that site, you help them to build database for hackers (whis)...
-
Hi,
Ihr habt ja recht allerdings könnte das in Zukunft trotzdem mal ein anderer Hash algo werden.
Gruß Jens
-
yes @Va@no you are right, shall be collected individual passwords, for brute force attack. :twisted:
-
Hi,
ich hab ganz außer acht gelassen das es zum einen bereits eine Diskussion gab... sorry.
Zum anderen das es trotzdem relativ sinnlos ist da der login ja nur durch den hash schon
gewährt wird.
Wie V@no schon angemerkt hat würde nur ein zweites Passwort helfen.
Für die normalen User Accounts ist das ja auch nicht weiter schlimm blöde wäre es nur
wenn jemand das cookie hat und sich mit einem Admin Account anmelden kann, es
wäre ja minimum möglich über die Templates irgendwelchen Schadcode einzubauen.
Das Thema ist für mich damit abgehakt.
Sorry für den unnötigen Thread.
EDIT:
Ich leg dann doch nochmal einen nach, wie Ihr wahrscheinlich alle wisst, sind Cookies
für jede Seite verfügbar, soll heißen jede Seite kann alle Cookies lesen.
Jetzt ist da unser super sicherer Passwort Hash in MD5 der sich auch noch als solches
outet da die hash länge exakt md5 entspricht sowas sollte man verstecken in dem man
ihn wie sumale.nin schon sagte doppelt hashed aber noch besser an unbekannten
Stellen den Hash verfremden das kann dynamisch erfolgen und bei jedem anders.
Ich änder das für meine Projekte entsprechend ab aber bleibt ihr ruhig bei diesem
grob Fahrlässigem MD5.
Gruß Jens