Crypt::PasswdMD5 ist ein Perl-Modul das MD5 Passwörter so hashed wie es Linux und Solaris auch tun.
Archiv 4. Aug. 2005
md5crypt.py ist der gleiche Algorithmus für MD5 Passwörter, nur diesmal in Python.
Passwörter als Hashes speichern - sicher?
Nicht mehr ganz neu (Sommer letzten Jahres war es neu, aber da hab ich es irgendwie verpasst, das zugrundeliegende Paper ist sogar schon 2 Jahre alt), aber immer noch interessant: Project RainbowCrack ist ein Projekt das die Erstellung von Tools zum schnelleren Knacken von Hashes zum Ziel hat. Hashes können normalerweise nur durch brute force aufgelöst werden - unterstützt durch algorithmische Schwächen (wie kürzlich bei MD5 und SHA1 gefunden). Es gibt aber einen Ansatz die aufwändigeren Berechnungen die beim brute-force-Vorgang anfallen (also im Prinzip algorithmische Teilschritte) schon im Vorhinen zu erstellen - zum Beispiel wenn man eh nur vor hat z.B. Passwörter mit maximaler Zeichenzahl zu knacken.
Das ganze kommt natürlich nicht umsonst: man tauscht Rechenzeit gegen Speicherplatz ein. Tabellen zum Knacken von bis zu 14 stelligen Windows Passwörtern belegen lockere 64 GiB an Speicher. Die praktische Relevanz des Ansatzes und der Tools wird aus diesem Zitat vielleicht offensichtlich:
Some ready to work lanmanager and md5 tables are demonstrated in Rainbow Table section. One interesting stuff among them is the lm #6 table, with which we can break any windows password up to 14 characters in a few minutes.
Zu Project RainbowCrack gibts auch noch eine Weboberfläche zu einem verteilten Rechencluster über die man MD5-Hashes an einen MD5-Cracker schicken kann und der dann - sofern es ein maximal 8 Zeichen langer String ist - den Klartext rausspuckt. Und das Teil baut nebenbei immer mehr Rainbow Tables auf, wodurch das Knacken nach und nach schneller wird.
Nur so als Warnung für diejenigen, die meinen das ein einfacher MD5 Hash (oder letztendlich nahezu jeder Hash) auf das Passwort ausreichend wäre. Unix-Systeme benutzen üblicherweise salted hashes - das Passwort wird um einen offenen Text erweitert und damit zusammen dann der Hash gebildet. Das verlängert im Prinzip das Passwort, auch wenn natürlich die Verlängerung nicht geheim ist - für die Rechenzeit oder die Tabellengrösse ist das wurscht, die Passwörter sind einfach länger und damit schwerer zu knacken. Ist aber auch nur eine Frage von Platz, bis die nicht sicher sind.
Besser sind Passphrases statt Passwörter - eben einfach normal lange Sätze. Zum Einen kann man sich diese häufig besser merken (viele Menschen können sich keine Telefonnummer merken, aber Zeilen aus Gedichten zitieren) und zum Anderen sind sie einfach länger (und vor allem flexibel lang), so das Rainbow Tables als Angriffsmethode ausscheiden. Die algorithmischen Schwächen von MD5 und SHA1 bleiben natürlich erhalten.
Shoot-to-Kill Direktiven - und die Welt wird ein Egoshooter
Bruce Schneier über Shoot-to-Kill und dabei speziell ein Vorschlag der International Association of Chiefs of Police . Übersetzt aus dem Vorschlag:
... eine solche Person zeigt "verschiedene ungewöhnliche Verhaltensweisen" wie einen schweren Mantel oder eine dicke Jacke bei warmem Wetter tragen, einen Koffer, eine Umhängetasche oder einen Rucksack mit Ausbeulungen oder erkennbaren Drähten tragen. Die Person zeigt Nervosität, vermeidet Augenkontakt oder schwitzt stark. Möglicherweise sind chemische Rückstände an der Kleidung oder an den Händen. Die Person murmelt möglicherweise Gebete oder schaukelt vor und zurück.
Wohlgemerkt, was mit solchen Personen zu geschehen hat, ist den Chiefs of Police klar: in den Kopf schiessen. Finaler Tötungsschuss. Und natürlich brauchts dafür keinen weiteren Anlass:
... die Bedrohung des Polizisten braucht nicht unmittelbar zu sein, wie bei normaler Vorgehensweise gelehrt wird. Polizisten brauchen nicht zu warten bis eine als Attentäter verdächtigte Person eine Bewegung macht, wie es bei normaler Vorgehensweise für den Einsatz von Schusswaffen notwendig wäre. Ein Polizist braucht nur eine begründete Vermutung für den Verdacht zu haben das der Verdächtige eine Bombe zünden könnte.
Bruce Schneier fragt zu Recht ob wir uns wirklich sicher fühlen dürften wenn eine solche Richtlinie umgesetzt würde. Jeder Taschendieb zeigt genug Merkmale um demnächst dann einfach mal eben abgeknallt zu werden, würde eine so menschenverachtende Richtlinie tatsächlich umgesetzt.
Wir wissen ja wie schnell menschenverachtende Ideen hier dann plötzlich auch auf die Tagesordnung kommen ...
Ein Treeview in JavaScript der innerhalb von Seiten (ohne Frames) benutzt werden kann und trotzdem sich State merkt.