perlmonks (Sonstige Beiträge (auch Spaß und Sinnloses))

[thread]13803[/thread]

perlmonks

Leser: 29

Articles: hide open all | hide show old branches

+34 replies
LanX-

2009-07-30 01:47

User since
2008-07-15
1000 Artikel
BenutzerIn

hi

wer einen Account by perlmonks hat und noch keine email bekommen hat, sollte sich mal dort einloggen und auf The Monastery Gates aufmerksam lesen.

tschüssi
rolf
me and my writeups
- +22 replies
- neniro
  
  2009-07-30 10:25
  
  User since
  2008-12-14
  79 Artikel
  BenutzerIn
  
  2009-07-29T23:47:44 LanX-
  wer einen Account by perlmonks hat und noch keine email bekommen hat, sollte sich mal dort einloggen und auf The Monastery Gates aufmerksam lesen.
  
  Der Beitrag von masak auf use.perl.org war auch recht aufschlussreich - insbesondere, dass man Passwörter im Klartext in der Datenbank hatte ist beeindruckend. :(
  -- yet another amateur perl hacker
  - +4 replies
  - GwenDragon
    
    2009-07-30 11:14
    
    User since
    2005-01-17
    14745 Artikel
    Admin1
    
    2009-07-30T08:25:42 neniro
    Der Beitrag von masak auf use.perl.org war auch recht aufschlussreich - insbesondere, dass man Passwörter im Klartext in der Datenbank hatte ist beeindruckend. :(
    Schlecht, eigentlich gibt es keinen Grund dafür, außer dass Programmierer im Schnarchmodus programmierten.
    Unix zeigt doch, dass Passwörter als crypt-, MD5- oder SHA-gehasht sein können.
    
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +3 replies
    - Taulmarill
      
      2009-07-30 11:50
      
      User since
      2004-02-19
      1750 Artikel
      BenutzerIn
      
      Ich schätze mal, dass sich da zu Anfang keiner Gedanken drum gemacht hat. Später wird die Umstellung dann als zu viel Arbeit empfunden worden sein. Kann mir gut vorstellen, wie so was läuft. "Historisch gewachsen" ist bei uns auf der Arbeit zu einer oft benutzten Redewendung geworden. Eine Entschuldigung ist das natürlich nicht! Eigentlich eher traurig, dass gerade bei perlmonks so schlampig gearbeitet wurde.
      $_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78 0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0 F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
      - GwenDragon
        
        2009-07-30 14:39
        
        User since
        2005-01-17
        14745 Artikel
        Admin1
        
        2009-07-30T09:50:50 Taulmarill
        "Historisch gewachsen" ist bei uns auf der Arbeit zu einer oft benutzten Redewendung geworden. Eine Entschuldigung ist das natürlich nicht! Eigentlich eher traurig, dass gerade bei perlmonks so schlampig gearbeitet wurde.
        Ja, Historisch gewachsen. Wachsen tun auch die Sicherheitslöcher dann mit – wie mann sieht. :)
        
        Wenn ich nicht will, dass Daten verschwinden, muss ich die Datenbank komplett verschlüsseln. Auch E-Mail-Adressen der Nutzer sind schützenswert.
        
        Wenn allerdings jemand root-Rechte bei PerlMonks erlangt hat, ist sowieso alles verloren.
        
        Wie ist das, konnten die nur die Datenbank knacken oder haben die Hacker doch root genommen!?
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - LanX-
        
        2009-07-30 14:40
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        Ich hab mal vor 6 Jahren ne wunderbar einfache Hintertür in Openview entdeckt, die es lokalen Admins erlaubt auf allen gemonitorten Servern Root-Rechte zu erlangen.
        
        Das betrifft ca. 30% aller Großunternehmen und Banken.
        
        Das wirklich Haarsträubende war die Reaktion der Betroffenen als ichs eskalieren wollte ... Achselzucken ("nee dieses Feature können wir nicht abschalten, weil dann zuviele produktive Sachen ausfallen")
        
        eine email an Osama hätte mehr wirkung erreicht ... 8)
        me and my writeups
  - +17 replies
  - LanX-
    
    2009-07-30 14:32
    
    User since
    2008-07-15
    1000 Artikel
    BenutzerIn
    
    Das "WARUM" wurde gestern Nacht im Chat gelüftet... die "Passwort vergessen" Funktion mailt dir das Original an die hinterlegte email...
    
    Konsequent weitergedacht: jede Plattform die dir anbietet das Originalpasswort zugeschickt zu bekommen statt zurückzusetzen ist anfällig!!!
    
    Shit happens... 8)
    
    PS: Hab pq's passwort mal hier ausprobiert, ging nich... ;-(
    me and my writeups
    - +8 replies
    - GwenDragon
      
      2009-07-30 14:43
      
      User since
      2005-01-17
      14745 Artikel
      Admin1
      
      2009-07-30T12:32:58 LanX-
      Konsequent weitergedacht: jede Plattform die dir anbietet das Originalpasswort zugeschickt zu bekommen statt zurückzusetzen ist anfällig!!!
      Peinlich, für die Mönche, so sicherheitsblind zu sein!
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +7 replies
      - LanX-
        
        2009-07-30 14:57
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        hmm wurde perl-community.de nicht auch schon gehackt???
        
        ;-)
        me and my writeups
        
        +6 replies
        
        GwenDragon
        
        2009-07-30 15:09
        
        User since
        2005-01-17
        14745 Artikel
        Admin1
        
        Solange ich hier mit den anderen Admin bin und „Server-Sicherheitsbeauftragte“, nicht :P
        Auf dem alten Server schon, da konnten die vorherigen Admins auch kein neueres System drauf spielen!
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +5 replies
        
        LanX-
        
        2009-07-31 00:38
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        2009-07-30T13:09:38 GwenDragon
        Solange ich hier mit den anderen Admin bin und „Server-Sicherheitsbeauftragte“, nicht :P
        
        dann lass uns hoffen dass du nie nen alten Backupserver bei den Updates aus den Augen verlierst ... sonst könnte jemand über dich lästern! ;-)
        me and my writeups
        
        +4 replies
        
        GwenDragon
        
        2009-07-31 12:44
        
        User since
        2005-01-17
        14745 Artikel
        Admin1
        
        @LanX-
        Wenn das Lästern ansteht, steht es dir frei das zu tun; ob ich dir dann in den Allerwertesten trete, hängt davon ab wie respektlos das Lästern ist. :)
        
        Ansonsten geben hier einige Leute acht, dass aus dem Server keine Spielwiese für Kiddies & Co. wird.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +3 replies
        
        LanX-
        
        2009-07-31 13:12
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        Tja bei dem hohen Roß dürfte die Fallhöhe jegliche Tretversuche ad absurdum führen.
        
        BTW: Ich mag deine Machosprache nicht!
        me and my writeups
        
        +2 replies
        
        GwenDragon
        
        2009-07-31 15:15
        
        User since
        2005-01-17
        14745 Artikel
        Admin1
        
        Wenn du was zum besseren Absichern des Servers beizutragen hast, bitte, es steht dir frei zu Helfen. Über Mithilfe freuen wir uns immer.
        Das ist ehrlich gemeint.
        
        2009-07-31T11:12:35 LanX-
        Tja bei dem hohen Roß dürfte die Fallhöhe jegliche Tretversuche ad absurdum führen.
        Ansonsten hast du mir schon den Fehdehandschuh mit der Lästerdrohung hingeworfen. Wer mich stichelt bekommt vielleicht meine Zähne zu sehen oder etwas Feuer.
        Oder war das von dir ironisch oder mitfühlend gemeint? Das ist ja schriftlich oft so schlecht zu erkennen. ;)
        
        Quote
        BTW: Ich mag deine Machosprache nicht!
        Lach, sowas hat mir noch keiner gesagt, dass ich Machohaft wäre. Ähhm, was erwünscht du dir denn auf solch kleine Sticheleien deinerseits? Barbiesprache!? Tussi-Slang?
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        LanX-
        
        2009-08-01 04:39
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        ach weißt du, ich würde dann gar nicht über dich lästern wollen, und bei den Mönchen würde wohl auch keiner Lästern, schon gar nicht ein Mod, die würden's sogar eher unterbinden.
        
        so ist es hier halt und viel Spass noch beim Arschtreten... 8)
        Last edited: 2009-08-01 12:20:24 +0200 (CEST)
        me and my writeups
    - +8 replies
    - pq
      
      2009-07-30 15:19
      
      User since
      2003-08-04
      12208 Artikel
      Admin1
      
      2009-07-30T12:32:58 LanX-
      Konsequent weitergedacht: jede Plattform die dir anbietet das Originalpasswort zugeschickt zu bekommen statt zurückzusetzen ist anfällig!!!
      
      ja.
      allerdings muss man beim zurücksetzen auch beachten, dass man das erst nach dem confirmation-link macht. denn es gibt leider systeme, die sofort nach dem mail-versenden das passwort auf ein zufälliges zurücksetzen und das dann mailen (oder einen confirmation-link verschicken, aber das alte passwort ist dann trotzdem deaktiviert).
      damit kann man, wenn man leute ärgern will, die accounts von leuten beliebig stillegen, bis die ihre emails abrufen.
      scheint irgendwie echt schwer zu sein, das vernünftig zu implementieren...
      
      Quote
      PS: Hab pq's passwort mal hier ausprobiert, ging nich... ;-(
      
      hier benutz ich ja auch ein anderes =)
      Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
      lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - LanX-
        
        2009-07-30 15:32
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        2009-07-30T13:19:38 pq
        Quote
        PS: Hab pq's passwort mal hier ausprobiert, ging nich... ;-(
        
        hier benutz ich ja auch ein anderes =)
        
        seit gestern? ;-))
        me and my writeups
      - +6 replies
      - neniro
        
        2009-07-30 16:56
        
        User since
        2008-12-14
        79 Artikel
        BenutzerIn
        
        2009-07-30T13:19:38 pq
        scheint irgendwie echt schwer zu sein, das vernünftig zu implementieren...
        
        Innerhalb eines Unternehmens würde ich heute sowas wie: http://code.google.com/p/openkubus/ einsetzen wollen. Gibt auch teure kommerzielle Lösungen z.B.: von RSA u.a. (http://de.wikipedia.org/wiki/Security-Token). Zusammen mit einem Passwort halte ich das für die beste Lösung. Im Internet macht es allerdings nur wenig Sinn.
        -- yet another amateur perl hacker
        
        +5 replies
        
        LanX-
        
        2009-08-01 12:21
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        übrigens ich hab heute meinen Passwortreminder (d.h. Login und Passwort im Klartext) für die Mailingliste des DPW bekommen, Tja mailman ist auch nicht koscher...
        
        EDITS:
        
        Crosspost http://perlmonks.org/?node_id=785079
        
        ich hab was Mailman anbelangt immer mehr Bauchschmerzen
        Last edited: 2009-08-01 17:18:36 +0200 (CEST)
        me and my writeups
        
        +2 replies
        
        GwenDragon
        
        2009-08-01 17:34
        
        User since
        2005-01-17
        14745 Artikel
        Admin1
        
        2009-08-01T10:21:57 LanX-
        mailman ist auch nicht koscher...
        Ja, mailman wirft regelmäßig die Passwörter ohne Aufforderung und auch unverschlüssselt in die Mailboxen, als Erinnerung sozusagen.
        Mich hat das immer irritiert.
        Nachdem das aber nicht zu ändern war und ich trotzdem diversen Maillisten abnonniert haben wollte, lebe ich nun länger damit, dass die Passwörter so frei und unaufgefordert herumreisen.
        
        Angeblich sollen neuere Versionen den Passwordreminder abschalten können, aber ich nehme mal an, die haben entweder noch veralteten mailman oder die Listenadmisn wissen das nicht/haben es vergessen.
        Vielleicht hilft ja auch ein E-Mail an den Admin der Listen.
        
        Allerdings, was kann da schon passieren, außer dass jemand die Listen abbestellt.
        
        Wer in Mailinglisten antwortet, kann ja die eigenen Mails mit PGP oder SMIME signieren. Damit wäre die Identität je erkennbar und so kein Identitätsdiebstahl möglich.
        Last edited: 2009-08-01 17:36:32 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        LanX-
        
        2009-08-01 18:15
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        der Punkt ist dass sie unmöglich die Passwörter *sicher* hinterlegen können, wenn sie sie auch mailen können!
        
        analog zu Perlmonks!
        me and my writeups
        
        +2 replies
        
        moritz
        
        2009-08-03 10:00
        
        User since
        2007-05-11
        923 Artikel
        HausmeisterIn
        
        2009-08-01T10:21:57 LanX-
        übrigens ich hab heute meinen Passwortreminder (d.h. Login und Passwort im Klartext) für die Mailingliste des DPW bekommen, Tja mailman ist auch nicht koscher...
        
        Zumindest warnt mailman in den default-Templates davor, wichtige Passwoerter dafuer zu benutzen, und schreibt auch, dass sie im Klartext gemailed werden.
        Perl 6 - Perls Zukunft
        
        LanX-
        
        2009-08-03 11:23
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        2009-08-03T08:00:11 moritz
        Zumindest warnt mailman in den default-Templates davor, wichtige Passwoerter dafuer zu benutzen, und schreibt auch, dass sie im Klartext gemailed werden.
        
        Stimmt, auch bei den Mongerslisten... entweder nicht aufgefallen oder neu.
        
        Quote
        Sie können weiter unten ein Passwort eingeben. Dieses Passwort bietet nur eine geringe Sicherheit, sollte aber verhindern, dass andere Ihr Abonnement manipulieren. Verwenden Sie kein wertvolles Passwort, da es ab und zu im Klartext an Sie geschickt wird!
        
        Wenn Sie kein Passwort eingeben, wird für Sie ein Zufallspasswort generiert und Ihnen zugeschickt, sobald Sie Ihr Abonnement bestätigt haben. Sie können sich Ihr Passwort jederzeit per E-Mail zuschicken lassen, wenn Sie weiter unten die Seite zum ändern Ihrer persönlichen Einstellungen aufrufen. Zur Erinnerung wird Ihnen monatlich Ihr Passwort gemailt.
        
        UPDATE: Und das ist auch der einzige Kritikpunkt an perlmonks den ich habe, hätten sie es im login-Prozess explizit klargemacht keine wichtigen PWs zu nutzen, könnten sie jetzt jeden Vorwurf abschmettern.
        Last edited: 2009-08-03 11:36:15 +0200 (CEST)
        me and my writeups
- Crian
  
  2009-07-30 12:17
  
  User since
  2003-08-04
  5867 Artikel
  ModeratorIn
  
  Danke, Passwort geändert.
  
  Peinlich, das...
  s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;
  
  use strict; use warnings; Link zu meiner Perlseite
- +3 replies
- GwenDragon
  
  2009-07-31 17:35
  
  User since
  2005-01-17
  14745 Artikel
  Admin1
  
  Wer wissen will, wie das hacking bei den Mönchen abging (auch bei Perlmonks) darf mal in den Google Cache schaune.
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +2 replies
  - Taulmarill
    
    2009-07-31 17:54
    
    User since
    2004-02-19
    1750 Artikel
    BenutzerIn
    
    ZFO 5 (und andere ezines) findet man auch ohne Google Cache. Z.B. bei Milw0rm.
    $_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78 0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0 F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
    - GwenDragon
      
      2009-07-31 18:04
      
      User since
      2005-01-17
      14745 Artikel
      Admin1
      
      Manche Adressen waren nicht erreichbar, deswegen die Angabe des Cache.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +7 replies
- GwenDragon
  
  2009-08-01 12:32
  
  User since
  2005-01-17
  14745 Artikel
  Admin1
  
  Zugangssicherheit bei Perlmonks selbst:
  Die Passwörter auf perlmonks sind auch nur 8 Zeichen lang. Das ist nicht besonders viel.
  Mit GPUs würde es wohl ein paar Tage dauern, auch einen Perlmonks-Admin-Account zu knacken. Nehme ich theoretisch an.
  Soweit ich sehen kann, haben die ja keine Passwortsperre bei Fehlversuchen.
  Last edited: 2009-08-01 12:34:47 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +6 replies
  - Taulmarill
    
    2009-08-01 17:04
    
    User since
    2004-02-19
    1750 Artikel
    BenutzerIn
    
    Wo nimmst du deine Abschätzung von "ein paar Tage" her? Ja, aktuelle Grafikkarten beschleunigen das nicht unerheblich, ein größerer Faktor dürfte aber der verwendete Algorithmus sein. Für MD5 gibt's ja schon eine ganze Menge Rainbow Tables die relativ gute Erfolgsquoten für Passwörter von 8 Zeichen und weniger haben. Ohne solche Hilfsmittel ist das auch mit modernsten Grafikkarten nicht in ein paar Tagen zu schaffen, es seihe denn man hat glück und landet einen Zufallstreffer.
    $_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78 0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0 F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
    - +2 replies
    - GwenDragon
      
      2009-08-01 17:14
      
      User since
      2005-01-17
      14745 Artikel
      Admin1
      
      Du meinst, dass ein Passwort von 8 gemischten Zeichen sicher genug ist?
      Auch wenn versucht wird, das mit mehreren vernetzten Systemen zu knacken?
      Hmm. Ich dachte, mittels mehrerer GPUs könne der Zyklus stark verkürzt werden. Da habe ich mich dann wohl geirrt.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - Taulmarill
        
        2009-08-02 13:39
        
        User since
        2004-02-19
        1750 Artikel
        BenutzerIn
        
        Kommt wie gesagt auf den verwendeten Algorithmus an, der die Hashes erzeugt. Ich habe mir das mal spaßeshalber für MD5 angeschaut, da es dafür die meisten Programme gibt. Soweit sich das im Internet recherchieren lässt, sind hier mit Unterstützung moderner Grafikkarten 500.000.000 Passworte pro Sekunde prüfbar. Wenn ich alle Passwörter von acht Zeichen länge überprüfen will, und alle druckbaren ASCII-Zeichen einbeziehe, komme ich damit auf 6.095.689.385.410.816 zu prüfende Passwörter, was dann 141 Tage dauern würde. Das alles wird nur um einiges länger, wenn man andere Algorithmen benutzt. Das einzige Programm, welches ich finden konnte, das SHA-1 Hashes mit GPUs Brute-Forcen kann, ist dort um den Faktor 4 langsamer als bei MD5.
        
        Wenn man die Möglichkeiten hat, sich 100 Rechner mit modernen (=teuren) Grafikkarten hinzustellen, ist das wohl wirklich in ein paar Tagen machbar. Realistischer dürfte wohl sein, dass demnächst Botnetzte mit entsprechender Software ausgestattet werden.
        $_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78 0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0 F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
    - +3 replies
    - LanX-
      
      2009-08-01 17:21
      
      User since
      2008-07-15
      1000 Artikel
      BenutzerIn
      
      Finger weg von MD5, da werden auch schon algorithmisch ziemliche Fortschritte gemacht.
      
      Die Passwörter waren meist nicht sonderlich clever:
      http://use.perl.org/~masak/journal/39373
      
      Allerdings das von Larry Wall ist ein LOL! xD
      
      http://use.perl.org/comments.pl?sid=43492&cid=6980...
      me and my writeups
      - +2 replies
      - GwenDragon
        
        2009-08-01 17:40
        
        User since
        2005-01-17
        14745 Artikel
        Admin1
        
        2009-08-01T15:21:21 LanX-
        Finger weg von MD5, da werden auch schon algorithmisch ziemliche Fortschritte gemacht.
        SHA1 und -512 Hashes sind schwerer zu knacken. Für das Knacken der MD5-HAshes gibt es je eh schon Webseiten.
        
        Quote
        Die Passwörter waren meist nicht sonderlich clever:
        http://use.perl.org/~masak/journal/39373
        Das kommt auf die Länge an, oder?
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        LanX-
        
        2009-08-02 15:27
        
        User since
        2008-07-15
        1000 Artikel
        BenutzerIn
        
        2009-08-01T15:40:35 GwenDragon
        2009-08-01T15:21:21 LanX-
        Finger weg von MD5, da werden auch schon algorithmisch ziemliche Fortschritte gemacht.
        SHA1 und -512 Hashes sind schwerer zu knacken. Für das Knacken der MD5-HAshes gibt es je eh schon Webseiten.
        
        ich rede nicht von Regenbogenattacken sondern von Algorithmen. In letzter Zeit gabs erhebliche Fortschritte im Erzeugen von Kollisionen. Das ist zwar primär relevant für Signaturen, aber mein Vertrauen ins Passworthashing mit MD5 ist dahin.
        
        Wenn sowieso absehbar ist das ein Verschlüsselung in 10 Jahren gegessen (so alt ist z.B. Perlmonks jetzt) würd ich die Finger davon lassen.
        
        Nehmen wir jetzt NUR Taulmarills¹ Rechenbeispiel mit 141 Tagen für 8 Zeichen. Schätzen wir mal die Hardwareentwicklung mit Moores Gesetz ab:
        
        2**(10/1.5)==101.593667325965
        
        aha 1.4 Tage, und das OHNE algorithmische Fortschritte anzunehmen, also ohne Faktor Mensch.
        
        http://de.wikipedia.org/wiki/Message-Digest_Algori...
        
        Und von SHA1 wird auch abgeraten.
        
        http://de.wikipedia.org/wiki/Secure_Hash_Algorithm...
        
        wenn überhaupt dann SHA 256
        
        Die Frage ist ja auch ob klassische Passwörter immer länger werden können, die User werden sich irgendwann schlicht weigern.
        
        Um sonst Bruteforceattacken zu vermeiden, müsste man Hashingfunktionen nehmen die extrem langsam sind...
        
        (1) Himmel, dein Nick ist jetzt in meinem Spellcheckerwörterbuch! ;)
        Last edited: 2009-08-02 15:35:05 +0200 (CEST)
        me and my writeups

View all threads created 2009-07-30 01:47.