Toon posts:

[Hash] Specifieke veiligheid van onveilige hash algoritmes

Pagina: 1
Acties:

Vraag

woensdag 3 maart 2021 20:52

Acties:
  • 0Henk 'm!
  • nota
  • Registratie: Augustus 2001
  • Laatst online: 17-02 10:02

nota

Topicstarter
Het is algemeen bekend dat bepaalde hashing algoritmes zoals MD5 en SHA1 niet veilig zijn om passwords te hashen. Stel je voor dat een bepaalde website wel deze algoritmes gebruikt zonder dat ze een (unieke) salt toepassen, maar ik mijn wachtwoord zodanig heb bepaald dat deze enkel voor de betreffende website gebruikt wordt en dat het een willekeurige reeks van 15 tekens is (61 mogelijkheden per teken), uitgaande van een entropie van 88 bits.

Aangezien er (nog) geen pre-image attacks zijn gevonden voor deze algoritmes en een dictionary lookup of rainbow tables mijns inziens geen resultaat kunnen opleveren, kan ik er dan vanuit gaan dat een persoon die de hash in handen krijgt er op dit moment niks mee kan?

If you think sex is a pain in the ass, try different position

Beste antwoord (via nota op 07-05-2021 19:30)

zaterdag 6 maart 2021 11:49

  • Luc45
  • Registratie: April 2019
  • Laatst online: 22:36

Luc45

In het algemeen zou je dat wel kunnen aannemen.

Op dit moment zit de zwakheid van deze algoritmen er vooral in omdat de snelheid waarmee we ze kunne berekenen dusdsnig hoog is dat je heel veel waardes kunt raden (z.g.n. brute force aanval)

Hierdoor wordt het ook mogelijk om met twee verschillende waardes eenzelfde hash te berekenen (z.g.n. hash collision).

Als ik het goed herinner is het algoritme zelf nog niet gekraakt, maar dat zou in de toekomst natuurlijk nog wel kunnen gebeuren.

Als je voor elke website een lang en uniek wachtwoord hebt, heeft een kwaadwillende er ook helemaal niets aan om jouw hash te kraken, hij zou er immers alleen mee in iunnen loggen bij de service waar hij de hashes heeft weten te verkrijgen. Als iemand al zo ver een systeem is ingekomen, kun je eigenlijk wel aannemen dat hij de rest van de data op het platform ook in handen had kunnen hebben.

Alle reacties

zaterdag 6 maart 2021 11:49

Acties:
  • Beste antwoord
  • 0Henk 'm!
  • Luc45
  • Registratie: April 2019
  • Laatst online: 22:36

Luc45

In het algemeen zou je dat wel kunnen aannemen.

Op dit moment zit de zwakheid van deze algoritmen er vooral in omdat de snelheid waarmee we ze kunne berekenen dusdsnig hoog is dat je heel veel waardes kunt raden (z.g.n. brute force aanval)

Hierdoor wordt het ook mogelijk om met twee verschillende waardes eenzelfde hash te berekenen (z.g.n. hash collision).

Als ik het goed herinner is het algoritme zelf nog niet gekraakt, maar dat zou in de toekomst natuurlijk nog wel kunnen gebeuren.

Als je voor elke website een lang en uniek wachtwoord hebt, heeft een kwaadwillende er ook helemaal niets aan om jouw hash te kraken, hij zou er immers alleen mee in iunnen loggen bij de service waar hij de hashes heeft weten te verkrijgen. Als iemand al zo ver een systeem is ingekomen, kun je eigenlijk wel aannemen dat hij de rest van de data op het platform ook in handen had kunnen hebben.
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee