Neu! Der TechBlog

Fundus

 

29.06.2007 - 08:40 Uhr 

Onlineshoppen gefährlich --- Neue Erkentnisse
MD5 unsicher - RICHTIG oder FALSCH? Unendlich viele Kollisionen!!!

Falls Sie bereits einmal über das Internet in einem Onlineshop etwas bestellt haben, kennen Sie die übliche Anmeldungsprozedur (Name, Adresse, PASSWORT)... Dabei wird Ihr Passwort meist per 128-Bit verschlüsselter Verbindung an den Onlineshop geschickt und dort mittels MD5-Algorythmus codiert und in einer Datenbank abgelegt. Klingt sicher oder? Ist es auch wenn man sich ein paar Regeln ans Herz legt und beachtet!

Hintergrund - MD5 kann entschlüsselt werden!!!:

Wenn ein Passwort mittels des MD5-Algorythmus verschlüsselt wird kommt dabei immer die selbe Kombination heraus. Bsp.: Wenn man ITSERVICE mittels MD5 verschlüsselt kommt folgendes heraus:

 283364abfe39310a04b1d92a85305e11 = ITSERVICE

Egal wie oft man das macht, es kommt immer wieder der gleiche Code heraus, deshalb ist es auch möglich Ihr Passwort zu überprüfen. Dabei wird beim Login Ihr eingegebenes Passwort einfach verschlüsselt und mit dem bereits in der Datenbank vorhandenen verschlüsselten Passwort verglichen. Ist es das gleiche war der Login erfolgreich. Nun wurde aber bereits versucht Tabellen zu erstellen die alle erdenklichen Wortkombinationen mit dem entsprechenden MD5-Code enthalten. Das klappt natürliche auch, und ich könnte ihnen innerhalb weniger Minuten ein eingegebenes Passwort mit einer Trefferqoute um die 85% entschlüsseln. Solange das Passwort nur 6 Zeichen enthält!!! Eine dementsprechende Tabelle (Rainbow-Tabelle) kann man sich jederzeit im Internet herunterladen. Diese Tabelle hat eine Größe von ca.
2 Gigabyte, und enthält alle Kombinationen mit maximal 6 Zeichen. Diese lässt sich mittels Programm einfach und in einer relativ kurzen Zeit durchsuchen und das gesuchte Passwort finden. Fakt ist aber das diese Tabellen bei zunehmender Zeichenlänge des Passworts exponentiell wachsen. So das Passwörter die mehr als 6 Zeichen besitzen unwahrscheinliche Tabellengrößen erfordern.

Mein Rat an Sie: 

Kaufen sie nie mehr online ein!!! Nein, das will ich Ihnen natürlich nicht raten...

Sehen Sie es einfach einmal so: 

Wenn Sie mit Ihrer Kreditkarte im Kaufhaus einkaufen gehen ist dies ungefähr genauso unsicher wie Online zu shoppen:

  1. Könnte ein Dieb hinter ihnen an der Kasse stehen und versuchen Ihre PIN auszuspionieren! (4-Stellig!!!)
  2. Danach müsste er noch Ihre Karte stehlen und dabei nicht erwischt werden!
  3. Spätestens nach einem Tag hätten Sie Ihre Karte gesperrt.

Im Internet verhält es sich wie folgt:

  1. Ein Hacker müsste Ihre Verbindung mithören. Wenn Ihre verbindung mittels 128-Bit verschlüsselt ist, wie bei einem Onlineshop üblich, bräuchte der Hacker sehr sehr lange um an Ihre Daten zu kommen.
  2. Ein guter Onlineshop lässt es meist nicht zu hundert mal das falsche Passwort einzugeben. Sollte ein Hacker versuchen alle mögliche Passwörter einfach auszuprobieren würde die Shopanwendung dies merken und Ihr Konto vorübergehend sperren.

Tipps beim Onlineshopping:

  1. Achten Sie beim Bestellvorgang auf "HTTPS://" in der Adresszeile!
    (Bedeuted das die Verbindung sicher ist)
  2. Verwenden Sie Passwörter die mindestens aus 5 Zeichen bestehen, die Zahlen enthalten, und Klein- und Großschreibung enthalten.
  3. Kaufen Sie nur bei Onlineshops die Sie kennen bzw. die Seriös wirken.
  4. Nehmen Sie gegebenefalls mit dem Shopbetreiber vorher Kontakt auf.
  5. Lesen Sie die AGB.
  6. Achten Sie auf Lieferbedingunen, Versandkosten und Mindestbestellwert!!!
  7. Melden Sie sich nicht bei hunderten verschiedenen Shops an, sondern suchen Sie sich einen komfortabelen, seriösen Shop aus dem Sie vertrauen. (Meist unterscheiden Sich die Preise der einzelnen Webshops nur um einige Cent, welche sich aber mit den Versandkosten relativieren)

Zu guter letzt - Nur für die Theorie:

IHR PASSWORT FUNKTIONIERT AUßERDEM NOCH MIT UNENDLICH VIELEN ANDEREN PASSWÖRTERN

Der angesprochene MD5 Algorythmus besitzt unendlich viele Kollisionen!!!

Nehmen wir wieder einmal das Wort:

ITSERVICE 283364abfe39310a04b1d92a85305e11

Nun ist es Tatsache das es für das Passwort ITSERVICE unendlich viele andere Passwörter gibt die bei der Eingabe funktionieren würden.
 
Definition: String = Zeichenkette also eine Aneinanderreihung von Zeichen. (Der andere String)
Definition: Hexadezimal = Ein Zahlensystem(0-9) wie unseres, nur anders!
 
Begründung dafür ist, das ein MD5-String sich immer aus 32 Hexadezimalen Zahlen zusammensetzt was bedeuted es gibt 1632 Möglichkeiten für so einen String. Das ist schon sehr sehr viel, aber wenn man bedenkt das es UNENDLICH viele Passwörter gibt (Vorrausgesetzt die Passwortlänge ist nicht beschränkt) muss es hin und wieder vorkommen das ein MD5 doppelt vor kommt. Hin und wieder? Nein!!! Es muss UNENDLICH mal vorkommen => Zu Ihrem Passwort gibt es UNENDLICH viele andere Passwörter die genauso funktionieren! Zum Glück kommt so eine Kollision aber nur maximal alle 1632 Passwörter vor und ist somit etwas für Theoretiker und nichts für einen "Onlineshopper". :-)
  

 

20.06.2007 - 09:26 Uhr 

Spammails für Webmaster

Jeder der eine Domain besitzt kann in nächster Zeit eine Spammail bekommen in der angedroht wird das seine Domain aus dem Googleindex gelöscht wird. Falls die Mail von Donotreply(at)gmail.com sein sollte kann man Sie ohne Bedenken löschen. Und bitte auf keinen Fall den Anhang öffen. » mehr infos

19.06.2007 - 18:07 Uhr 

Gefrees = schlechtes Essen 

Laut einer Internetseite, welche über die Kultur des Ortes OSBURG handelt, soll das Wort "Gefrees" schlechtes Essen heißen. Hier der Fundort. Weiß jemand näheres darüber (Kontakt)? Verdanken wir OSBURG evtl. den Namen unserer Stadt?