Re: Mal wieder eine Sicherheits-Bankrotterklärung von Microsoft

Juergen P. Meier wrote:
> Andreas Beck <becka-news-nospam-2005-12@xxxxxxxxxxxxxxxxxxxxxx>:
>> Tschuldigung, wer so dämlich ist, das:
>>> "Es ist toll und sicher, Passwoerter durch deterministische
>>> Pseudozufallsgeneratoren in unmittelbarer Folge erstellen zu lassen,
>>> und das erste dieser Folge oeffentlich preiszugeben, Weil niemand
>>> das naechste Passwort von Andreas Beck hier knacken konnte !!1elf"
>> daraus zu schließen, daß ich gerne einen Beweis für die IMHO etwas
>> vollmundige Behauptung, es wäre _trivial_, haben wollte, der generiert
>> Passwörter sowieso durch Verwendung der namen seiner Haustiere.
> Du hast nicht viel mit Laien zu tun, oder?

Jein. Je nach Tätigkeitsumfeld.

> Und ja, es ist ernuechternd, wenn man einen passwort-cracker mit nur 4
> Dictionary-attack-typen° auf eine Passwort-DB von 3000 Studenten
> loslaesst, und der 90% knackt.

Yikes. So schlimm war's hier selbst auf den "für alle" Rechnern nicht.

Auf meinen Pools scheint die Indoktrination bei Einrichtung des Accounts
zu wirken. Hab erst letzthin john ne Woche auf der einen ServerCPU
laufen lassen. Null Ergebnisse.

>> Und ich halte es in der Tat für relativ wenig problematisch, einige
>> wenige Passwörter mit Hilfe eines PRNG zu produzieren, solange das
>> Verfahren so aufgebaut ist, daß man den State nicht trivial
>> rekonstruieren kann und der State nicht anderweilig ableitbar,
>> oder so klein, daß man ihn bruteforcen kann, ist.
> Dennoch wuerde ich niemals sowas propagieren, zumindest nicht ohne
> *DEUTLICH* auf die Risiken hinzuweisen.

Ich halte das Risiko der von mir angegebenen Methoden für dehr begrenzt.

Ich hole da de facto Hashes aus einem Entropiepool, dessen Zustand
der Angreifer nicht kennen dürfte (kennt er ihn, hast Du ganz andere
Probleme).

Solange der Hash nicht gebrochen ist (auch da hat man dann andere
Sorgen), sehe ich kein Problem darin, das so zu machen.

Daß es nicht ideal ist, ist klar. Aber es ist weit besser als alles, was
ich mir selber ausdenke - oder durch "Kopf auf Tastatur hauen" erzeugen
kann.


CU, Andy
.

Relevant Pages