Erstaunlich, was einem die Leute so alles in den Mund legen... Um das jetzt mal klarzustellen: Mit Passwort meine ich natürlich die Konto-Passwörter für die Server. So, ich hatte jetzt vor, mir TrapDoors anzugucken, und was finde ich bei Wikipedia: Hashes arbeiten mit Info-Verlust, für TrapDoors musst du die Infos irgendwie zurückbehalten. Schön, sehr aufschlussreich. Ich glaub, ich probiere es mal mit Substitution. Mal gucken. Wie wäre es mit folgender Matrix:

Kann man da drauf kommen? Mit dekompilieren / disassemblieren meine ich. Ich finde die Matrix ganz gut.
Tschö,
nullplan
P.S.: Ich habe jetzt mal die Matrize ausprobiert an CrypTool (wurde mir vom Infolehrer empfohlen). Ich habe nur die einfache Matrix genommen und siehe da: Die automatische Analyse kackt ab. Wenn der Text zu kurz ist, geht gar nicht mehr. Und da die wenigsten Passworte 100 Zeichen oder mehr umfassen, ist das schon mal ziemlich schwer zu entschlüsseln.

ich denke mal deinen algo kann man durch disassambling rausbekommen, egal wie gut er ist

In dem Fall bleibe ich bei der obigen Substitution. Danke und
Tschö,
nullplan

F34r0fTh3D4rk hat folgendes geschrieben:

ich denke mal deinen algo kann man durch disassambling rausbekommen, egal wie gut er ist

Ja, damit kann man so ziemlich alles rausbekommen - das ist die Crux der Seriellen Datenverarbeitung beim Computer.

Grundsätzlich ist das sichere Speichern von Passwörtern nicht möglich, da ein Schlüssel benötigt wird, der wiederum irgendwo gespeichert werden muss! Wenn man weiß, wo der Schlüssel gespeichert wurde und den Algo kennt (z.B. durch Disassambling), ist das Passwort unsicher!

Man könnte das ganze über einen Server abwickeln, auf dem die PWs gespichert sind! Dazu muss man "nur" die Authentizität sichergestellt werden! Dann kann ein PW leicht verschlüssel übertragen werden, z.B. über DH! Der Server ist ganz Sinnvoll, weil manm ja eh im Inet sein muss, weil man E-Mails abrufen möchte!

Vllt kann man bei dieser Möglichkeit weiter denken!

mfg Sirke

@Sirkes: Das ganze hat nur einen Haken: Ich kenne den Algo und habe Vollzugriff auf den Server. Würdest du jemandem Wildfremden dein Passwort anvertrauen wollen? In der Hoffnung, er missbraucht es nicht? Außerdem können Server gehackt werden, was wiederum die Passwörter freigeben würde, würde ich sie auf dem Server im Klartext speichern. Speichere ich sie verschlüsselt, wird das Programm zur Verschlüsselung mit gesaugt und disassembliert. Ergo: Es gibt keine Sicherheit im informatischen Bereich. Nur die Illusion davon. Wenn ich den Code z.B. in eine DLL auslagere und diese sonstwo sonstwie verstecke, ist der Dateiname samt Pfad auch aus dem Disassembler herauszufinden. Wenn man wirklich will, findet man sogar eine Umleitung über 50 verschiedene andere DLLs heraus.
Tschö,
nullplan

JEIN, die Passwörter lagern zwar auf einem Server, aber wenn du sie über eine ID speicherst und nur Prüfst, ob der Benutzer für die ID berechtigt ist, dann holt er sich das PW ohne das du weißt wofür es verwendet wird, weil du den Benutzernamen nicht weißt!
Es ist zwar ein Problem, aber was bringt dir ein Wörterbuch mit Passwörtern?!

ODER:
Du lagerst den Schlüssel für das Ver-/Entschlüsseln der Passwörter auf dem lokalen Rechner auf dem Server, sodass man sich den Schlüssel besorgt, und damit dann die Daten entschlüsselst!
So sollte es keine Probleme geben, weil du nur Zufallschlüssel hast, mit denen du NIX anfangen kannst, OHNE dass du dir die Daten vom lokalen Rechner holst, was sich dann aber Hacking nennt!

Hi all,
mal ne theoretische Frage: Ist es möglich, an eine DLL eine Funktion anzuhängen, ohne den genauen Quelltext der DLL zu kennen? Normalerweise würde man die Funktion ja ans Ende des Quelltextes schreiben und dann Compilieren. Bringt in meinem Fall nichts: Ich will die CRYPT32.DLL modifizieren. Sie soll so bleiben, wie sie ist, nur eine zusätzliche Funktion soll angehängt werden und natürlich exportiert werden. Geht das auch irgendwie zur Laufzeit? Sodass ich das in einem Installer besorgen kann? Schließlich will wohl niemand, dass ich auf seinem möglicherweise besserem System die Win2k-Variante draufpacke. Nachher braucht WinXP ein paar Funktionen aus der DLL, die die Win2k-Variante nicht hat, und der Anwender ist nach Installation meines mailprogs aufgeschmissen. (Wenns nur mit Compiler geht, ist auch nicht so schlimm. FreePascal ist nunmal "free", ich brauch bloß einen Eintrag in den Very Special Thanks der Credits zu packen). Wenn es noch unklar sein sollte: dieses dient der Spurenverwischung: Der Hacker kann der Spur meines Algos bis zur CRYPT32.DLL folgen. Die hat jedoch ein paar mehr Funktionen als nur die, die ich verwenden will. Gut der engagierte Hacker kommt auch hier weiter, aber eben nur der. (Wie der engagierte Hacker hier weiterkommt schreib ich besser nicht, sonst kommt auch der unengagierte drauf)
Nebenbei: Ich habe keinen Bock, eine riesige DLL nur aus Sicherheitsgründen zu schreiben.
Tschö,
nullplan

F34r0fTh3D4rk hat folgendes geschrieben:

ich denke mal deinen algo kann man durch disassambling rausbekommen, egal wie gut er ist

Nicht mal das bräuchte man! Eine einfache Häufigkeitsanalyse ermittelt binnen Sekunden das richtige Klartextalphabet! Substitution hat Maria Stuart verwendet, das ist veraltet und unsicher obendrein. Vigenere taugt hier auch nichts! Ich empfehle RSA o.ä.

Eigentlich ist es so ziemlich egal wie man das PW verschlüsselt. Wenn der PC etwas machen soll, ohne dass der Anwender ihn dazu auffordern muss, gibt es immer eine Möglichkeit das PW herauszubekommen. Nur wenn der Nutzter zusätzlich etwas machen muss, dass der PC anfängt etwas zu machen, ist etwas relativ sicher (bis auf wenn die Eingaben mit überwacht werden bzw. der Datenverkehr überwacht wird). Als Häcker würde ich mir nicht einmal die Mühe machen das Programm zu disassembilieren um den Schlüssel heraus zu finden, da man den Datenverkehr nur überwachen muss. Denn es ist Fakt, das Passwörter in den meisten Fällen unverschlüsselt an die Server versenden werden (FTP, e-mail, etc.). Die Verschlüsselung von PWs dient einfach nur dazu, um zu verhindern dass man ohne gewissen Aufwand an die Daten herankommt. Wer einen Angriff gezielt auf ein bestimmtes Programm macht, wird auch Erfolg haben. Die Schwierigkeuit liegt hierbei heut zu tage seltener an dem Häcken des Programms, sondern erst einmal das Hack-Proggi überhaupt auf den Rechner zu bekommen und es dann noch auszuführen. IMHO würde es reichen, 3-4 billige Verschlüsselungsverfahren übers PW laufen zu lassen. ...

mfg
Heiko

Diron hat folgendes geschrieben:

Eine einfache Häufigkeitsanalyse ermittelt binnen Sekunden das richtige Klartextalphabet!

Da mus ich dir leider wiedersprechen. Maria Stuart wollte keine Passwörter verschlüsseln, oder? Eine Häufigkeitsanalyse geht z.B. davon aus, dass 'e' der am häufigsten verwendete Buchstabe ist. Wäre mein Passwort jetzt 'nullplan', ist die Analyse schon wegen dieser Regel im Hintern. 3 'l', aber kein 'e'. Wer Passwörter in der Länge eines Buchtextes verwendet, hat meiner meinung nach 'nen Schaden (jeden morgen das gleiche Buch abtippen... Da muss man schon krank sein). Normalerweise sind Passwörter zwischen 4 und 10 Zeichen lang. Das reicht eindeutig nicht für eine Analyse.
Tschö,
nullplan