Passwortverschlüsselung

[WiZdooM]

Hallo

In Zeiten der Userdateien und der "Passwort speichern"-Funktionen frage ich mich ob und wie man verschlüsselt gespeicherte Passwörter, die zwischen Klartextbezeichnern in *.ini, *.cfg, und sonstigen Dateien abgelegt werden, "reverse-engineeren" kann.

Angenommen es steht ein String wie z.B. "password=AE03938B43834ZHG"
in der cfg eines IM-Programms. Kann jemand der zwar einen PC bedienen kann, aber keinen Dunst von Programmierung hat, herausfinden um welche Verschlüsselung es sich handelt, um dann mit entsprechenden Werkzeugen das Ganze zu entschlüsseln? Wie wahrscheinlich ist es dass z.B. Trillan Astra auf die bekannten Verschlüsselungsverfahren setzt oder doch eher etwas eigenes entwickelt hat ?

 

[Wolfsbein]

Wenn die was "eigenes" entwickelt haben, waere es ein Grund das Programm nicht zu nutzen. Im Normalfall handelt es sich um simple Hashes der Passwoerter, die man wenn sie "normal" genug sind mit Hilfe von Rainbow-Tables oder Bruteforce wieder herstellen kann. Daher gilt: auf jeden Fall einen Salt verwenden.

 

[Dennis Wronka]

Fuer solche Programme, wie z.B. die Passwort-Verwaltung von Firefox, KWallet oder sowas werden meiner Meinung nach keine Hashes genutzt.
Grund ist einfach dass das Passwort bei der Benutzung hoechstwahrscheinlich im Klartext benoetigt wird.
Das macht die Verwendung eines Hashes hoechst unpraktisch, da Rainbow-Tables mit zumutbarem Umfang nicht alles abdecken koennen was sich Leute so als Passwort ausdenken.
Selbst Rainbow-Tables mit mehreren GB Groesse werden sicherlich nicht jedes Passwort finden koennen das einige User benutzen.

Entsprechend ist es nicht praktikabel einen Hash dafuer zu nutzen, da dieser ja eine Einwegverschluesselung ohne Rueckweg darstellt.

Somit landen wir bei richtigen Verschluesselungsverfahren, wie z.B. Blowfish, 3DES und aehnlichen Algorithmen.
Welche nun konkret zum Einsatz kommen laesst sich natuerlich spontan nicht sagen.
Bei OpenSource-Anwendungen wie Firefox und KWallet laesst sich sicher durch Analyse des Quellcodes herausfinden. Alles andere ist entweder ein Ratespiel oder man hat Glueck und der Hersteller verraet welchen Algorithmus er nutzt.

Wie schon gesagt wurde, wenn jemand was eigenes einsetzt und den Algorithmus nicht offen legt, also quasi zum Abschuss freigibt, ist das eher ein Grund skeptisch zu sein als sich darueber zu freuen dass niemand den Algorithmus kennt.
Eigentlich alle bewaehrten Algorithmen sind oeffentlich verfuegbar und koennen somit von unzaehligen Experten auf Schwachstellen untersucht werden. Gerade das macht einen guten Algorithmus gut, dass er der eingehenden Pruefung von vielen, vielen Leuten standhaelt.