PSN-Hack: "Haben schnell genug reagiert"
Moderatoren: Moderatoren, Redakteure
rein aus Neugier:Dr. Hurgan hat geschrieben:@crackajack:
Natürlich kann das sein, ist ja alles relativ spekulativ, was wir hier machen ^^
Aber wahrscheinlich hat man mit den Standard-Hashtables bereits Erfolge erzielt, sonst hätte Sony das ja vermutlich nicht zugegeben und behauptet, man hätte eh verschlüsselt.
Und um einen 2048-Bit-Schlüssel aus 77.000.000 Datensätzen herauszubekommen, müßtest du wahrscheinlich mehr als eine Serverfarm für ein paar Wochen laufen lassen.
Ich sag nicht "unmöglich", nur "unwahrscheinlich".
Wie verifiziert man die Ergebnisse dann? zum austesten gabs das PSN ja nicht
- crackajack
- Beiträge: 657
- Registriert: 09.12.2009 09:36
- Persönliche Nachricht:
gibt doch sicher other-OS-PS3-farmen die damit kein Problem haben.^^Dr. Hurgan hat geschrieben: müßtest du wahrscheinlich mehr als eine Serverfarm für ein paar Wochen laufen lassen.
@das Levi
ich denke beim jeweiligen Mail provider probiert man dann das PW, könnte ja eben das gleiche sein.
''You must be the change you wish to see in the world.'' Gandhi
''An eye for an eye, and soon the whole world is blind.'' Gandhi
''Verstand dient der Wahrnehmung der eigenen Interessen, Vernunft ist Wahrnehmung des Gesamtinteresses.'' Weizsäcker
''An eye for an eye, and soon the whole world is blind.'' Gandhi
''Verstand dient der Wahrnehmung der eigenen Interessen, Vernunft ist Wahrnehmung des Gesamtinteresses.'' Weizsäcker
- Ugly Old Hurgs
- Beiträge: 2765
- Registriert: 27.05.2009 10:45
- Persönliche Nachricht:
Wie meinst du das mit verifizieren? Ob die Passwörter stimmen?das Levi hat geschrieben:rein aus Neugier:
Wie verifiziert man die Ergebnisse dann? zum austesten gabs das PSN ja nicht..
Code: Alles auswählen
if (indexOf(lookUp("RainbowTable")=ASCII))
{Passwort;}
else
{Crap;}
- ShinmenTakezo
- Beiträge: 5320
- Registriert: 29.07.2004 23:04
- Persönliche Nachricht:
http://www.gametrailers.com/video/episo ... ack/713901Oimann hat geschrieben:Ich kann einfach nicht glauben das Sony ein par alte Spiele verschenk un alle in die Hände klatschen un Sony noch dafür gratulieren was Sie für ne tolle Arbeit gemacht haben. Ich bin immer noch Stinksauer darüber das meine daten geklaut wurden. Es weis keiner wer die Daten geklaut hat, es weis keiner was zukünftig noch mit den Daten gemacht wird, un Sony sollte besser alles daran setzen, das schleunigst aufzuklären. Ich will keine alten Spiele vom Grabbeltisch als Entschädigung, ich will wissen was mit meinen Daten passiert ist.
Die ganze Geschichte ist für einen Konzern wie Sony nicht nur peinlich, sowas darf einfach nicht passieren. In einem ordentlichen Konzern hätten die für die Misere Verantwortlichen schon längst ihren hut nehmen müssen....
es wird zu 99% nichts passieren und wenn ja lässt sich das immer noch regeln also keine panik ich glaub die meisten interpretieren viel zu viel in die sache rein
ich wette einige von denen die hier wegen den daten so laut schreien haben bei facebook alles offengelegt und jeder kann darauf einblick haben
gruß
-
johndoe790745
- Beiträge: 553
- Registriert: 20.11.2008 13:46
- Persönliche Nachricht:
ach, wie oft ich schon von der polizei gehört hab:LongAlex hat geschrieben:*lach* klar ruf ich gleich die Polizei....wenn die Tür eingebrochen ist, werd ich vielleicht nicht mal rein gehn.
"solang nichts passiert ist können wir nichts machen!"
in meinen augen hat sony richtig reagiert.
es bringt nichts den kunden zu erzähln, dass bei ihnen eingebrochen wurde, sodass die kunden alle in panik geraten, nur um festzustellen das am ende nix passiert ist.
spätestens dort, hätten alle aufgeschrien, sie wollen daten und fakten haben.
erst informationen, dann öffentlichkeit.
hab noch nie gehört, das es umgekehrt passiert.
aber wenn die tür aufgebrochen wurde IST was passiert und sei es nur vandalismus/sachbeschädigung.Bastian.vonFantasien hat geschrieben:ach, wie oft ich schon von der polizei gehört hab:LongAlex hat geschrieben:*lach* klar ruf ich gleich die Polizei....wenn die Tür eingebrochen ist, werd ich vielleicht nicht mal rein gehn.
"solang nichts passiert ist können wir nichts machen!"
Dr. Hurgan hat geschrieben:Wie meinst du das mit verifizieren? Ob die Passwörter stimmen?das Levi hat geschrieben:rein aus Neugier:
Wie verifiziert man die Ergebnisse dann? zum austesten gabs das PSN ja nicht..
Sowas in der Art?Code: Alles auswählen
if (indexOf(lookUp("RainbowTable")=ASCII)) {Passwort;} else {Crap;}
du kannst nur schauen, ob du eine Verschlüsselung geknackt hast (egal ob einfachen Hash, oder aber komplexe Verschlüsselung, wenn du deine Ergebnisse auch überprüfen kannst.
sowas wie crackajacks Idee wäre da das einzige machbare gewesen .. aber wayne ...
Re: naja
naja umkehrbar würde ich doch da nicht gerade sagen. du kannst eine rainbowtable erstellen. halt zu jedem möglichen passwort ein hash erzeugen.Dr. Hurgan hat geschrieben:Einen Hash kannst du dir ungefähr so vorstellen, wie eine Quersumme. Das Problem dabei ist, daß es umkehrbar ist, weil der Algorithmus bekannt ist.crackajack hat geschrieben: Kreditkartendaten waren verschlüsselt.
Passwortdateien wurden gehasht.
Worin genau der Unterschied besteht verstehe ich nicht aber effektiv ist's wohl nicht wirklich was komplett anderes ...
Vereinfacht gesagt, wenn das Passwort 91 ist, wäre der Hash (in dem Fall vereinfacht, die Quersumme) 10.
Das Problem dabei ist, die Quersumme von 55 ist auch 10.
Wenn man jetzt in sogenannten Rainbow-Tables nachschaut, kann man zwar vielleicht nicht das original Passwort herausfinden, aber zumindest eines, das den gleichen Hash (die gleiche Quersumme) erzeugt und auch funktioniert.
Edit: Salts sind mir natürlich bekannt, würde aber zu weit führen, wer will kann ja googlen ^^
dann kommt es immer noch darauf an wie sicher dein passwort ist. hast du ein langes mit sonderzeichen, groß klein schreibung und zahlen wird es warscheinlich niemals in der rainbowtable auftauchen.
das mit der quersumme ist sehr vereinfacht dargestellt. z.B. MD5 ist ein 128Bit Hash. du bekommst immer ein 32stellige quersumme.
dabei zufällig den gleichen hashwert zu erzeugen ist so gut wie unmöglich.
- Ugly Old Hurgs
- Beiträge: 2765
- Registriert: 27.05.2009 10:45
- Persönliche Nachricht:
Re: naja
Die Sicherheit des Passworts selber spielt keine Rolle.psyemi hat geschrieben: naja umkehrbar würde ich doch da nicht gerade sagen. du kannst eine rainbowtable erstellen. halt zu jedem möglichen passwort ein hash erzeugen.
dann kommt es immer noch darauf an wie sicher dein passwort ist. hast du ein langes mit sonderzeichen, groß klein schreibung und zahlen wird es warscheinlich niemals in der rainbowtable auftauchen.![]()
das mit der quersumme ist sehr vereinfacht dargestellt. z.B. MD5 ist ein 128Bit Hash. du bekommst immer ein 32stellige quersumme.
dabei zufällig den gleichen hashwert zu erzeugen ist so gut wie unmöglich.
32 Stellen sind 32 Stellen. Und das ist für heutige Systeme ein Klacks. 128 Bit sind nichts! Und es ist völlig wurscht, ob das eigentliche Passwort in den Tables auftaucht, solang eines existiert, das den gleichen MD5-Hash erzeugt.
Aber wie gesagt, das ist rein spekulativ, es ist ja nicht belegt, daß Sony wirklich nur MD5 verwendet hat.
- Gonzo_the_Rat
- Beiträge: 238
- Registriert: 23.03.2007 11:41
- Persönliche Nachricht:
Naja, die Auswirkungen waren ja nur deshalb sichtbar, weil Sony die Dienste selber abgeschaltet hat. Nicht weil die Hacker sie heruntergefahren haben. Da ist ein Unterschied.deepflowX hat geschrieben:andere hätten den vorfall nicht an die grosse glocke gehängt? hätte sony auch nicht. leider sidn die auswirkungen aber direkt sichtbar wenn 77 mio lete nicht online gehen können. die hatten keine andere wahl als das publik zu machen.
schön wieder so eine breitseite von arroganz zu bekommen ^^
Ich finde auch, dass das Verhalten im Großen und Ganzen in Ordnung war. Will auch nicht wissen wo schon überall Daten geklaut wurden, wo es entweder wirklich gar nicht bemerkt wurde oder sich das Unternehmen darum bemüht hat, das zu vertuschen. (T-Online, anyone????)
Aber Hauptsache man kann über etwas meckern. Ich bin froh, endlich mal wieder ein paar Onlinematches austragen zu können und die Entschädigung demnächst ist auch (hoffentlich) ganz nett.
Also, dann noch viel Spaß beim ZOCKEN!
Peace!
Re: naja
sicher spielt es eine rolle ob du ein sicheres passwort hast.Dr. Hurgan hat geschrieben:Die Sicherheit des Passworts selber spielt keine Rolle.psyemi hat geschrieben: naja umkehrbar würde ich doch da nicht gerade sagen. du kannst eine rainbowtable erstellen. halt zu jedem möglichen passwort ein hash erzeugen.
dann kommt es immer noch darauf an wie sicher dein passwort ist. hast du ein langes mit sonderzeichen, groß klein schreibung und zahlen wird es warscheinlich niemals in der rainbowtable auftauchen.![]()
das mit der quersumme ist sehr vereinfacht dargestellt. z.B. MD5 ist ein 128Bit Hash. du bekommst immer ein 32stellige quersumme.
dabei zufällig den gleichen hashwert zu erzeugen ist so gut wie unmöglich.
32 Stellen sind 32 Stellen. Und das ist für heutige Systeme ein Klacks. 128 Bit sind nichts! Und es ist völlig wurscht, ob das eigentliche Passwort in den Tables auftaucht, solang eines existiert, das den gleichen MD5-Hash erzeugt.
Aber wie gesagt, das ist rein spekulativ, es ist ja nicht belegt, daß Sony wirklich nur MD5 verwendet hat.
aufwand nutzen. und ja es ist ein riesen aufwand alle hashes zu berechnen auch wenn es nur 128 bit sind.



