… zwei Welten treffen aufeinander. ;O)

Beliebte Passworte sind:

• e22a63fb76874c99488435f26b117e37
• e10adc3949ba59abbe56e057f20f883e
  oder bei Administratoren sehr beliebt
• 21232f297a57a5a743894a0e4a801fc3

Schon mal was von MD5 gehört? Message-Digest Algorithm 5

Auf fast jeder WebSite die ein Login besitzt wird per MD5 das Passwort verschlüsselt und nur das verschlüsselte Passwort wird in der Datenbank gespeichert. “fast” weil es noch immer WebSites gibt die die Passworte ohne Verschlüsselung speichern. Ob eine WebSite Passworte verschlüsselt oder nicht kann man leicht herausfinden, indem man die Passwort-vergessen-Funktion benutzt. Wenn man sein aktuelles Passwort per Mail zugeschickt bekommt dann wird nicht verschlüsselt, denn die MD5-Verschlüsselung kann nicht eben mal so rückgängig machen.

Die Verschlüsselung von z.B. “MFPwaKidM23a” erzeugt immer den gleichen MD5-Hash, was auch so sein muß um die Identifizierung eines Users zu emöglichen. (MD5-Hash => die Zeichenkette aus Buchstaben und Zahlen)

Das gleiche Passworte gleiche Hashwerte erzeugen hat aber auch einen Pferdefuß. Ist ein Passwort zu einfach so kann man es leicht knacken. Es wird nicht wirklich entschlüsselt, es wird stattdessen der Hashwert mit anderen Hashwerten verglichen. Im Netz gibt es Datenbanken in denen die Hashwerte mit den dazugehörenden Passworten gespeichert sind. Man gibt diesen Datenbanken einen Hashwert und läßt prüft ob es ihn in der Datenbank gibt, im Erfolgsfall liefert die Datenbank das Passwort im Klartext zurück.

Man sollte es vermeiden auf irgendwelchen MD5-Cracker-Seiten MD5-Hashwerte erzeugen zu lassen, da dann das Passwort inkl. Hashwert in deren Datenbank wandern könnte und das Passwort somit verbrannt ist. :O) (Ein ganz breites <G> an M.)

Hier mal ein Script mit dem man einen MD5-Hash erzeugen lassen kann. Einfach auf die eigene Festplatte speichern, im Browser aufrufen und dann einen MD5-Hash erstellen lassen. Das JavaScript habe ich von SELFHTML.

Um zu prüfen ob ein Passwort gut oder weniger gut ist, den erzeugten Hashwert in Suchmaschinen eingeben. Wenn die Suchmaschinen irgendwelche Ergebnisse ausspucken, dann sollte man dieses Passwort nicht verwenden. Wenn die Suchmaschinen nichts liefern, evtl. auch auf den schon erwähnten MD5-Cracker-Seiten den Hashwert prüfen.

Das Hauptproblem bei einfachen Passworten, auch wenn sie verschlüsselt in einer Datenbank gespeichert wurden, ist, das ein Hacker der, durch welchen Umstand/Fehler auch immer, auf die Datenbank zugreifen kann, sehr leicht an Logindaten kommt. Da viele User für verschiedene WebSites immer das gleiche Passwort benutzen, kann der Hacker u.U. mit einem Passwort auf die verschiedenen User-Accounts bei PayPal, eBay, GMX, etc. zugreifen.

Und wie kann man sich ein Passwort wie z.B. MFPwaKidM23a merken ohne es aufzuschreiben?

Mein Freund Paul wohnte als Kind in der MühlenStraße 23a.

Wenn man eine WebSite betreibt sollten die Passworte “gesalzen” werden, da man kaum Einfluß auf die Güte der Userpassworte hat. Hierbei wird dem Passwort vor der Verschlüsselung noch eine Zeichenfolge hinzugefügt:

• aus “passwort” = e22a63fb76874c99488435f26b117e37, wird z.B.
• “HzU@passwort%4e” = 9edc517ce8ee8d173819ceb03017acc2

Das sollte für heute zum Thema Passworte reichen. Die Hackerlehrlinge unter euch haben nun erstmal etwas zu ergooglen. ;O)