News Facebook sucht im dunklen Netz nach Passwörtern

[Robert]

Facebook arbeitet auf unkonventionelle Art und Weise an der Sicherheit der Login-Daten der Nutzer. Das verriet ein Entwickler des Netzwerks, indem er berichtete, wie Facebook im „Darknet“ nach gestohlenen Passwörtern sucht, diese überprüft und betroffene Nutzer warnt.

Zur News: Facebook sucht im dunklen Netz nach Passwörtern

 

[luda]

Darknet? Ach das Teil da aus NCIS.

 

[Crizzo]

Darknet? Ach das Teil da aus NCIS.

IT-Folgen von NCIS sind glaube ich absichtlich falsch, so schlecht kann man nicht recherchieren.

 

[h3@d1355_h0r53]

Darknet? Also wenn was von Betrug, Sex, Illegalität, Spam und Abschaum überschwemmt ist, dann das ganz normale Netz und nicht abgekapselte Deep Web Dinger, auf denen meist nicht mal mehr Werbung läuft weil die Verbindungen dafür zu lahm sind.

 

[baizon]

@Crizzo
Ich bitte dich...

 

[<jACKtHErIPPER>]

Oh! Wir leben ja im Irak :-/

 

[Crizzo]

Oh! Wir leben ja im Irak :-/

Das erklärt immerhin, wieso man uns so behandelt.

 

[D1rty]

Mal ne Laienfrage, kann man aus den Hashwerten nicht auf das Passwort selber schließen? Vor allem, wenn man dann über das vermeintliche Passwort im Klartext stolpert?

 

[baizon]

Nein, denn die meisten "Salten" das Passwort zusätzlich.

 

[Der-Orden-Xar]

Nein, eine Hashfunktion ist eine surjektive, aber keine bijektive Funktion.
Das heißt, dass es zu deinem Passwort noch ein Passwort2 geben kann 8und wird), so dass Hash(Passwort)=Hash(Pwasswort2).
Vergleich mal die Funktion f(x) = x^2, mit f(x) = Hash() und x dein Passwort.
Wenn du jetzt den Hash 4 siehst ist x entweder 2 oder -2

Oder weniger Mathematisch:
Mann kann von einem Passwort den Hash bilden, aber nicht umgekehrt. Und es gibt mehrere Passwörter, die den gleichen Hash haben.

Dazu kommt noch das "salten" um auch bekannte Hash (wie Hash(123456)) wieder unbekannt zu machen

 

[florian.]

hier stand mist

 

[L 1]

Darknet? auf alt deutsch heisst das wohl das Farvige netz aha was haben die Holländer Greennet?

Im April 2014 war bekannt geworden, dass riesige Datenbanken im Netz kursieren, die über 18 Millionen Online-Identitäten enthalten.

am ersten April? oder erst ab dem 2., ...was war den davor alle jahrunderte? im internet los niemand etwas aufgefallen?
wem haben wir es zu verdanken das man dem Volke nichts sagte über alles das was man wissen muss?


Man was für ein Chaos, hoffe wir werden bald alle gescannt und irgendwelche chips in die adern und bei verstossen werden wir gelenkt ausserbetrieb gesetzt etc... WAR krisch das ist geil oh...Man

 

[confused]

Gleichzeitig sammelt FB damit Informationen darüber auf welchen Websites die betreffende Seite angemedet ist, auch ohne gleiche Passwörter.

 

[nille02]

Nein, denn die meisten "Salten" das Passwort zusätzlich.

Da bist du aber extrem Optimistisch. Wenn ich mir die Defaults von vielen Foren, CMS oder Blogs ansehe, wird dort nirgends ein Salt benutzt. Oft auch nur MD5 oder Sha1 hashes. Bei denen mit Salt Option, ist es meist nur ein Salt für alle.

 

[Chillvie]

Nein, eine Hashfunktion ist eine surjektive, aber keine bijektive Funktion.
Das heißt, dass es zu deinem Passwort noch ein Passwort2 geben kann 8und wird), so dass Hash(Passwort)=Hash(Pwasswort2).
Vergleich mal die Funktion f(x) = x^2, mit f(x) = Hash() und x dein Passwort.
Wenn du jetzt den Hash 4 siehst ist x entweder 2 oder -2

Das stimmt, ist aber eine meistens unerwünschte Eigenschaft von Hash-Algorithmen und wird auch als Kollision bezeichnet. https://en.wikipedia.org/wiki/Collision_(computer_science) Im Falle von Passwörtern würde das ein Risiko bedeuten, da man sich mit mehreren verschiedenen Passwörtern einloggen könnte.

 

[Luxuspur]

Nein, denn die meisten "Salten" das Passwort zusätzlich.

tun sie eben nicht, deswegen gibt es ja soviele gestohlene PW im Klartext ... Sicherheit kostet Geld und wozu das ausgeben wenn es produktiv nix einbringt ;p

 

[baizon]

Hmm, dass wusste ich nicht. Ich programmiere immer mit Salt und dachte das wäre Standard

 

[Lar337]

Nein, eine Hashfunktion ist eine surjektive, aber keine bijektive Funktion.
Das heißt, dass es zu deinem Passwort noch ein Passwort2 geben kann 8und wird), so dass Hash(Passwort)=Hash(Pwasswort2).
Vergleich mal die Funktion f(x) = x^2, mit f(x) = Hash() und x dein Passwort.
Wenn du jetzt den Hash 4 siehst ist x entweder 2 oder -2

Na wenn das das Sicherheitskonzept einer (kryptographischen) Hashfunktion wäre, hätten wir aber ein Problem. Vielmehr ist es extrem unerwünscht, dass ein zweites Passwort den selben Hash erzeugt. Je unwahrscheinlicher, desto besser.
Man muss das Passwort auch überhaupt nicht kennen, es reicht ein Passwort zu kennen, das den selben Hash erzeugt. Facebook kennt das Passwort ja selbst nicht, sondern speichert (hoffentlich) nur den Hashwert. Ob du dich nun mit dem richtigen Passwort, oder einem auf Kollision beruhendem zweiten Passwort anmeldest, ist somit garnicht klar.

Die Sicherheit beim Hashen von Passwörtern beruht vielmehr darauf, dass die für Passwörter verwendeten kryptographischen Hashfunktionen nach heutigem Kenntnisstand Einwegfunktionen sind. Das heißt, es ist einfach den Hash eines Passworts zu bilden, aber es ist kein schneller weg bekannt, zu einem gegebenen Hash (irgendein) Passwort zu finden, das diesen Hash erzeugt.
Ein einfaches Beispiel für eine Einwegfunktion ist die Multiplikation zweier Zahlen. Gegeben das Produkt, so ist kein Algorithmus bekannt, der schnell zwei Zahlen findet, die dieses Produkt ergeben (den Shor-Algorithmus mal außen vor, Quantenalgorithmen zählen (noch) nicht ).
Ob Einwegfunktionen überhaupt existieren ist eigentlich garnicht sicher, bisher beruht ihre scheinbare Existenz nur darauf, dass keiner einen schnellen Algorithmus kennt, der die Funktion umkehrt. Man glaubt aber, dass er in vielen Fällen auch nicht existiert.

Der Sinn des Hashwerts bei Passwörtern besteht im Grunde darin, dass du selbst wenn du auf den gespeicherten Wert bei Facezubook Zugriff hättest, du dich nicht anmelden kannst, da nur das Hash bekannt ist. Du brauchst aber das Passwort und ein Algorthmus um dieses zu bestimmen ist nicht bekannt.

 

[Der-Orden-Xar]

Das stimmt, ist aber eine meistens unerwünschte Eigenschaft von Hash-Algorithmen und wird auch als Kollision bezeichnet. https://en.wikipedia.org/wiki/Collision_(computer_science) Im Falle von Passwörtern würde das ein Risiko bedeuten, da man sich mit mehreren verschiedenen Passwörtern einloggen könnte.

Je nach Mindest- /Maximallänge des PWs und erlaubte Sonderzeichen kann es schnell zu einer Kollision kommen. Das wichtige ist, dass sich eine solche Kollision nicht mit "annehmbaren" Aufwand bewusst finden lässt.

 

[DeusoftheWired]

[…] Falls Facebook auf ein älteres Passwort eines Nutzers stößt, das zwar nicht mehr im sozialen Netzwerk aber auf einem anderen Dienst zum Einsatz kommt, erfährt der Anwender davon nichts – der Konzern verfolgt eine rein auf den eigenen Dienst bezogenen Strategie. […]

Ist ja sehr sozial von diesem Netz. „Hey, wir haben da einen TOR/I2P/Freenet-Crawler geschrieben und könnten dir sagen, daß dein Passwort bei Dienst X kompromittiert ist, machen das aber aus Berechnung extra nicht und sagen dir das nur, wenn es für Facebook zutrifft.” Die Leute immer schön im eigenen goldenen Käfig halten, hm? Ich weiß schon genau, weshalb ich diesen Murks meide und blockiere, wo es nur geht.