Hallo Claudia, das wichtigste zuerst: Diese Liste ist zwingend englisch-sprachig ! Bitte das nächste Mal in Englisch posten, okay ? Zu Deiner Frage: Das ganze funktioniert recht simpel. Das verwendete Verschlüsselungsverfahren ist nicht-reversibel, d.h. aus einem verschlüsselten Passwort kann nicht durch Entschlüsselung das Plaintext-Passwort herausbekommen werden. Sämtliche Testprogramme (wie z.B. der Login-Prozess) verschlüsselt das von Dir eingegebene Passwort und vergleicht das Ergebnis mit dem gespeicherten Schlüssel. Sind beide identisch, hast Du das richtige Passwort eingegeben (da es auch bei wiederholter Verschlüsselung jedesmal denselben Schlüssel ergibt). Stimmt es nicht überein..gut, dann stimmt Dein Passwort eben nicht. Genauso arbeiten Passwort-Cracker. Sie verschlüsseln Plaintext-Passwörter (zumeist aus einem Wörterbuch heraus, in welchem die statistisch am häufigsten verwendeten Passwörter gespeichert sind, also Vornamen, Automarken, bestimmte englische Begriffe, etc) und vergleichen den erhaltenen Schlüssel mit einer Shadow-Datei. Stimmt irgendwo etwas überein--Bingo. Ein LogIn ist geknackt. Wie das mit Bankautomaten funktioniert, weiss ich nicht. Vielleicht ein anderer aus der Liste ??? Ich hoffe, Dir weitergeholfen zu haben. Gruß Stephan For all non-german readers: The question was about cryptography and how it works. I explained that all plaintext-PWs (entered at login, f.ex.) are encrypted and are compared to the concerned entry in the shadow-file. This also is the way password-crackers work. Cracker-progs choose pws out of a list containing the most-often used passwords, encrypt them, and compare it with entries in a given shadow-file. I don't know if an ATM works the same way or, if not, how exactly it works. Maybe anyone else on this list can assist ? --- -------------------------------------------- Stephan M. Ott // OKDesign oHG Internet-Providing und Netzwerkmanagement smo@okdesign.de ..... http://www.okdesign.de fon. +49 961 3814139 .. fax. +49 961 3814140 mobil 0171-8351130 ... oder ... 0171-7858064 --------------------------------------------
-----Ursprüngliche Nachricht----- Von: Claudia Arnold [mailto:AClaudia@gmx.net] Gesendet: Sonntag, 31. Dezember 2000 13:11 An: suse-security@suse.com Betreff: [suse-security] Kryptographie (Passwort)
Hi Liste !!
Ich habe da eine kleine Verständnisfrage:
Wenn ein Passwort verschlüsselt ist (z.B. shadow) und man davon ausgeht, daß es Verschlüsselungsverfahren gibt, die nur schwer bzw. (momentan) gar nicht zu knacken sind, wie bekommt dann das System (z.B. bei Login-Passwort) das unverschlüsselte Passwort heraus ??? OK, ich könnte mir vorstellen, daß die Entschlüsselung o.ä. im Login-Programm enthalten ist, aber dann wäre sie doch (wegen Open-Source u.ä.) auch frei verfügbar - oder nicht !?
Das gleiche ist ja auch bei z.B. EC-Karten der Fall. Glaubt man der Bank, so ist es für die Angestellten nicht möglich eine vergessene Geheimzahl nachträglich herauszufinden. Wie schafft es denn dann der Geldautomat herauszufinden, ob ich die korrekte Geheimzahl eingegeben habe ??? Dementrsprechend muß es doch auch (mehr oder weniger leicht) möglich sein, die Geheimzahl zu ermitteln, da es der Automat ja auch kann.... Oder befinde ich mich da vollkommen auf dem Holzweg ???