Bitgröße der RSA-Tokens bei Pokeranbietern

  • 20 Antworten
    • ItsMePokerGawd
      ItsMePokerGawd
      Bronze
      Dabei seit: 28.06.2010 Beiträge: 174
      80 Prozessoren waren ein halbes Jahr mit der polynomischen Regression beschäftigt. Die Siebung dauerte fast zwei Jahre und wurde auf „vielen hunderten Rechnern“ durchgeführt. Die Wissenschaftler schätzen, dass die Siebung mit einem 2,2 GHz AMD Opteron mit 2GB RAM um die 1500 Jahre in Anspruch genommen hätte.
      Ich denke da mussst du dir keine Sorgen machen. Leute die sowas in kriminelle Energie umwandeln haben kein Interesse daran, einen Pokerraum oder dich im Speziellen auszunehmen. Die Primzahlen sind einfach viel zu groß, sodass der wannabe Cracker, dass aufgrund fehlender Skills/Hardware eh niemals umsetzen könnte. Wenn ich mir das so rechtüberlege wäre es ja sinnvoller den verschlüsselten text (also passwort, pin whatever) mit brute force zu knacken.
    • IclickButtons
      IclickButtons
      Bronze
      Dabei seit: 26.10.2008 Beiträge: 3.516
      könnte mir auch vorstellen das bruteforce deutlich schneller ist :P ...

      was viel viel viel wichtiger ist als sich sorgen über nen 768 bit shclüssel zu machen wäre sich über seinen pc und passwörter accountnamen viren trojaner und emailadressen gedanken zu machen.
      die meisten passwörter werden geknackt indem billige foren (bswp ps.com) gehackt werden. dann wird sich als super user eingelogt oder sonst wie alle passwörter+benutzernamen ausgelesen. viele haben auf mehreren seiten gleiche passwort und gleichen nickname. nimmst alle nicks+pws ballerst die durch alle poker softwares und hast mit sicherheit ein treffer. wenn nicht probierst dus bei web.de hotmail oder sonst wo und versucht mit der gehackten email dir "dein" passwort wieder zuschicken zu lassen usw usf

      ps.de war nur nen beispiel jetzt. gibt sicher einfache foren. da nimmst lieber irgend nen kochrezepte no name forum und probierst die nick auf ebay. sollte einfacher sien.
    • HamburgmeinePerle
      HamburgmeinePerle
      Bronze
      Dabei seit: 30.01.2009 Beiträge: 6.134
      interessantes Thema auf jeden Fall imo.

      Kenne mich da zwar überhaupt nicht aus, habe mich daher gerade bei wikipedia etwas schlauer gemacht.

      http://de.wikipedia.org/wiki/Brute-Force-Methode


      wenn schon im Jahre 2008 "mittelmäßige" Rechner 25 Mio. Möglichkeiten pro Sekunde durchgehen können sind das ja in der Minute 1,5*10^9 Möglichkeiten.
      (es wird ja jede Minute der 9-stellige Zahlencode geändert).

      Es gibt für den 9-stelligen Code 10^9 Möglichkeiten, ist das dann nicht "easy möglich" den Code zu knacken, wenn man das zusätzliche PW kennt (was ja Voraussetzung ist, ansonsten bräuchte man ja auch kein Secority Token)?

      Oder liegt es daran, dass man nicht unbegrenzt viele Möglichkeiten hat, den Code einzugeben?


      Sorry, bin absoluter PC-Noob, warum kann man das so nicht knacken?
    • stoneymahony
      stoneymahony
      Bronze
      Dabei seit: 11.02.2006 Beiträge: 2.145
      bin jetzt auch nicht der crack in solchen sachen, aber ich habe mir mal 2 token-codes aufgeschrieben um später bei meiner freundin pokern zu können.

      haben ca. 2-3 stunden später nicht mehr funktioniert. scheint also evtl an die uhrzeit gekoppelt zu sein
    • b10w
      b10w
      Bronze
      Dabei seit: 04.04.2007 Beiträge: 2.645
      Ähm. Die PIN der RSA-Tokens ist doch nur eine bestimmte Zeit lang gültig, wie viele Rechner willst du den in der Zeit irgendetwas berechnen lassen? Ausserdem benötigt man erstmal den Schlüssel aus dem Token oder dem Server des Anbieters - wenn man Zugang zu einem davon hat, benötigt man noch das Passwort für den eigentlichen Login.. :D

      Zumal "RSA" erstmal nur eine Firma ist, die eine Variante dieser Tokens anbietet. Der SecurID-Token (PokerStars nutzt diesen AFAIK?) nutzt überhaupt nicht die "RSA-Verschlüsselung".

      Der Schlüssel dieses Token ist wohl 128-Bit lang. Auf dessen Basis und der abgeglichenen Zeit zwischen Server und Token wird dann die PIN errechnet. Du brauchst also den Schlüssel vom Token und die synchronisierte Zeit auf die Mikrosekunde genau, um eine gültige PIN zu erzeugen.. Viel Spaß. :D
    • ItsMePokerGawd
      ItsMePokerGawd
      Bronze
      Dabei seit: 28.06.2010 Beiträge: 174
      Original von HamburgmeinePerle
      interessantes Thema auf jeden Fall imo.

      Kenne mich da zwar überhaupt nicht aus, habe mich daher gerade bei wikipedia etwas schlauer gemacht.

      http://de.wikipedia.org/wiki/Brute-Force-Methode


      wenn schon im Jahre 2008 "mittelmäßige" Rechner 25 Mio. Möglichkeiten pro Sekunde durchgehen können sind das ja in der Minute 1,5*10^9 Möglichkeiten.
      (es wird ja jede Minute der 9-stellige Zahlencode geändert).

      Es gibt für den 9-stelligen Code 10^9 Möglichkeiten, ist das dann nicht "easy möglich" den Code zu knacken, wenn man das zusätzliche PW kennt (was ja Voraussetzung ist, ansonsten bräuchte man ja auch kein Secority Token)?

      Oder liegt es daran, dass man nicht unbegrenzt viele Möglichkeiten hat, den Code einzugeben?


      Sorry, bin absoluter PC-Noob, warum kann man das so nicht knacken?
      Ich kenne mich nicht mit Security Tokens aus, aber Ich denke mal, dass eine begrenzte Versuchsanzahl vorhanden sein sollte und das einer der Gründe ist, warum bruten auch überhaupt keinen Sinn macht. Der viel schwerwiegendere Grund ist, dass das ganze online abläuft. Das heisst, das eigentliche "Ausversuchen" geschieht nicht lokal auf dem Rechner, sondern wird an einen Server gesendet und überprüft. Das ist im vergleich zum lokalen Bruteforce so derbe langsam. Bis man da irgendwas geknackt hat existiert der Pokerraum nicht mehr. Auserdem würde der Server übelst überlastet werden und so ein paar Millionen Abfragen in den Logs sollten den Anbieter doch etwas stutzig machen :D (das ist total paradox von was wir hier reden, sowas wird nie passieren, nur um mal den Extremfall darzustellen^^).


      Original von IclickButtons
      könnte mir auch vorstellen das bruteforce deutlich schneller ist :P ...

      was viel viel viel wichtiger ist als sich sorgen über nen 768 bit shclüssel zu machen wäre sich über seinen pc und passwörter accountnamen viren trojaner und emailadressen gedanken zu machen.
      die meisten passwörter werden geknackt indem billige foren (bswp ps.com) gehackt werden. dann wird sich als super user eingelogt oder sonst wie alle passwörter+benutzernamen ausgelesen. viele haben auf mehreren seiten gleiche passwort und gleichen nickname. nimmst alle nicks+pws ballerst die durch alle poker softwares und hast mit sicherheit ein treffer. wenn nicht probierst dus bei web.de hotmail oder sonst wo und versucht mit der gehackten email dir "dein" passwort wieder zuschicken zu lassen usw usf

      ps.de war nur nen beispiel jetzt. gibt sicher einfache foren. da nimmst lieber irgend nen kochrezepte no name forum und probierst die nick auf ebay. sollte einfacher sien.
      Ich stimme dir zu in dem Punkt, dass es wahrscheinlicher ist, dass man mit Trojanern, Keyloggern etc.. infiziert ist, als dass der Token gehackt wird. Aber das mit den Foren ist in 98% der Fälle falsch. Selbst wenn PS dir Zugang zu ihrer Datenbank geben würde, könntest du erst mal kein einziges Passwort im Forum auslesen. Jede Webpräsenz, welche nur einen Funken Seriösität besitzt lässt Passwörter verschlüsselt in die Datenbank eintragen, bzw. den Hash. Bei so ziemlich jeder mir bekannten Forensoftware (auch bei der von ps.de - Woltlab), werden Passwörter bei der Anmeldung verschlüsselt in die Datenbank eingetragen (meistens md5/sha1 hashs). Woltlab oder vBulletin geht sogar so weit und hat noch Salts in der Datenbank, welche die Passwörter unfassbar sicher und so gut wie nicht entschlüsselbar machen. So etwas wie ein Superuser, welcher Passwörter einsehen kann existiert in keiner Forensoftware, lediglich die Hashs kann man in der Datenbank einsehen und die sind kaum zu "entschlüsseln".
    • WrapuTshan
      WrapuTshan
      Bronze
      Dabei seit: 30.08.2009 Beiträge: 334
      Original von IronPumper
      Hi!

      Weiß das jemand?



      Auszug wikipedia:
      Der Key-Token, erhältlich als Schlüsselanhänger mit den Maßen 5,5 cm × 2,7 cm max. oder im Kreditkarten-Format, zeigt eine alle 60 Sekunden wechselnde 4- bis 8-stellige Zahl an. Diese Zahl wird im Key-Token generiert und ist das Produkt eines AES-Algorithmus, der sie aus einem Zeitindex und einem geheimen Schlüssel (Länge: 128 bit) des jeweiligen Key-Tokens berechnet.

      ...

      Seit Februar 2003 ist das Verfahren zur Berechnung des Tokencodes standardisiert: Die Key-Token werden mit 128 bit Schlüssellänge und AES-Algorithmus ausgeliefert.

      Hardwarekomplexität und Sicherheit des 128-bit-AES-Algorithmus sind gegenüber anderen Verfahren suboptimal. Im vorliegenden Anwendungsfall würden sich Stream-Cipher-Verfahren besser eignen und bei gleicher Sicherheit günstigere Token liefern können.


      Hab halt keine Ahnung davon, aber da bin ich grad drübergestolpert, vielleicht hilfts ja.
    • IclickButtons
      IclickButtons
      Bronze
      Dabei seit: 26.10.2008 Beiträge: 3.516
      Original von ItsMePokerGawd

      Ich stimme dir zu in dem Punkt, dass es wahrscheinlicher ist, dass man mit Trojanern, Keyloggern etc.. infiziert ist, als dass der Token gehackt wird. Aber das mit den Foren ist in 98% der Fälle falsch. Selbst wenn PS dir Zugang zu ihrer Datenbank geben würde, könntest du erst mal kein einziges Passwort im Forum auslesen. Jede Webpräsenz, welche nur einen Funken Seriösität besitzt lässt Passwörter verschlüsselt in die Datenbank eintragen, bzw. den Hash. Bei so ziemlich jeder mir bekannten Forensoftware (auch bei der von ps.de - Woltlab), werden Passwörter bei der Anmeldung verschlüsselt in die Datenbank eingetragen (meistens md5/sha1 hashs). Woltlab oder vBulletin geht sogar so weit und hat noch Salts in der Datenbank, welche die Passwörter unfassbar sicher und so gut wie nicht entschlüsselbar machen. So etwas wie ein Superuser, welcher Passwörter einsehen kann existiert in keiner Forensoftware, lediglich die Hashs kann man in der Datenbank einsehen und die sind kaum zu "entschlüsseln".
      kumpel würde u.a. dafür verurteilt und hat mir so erklärt :P . Ich hab da sehr wenig ahnung von. PS.com war nen radom beispiel. ich hab keine ahnung wie sicher die foren sind, bei welchen es geht und bei welchen nicht und wie schwer es ist die passwörter auszulesen. ich weiss nur das ers genau so gemacht hat und technisch echt nichtma mega begabt war/ist. hört sich aber so an als hättest du plan von dem kram :P ....
      wollt eig im endeffekt nur sagen das ich mir nicht anfangen würde über nen 768bit shclüssel gedanken zu machen wenn es einfach deutlich größere sicherheitslücken gibt. gibt nen guten 2+2 artikel dazu. kein lust den jetzt zu suchen. ist in einen der foren ganz oben angepint, sollte kein problem sein den zu finden.
    • crt32
      crt32
      Bronze
      Dabei seit: 17.02.2007 Beiträge: 15.895
      "RSA Verschlüsselung geknackt" ist halt kompletter schwachsinn.
      Paar Leute haben es nur geschafft eine 232 Stellige Semiprimzahl zu zerlegen.
      RSA Verschlüsselung ist halt nur so lange sicher, wie man große Semiprimzahlen nicht effizient zerlegen kann.

      Ihr braucht euch jetzt aber keine Sorgen zu machen, es ist selbst wenn jemand böswilliges die entsprechende Hard und Software hätte noch ein sehr weiter Weg bis derjenige tatsächlich Schaden anrichten könnte.

      Zu den MD5 Hashes die für die Foren Passwörter etc verwendet werden: Das ist ein bisschen was anderes, es wird das Passwort "gehasht" (->wikipedia) mit einem Algorithmus von dem man ausgeht, dass es nicht effizient "rückwärts" funktioniert (dh man hat den Hash irgendwie bekommen und rechnet daraus das Passwort zurück).
      Für speziell MD5 wurde vor sehr langer Zeit ein Algorithmus gefunden, mit dem man schnell Kollisionen finden kann. Außerdem gibt es für Passwörter mit weniger als 9 Stellen rainbow-tables (->wikipedia), mit denen man solche Hashes sehr schnell "knacken" kann.
      Allerdings muss man dafür natürlich erstmal an den Hash kommen, der in der Datenbank des jew. Forums steht und wenn man ein sicheres Passwort mit 10 oder mehr Stellen hat, ist man auch relativ sicher.
      Dazu kommt der bekannte "salt", eine der Forensoftware bekannte Zeichenkette, die dem Passwort vor dem Hashen vorangestellt wird, um die Länge zu erhöhen.
    • ItsMePokerGawd
      ItsMePokerGawd
      Bronze
      Dabei seit: 28.06.2010 Beiträge: 174
      Kollisionen? Das wurde soweit ich weiss bisher nur bei Dateisignaturen geschafft. Ich glaube kaum, dass es zwei Strings gibt, welche als Passwort durch gehen und den gleichen MD5-Hash haben.
    • crt32
      crt32
      Bronze
      Dabei seit: 17.02.2007 Beiträge: 15.895
      Macht keinen Unterschied ;)
      Ob das andere Passwort dann sinnvolle Zeichen enthält ist natürlich fraglich.
    • Paxis
      Paxis
      Coach
      Coach
      Dabei seit: 01.11.2006 Beiträge: 37.106
      Original von b10w
      Ähm. Die PIN der RSA-Tokens ist doch nur eine bestimmte Zeit lang gültig, wie viele Rechner willst du den in der Zeit irgendetwas berechnen lassen? Ausserdem benötigt man erstmal den Schlüssel aus dem Token oder dem Server des Anbieters - wenn man Zugang zu einem davon hat, benötigt man noch das Passwort für den eigentlichen Login.. :D

      Zumal "RSA" erstmal nur eine Firma ist, die eine Variante dieser Tokens anbietet. Der SecurID-Token (PokerStars nutzt diesen AFAIK?) nutzt überhaupt nicht die "RSA-Verschlüsselung".

      Der Schlüssel dieses Token ist wohl 128-Bit lang. Auf dessen Basis und der abgeglichenen Zeit zwischen Server und Token wird dann die PIN errechnet. Du brauchst also den Schlüssel vom Token und die synchronisierte Zeit auf die Mikrosekunde genau, um eine gültige PIN zu erzeugen.. Viel Spaß. :D

      :rolleyes:
    • b10w
      b10w
      Bronze
      Dabei seit: 04.04.2007 Beiträge: 2.645
      Und deswegen nutzt der Token jetzt das das asynchrone RSA-Kryptosystem, oder was wolltest du damit sagen? Die markierte Aussage ist jedenfalls zutreffend. ;)

      Wäre zwar nicht verkehrt, einen öffentlichen Schlüssel in dem Token zu haben, ist aber nicht nötig da man ohne den Schlüssel nie die richtige PIN erzeugen kann und das keinen Mehrwert bringt.

      "Secured by RSA" bezieht sich hier auf das Unternehmen RSA Security und nicht auf die "Methode" RSA.
    • ItsMePokerGawd
      ItsMePokerGawd
      Bronze
      Dabei seit: 28.06.2010 Beiträge: 174
      Original von crt32
      Macht keinen Unterschied ;)
      Ob das andere Passwort dann sinnvolle Zeichen enthält ist natürlich fraglich.
      Nope, ich bin der festen Überzeugung, dass es keine zwei "normalen" Strings gibt, welche man darstellen kann und den gleichen MD5-Hash haben (ich lasse mich aber auch gerne vom gegenteil überzeugen). Es gibt im Raum von 0-9 Zeichen mit a-z,0-9 schonmal überhaupt garkeine Kollision. Alles darüber hinaus hat theoretisch eine Kollision, aber ist so gut wie unmöglich zu finden, bzw. nicht darzustellen. Eine Kollision ist meistens mehrere hundert byte lang und enthält Zeichen, welche man nicht als Text verwenden kann, beispielsweise 0x00, welche einen String beendet oder das Backspace Zeichen.
    • Paxis
      Paxis
      Coach
      Coach
      Dabei seit: 01.11.2006 Beiträge: 37.106
      Original von b10w
      Und deswegen nutzt der Token jetzt das das asynchrone RSA-Kryptosystem, oder was wolltest du damit sagen? Die markierte Aussage ist jedenfalls zutreffend. ;)

      Wäre zwar nicht verkehrt, einen öffentlichen Schlüssel in dem Token zu haben, ist aber nicht nötig da man ohne den Schlüssel nie die richtige PIN erzeugen kann und das keinen Mehrwert bringt.

      "Secured by RSA" bezieht sich hier auf das Unternehmen RSA Security und nicht auf die "Methode" RSA.
      ach lol, missverständnis^^
      ich dachte du wolltest sagen das der schlüssel nich von der firma ist und deswegen nicht den schlüssel verwenden kann.
    • TheOneAndOnlyMarkus
      TheOneAndOnlyMarkus
      Bronze
      Dabei seit: 20.02.2006 Beiträge: 3.784
      md5 ist definitiv nicht kollisionsresistent. hört auf crt :P
    • Exilkubaner
      Exilkubaner
      Bronze
      Dabei seit: 14.03.2008 Beiträge: 1.528
      ZIEHT ALLE EUER GELD AB!!!! NIEMAND UND NICHTS IST MEHR SICHER!!!!

      ehrich mal. diese diskussion ist doch echt überflüssig. wir reden hier über wahrscheinlichkeiten dass da irgendwer irgendwas hackt die echt nirgendwo mehr zu verzeichnen sind
    • sebajoe
      sebajoe
      Bronze
      Dabei seit: 06.03.2006 Beiträge: 766
      schon sehr lustig der Thread.

      also erstmal der RSA token hat nichts, aber auch gar nichts mit dem RSA Kodierverfahren zu tun! sondern ist der Firmenname.

      Zum Token: die Erzeugung des Codes an sich ist schon seit einiger Zeit "geknackt" (Nein, Quelle will und darf ich auch nicht posten).
      ABER, da das eingesetzte Verfahren einen Schlüssel, abhängig von der Uhrzeit und mit nur einer bestimmten Ttl erzeugt, ist diese Verfahren nahezu sicher.
      edit:
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      Original von TheOneAndOnlyMarkus
      md5 ist definitiv nicht kollisionsresistent. hört auf crt :P
      Außerdem gibts dafür längst schon Datenbanken im Netz, bzw. brauch man den MD5-Hash oft nur in Google eingeben. Über MD5 ohne Salt wird jeder, der an ne Datenbank kommt, nur kurz grinsen.
      Und da MD5 vermutlich noch oft eingesetzt wird, sollte man auf jedenfall auf anderen Seiten keine Pokerpasswörter verwenden. Über RSA-Token wurde ja eigentlich schon alles gesagt. Zudem wechselt der eh alle halbe Minute die Pin und du bist wohl spätestens nach der fünften Falscheingabe oder so erstmal gesperrt.
    • 1
    • 2