[Sammelthread] Fragen, die die Welt nicht braucht

@Thisor
Zur Grundfrage zurück. Wie kommst du darauf das man nie versucht den Klartext zu erraten?

Normal versucht man immer Klartext zu erraten bzw zu berechnen, da dies die relativ einfachste Methode ist. Man braucht dafür nur eine passende Software und genug Leistung (Botnetze), je nach dem wie gut die Verschlüsselung funktioniert. Weshalb man häufig bei massiven Datenklau nur wenig Angst haben muss da die schiere Masse einem ehr nur zu einem Zufälligen Opfer macht, wenn etwas entschlüsselt wurde. Was aber natürlich nicht heißt, das man sein PW nicht ändern sollte! Generell öfters mal das PW Wechseln ist sehr zu Empfehlen. ;)
Zudem sind auch persönliche Daten wie Telefonnummer oder Adresse, so ziemlich alles was man ein gibt, auch oftmals mit verschlüsselt. Was den Rechenaufwand ja enorm vergrößern würde.

Direkt den Hashwert zu nutzen ist zwar möglich, aber viel umständlicher, da man meist viel tieferen Zugriff auf sein Ziel benötigt. Und sowas wie das PSN Netzwerk, Facebook oder Steam sind schon krass geschützt.

Die andere Methode an das klare PW zu kommen ist so etwas wie 'Men in the middle'. Sprich du brauchst direkten Zugriff auf den Rechner des Opfers und kannst die Tastatureingabe mit loggen. Weshalb manche Dienste (Banken teilweise) Bildschirmtastaturen und Authentifikatoren verwenden.

Das macht aber nur Sinn wenn man einzelne Menschen ärgern will und lohnt wohl ehr nur bei Millionären. Ansonsten ist man ehr an Persönliche Daten interessiert und da macht es die Masse (Verkauf an Werbetreibende zum Beispiel), oder man bekommt ganz persönliche Daten und verkauft die Speziell weil man andere via Sextape oder Naktbildern Diskreditieren will bzw die Möglichkeit im Darknet verkauft.

Bei all den gibt es natürlich noch viele weitere Feinheiten, aber das würde wohl zu weit führen für diesen Thread. Und Fraglich ob es die Forenleitung so gern sieht.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bitte nicht Verschlüsselung und Hashing durcheinander werfen.

Hashfunktionen zeichnen sich, einfach gesagt, dadurch aus, dass diese nur in eine Richtung funktioniert und das Ergebnis eindeutig ist. Sprich, Klartext wird gehasht und es kommt idR eine alphanumerische Zahlenkolonne raus. Und aus dieser Kolonne kann man NICHT den Klartext "zurückrechnen". Deshalb speichert man diese auch als Passwörter in Datenbanken ab. Klaut man die Datenbank, kann man aus dem PW Hash nicht das Klartextpasswort ermitteln.

Dass das nicht immer so ist und Hashfunktionen auch Fehler haben können ist ja hinreichend bekannt.

Salt ist ein Anhang für das Passwort, der mit dem Passworthash in der Datenbank gespeichert wird. Klartextpasswort kommt rein, Salt dranflanschen, hashen und vergleichen.
Dann gibts noch den Pepper, der macht sowas ähnliches wie der Salt, kann man im Wiki nachlesen.

Es gibt Systeme (bei Windows 7 ging das glaube noch), da konnte man den Passwort Hash direkt in die Authentifizierungsroutine reinwerfen und sich damit das Klartextpasswort sparen. Geht heute aber nichtmehr.
Deswegen wüsste ich jetz auch nicht direkt wieso man den Hash lieber als den Klartext haben will. Normalerweise nutzt einem das nicht so viel. Klärt mich auf :hail:

Aber von Angriffsszenarien wollen wir nicht anfangen, da könnte man schon über diesen kleinen Themenkreis ne Menge schreiben.

Thisor schrieb:
Ich taste mich morgen mal vom neuen ran. Bin durch eine Frage an mich selbst vollkommen wirr irgendwie geworden...
Wo studierst du eigtl. Skizzi?
Zum Vergrößern anklicken....
Derzeit Iserlohn, bald Darmstadt.
 
Zuletzt bearbeitet:
Bin mir zwar noch nicht 100% sicher, aber ich glaube ich habe den Wurm gefunden, ich schreibs mal ab:

"Einer der häufigsten Anwendungen ist die Anmeldung eines Benutzers (Clients) an einem Server mittels Benutzername und Passwort.
Das Passwort wird am Client eingetippt. Anschließend werden die Authentisierungsdaten an den Server übertragen und dort wird geprüft, ob der User das korrekte Passwort eingegeben hat.
Müssen wir hierzu das Passwort im Klartext an der Server übermitteln? -> Nein, es genügt in fast allen Fällen, den Hashwert des Passworts zu übertragen."

Das was ich jetzt hier entnehme ist ein 0815-szenario wie bei Facebook, hier im Forum, Mail, etc. anzumelden.
Ich habe bisher mein Passwort noch nie gehasht eingegeben, sondern bisher immer im Klartext. Wenn man vllt. hier ein Beispiel dazu geben könnte wäre das schon mal sehr hilfreich, da mir sowas noch nicht bekannt ist.

"Variante 1: Client -- Passwort im Klartext --> Server
Variante 2: Client -- gehashtes Passwort --> Server
Variante 2 ist wesentlich sicherer, da serverseitig keine Passworte vorliegen und folglich auch nicht von unberechtigten Dritten gelesen werden können. Stattdessen tippt der Benutzer sein Passwort ein und dieses wird auf dem Client in einen Hashwert umgewandelt. Dann überträgt der Client das gehashte Passwort an den Server. Im Server ist der zum Passwort gehörige abgespeichert, so dass der Server prüfen kann, ob der Benutzer das richtige Passwort eingegeben hat."

Also, auf dem Server sind die Passwörter nicht im Klartext abgespeichert ( sondern mit MD4 gehasht :fresse: ), ...ich verstehe den Satz ja noch nicht einmal. Ist mit Client ein Benutzer gemeint oder ein Anbieter/Dienstleister/whatever -> z.B. Facebook. Auf jeden Fall bedeutet es das wenn ich mein Passwort eingebe, der gehasht wird. Der Server vergleicht dann diesen Hashwert mit dem Hashwert auf dem Server, und wenn diese Übereinstimmen, ist man eingeloggt. Das hört sich für mich an wie Diffie-Helman-Schlüsselaustausch.
Verstehe das ganze aber jetzt noch weniger: wenn ich den Klartext eingebe und der erst dann gehasht wird und dann auf dem Server überprüft wird, oder ob ich direkt mit dem Hashwert an den Server rangehe: was ist da der Unterschied?
Wobei, tatsächlich würde ich jetzt sagen (obwohl da steht das es sicherer ist), das es für die bösen Leute besser wäre den Klartext zu ignorieren und direkt sich mit dem hashwert auseinander zu setzen, da man den "ersten Schritt" (klartext eingeben) übergeht quasi...oder? Zumindest würde das erklären wieso man nicht den Klartext sondern den Hashwert ausfindig machen mag.


edit:
okay, ich glaub ich check's wirklich - bräuchte da aber noch die "Absegnung".
Hashwerte zu ermitteln sind schwieriger, da sie (SHA2) ein "Hashwert", bzw. der Output String (nachdem das Passwort gehasht wurde), ein Zufallsstring zwischen 160-512 Bit haben (ein Passwort mit einer Länge von 24 characktern kann sich ja schon niemand merken). Das erklärt eigtl. schon vieles... ich wurde unterbrochen und hab den Faden verloren --.-- aber wenn das schon einmal in die richtige Richtung geht, freue ich mich bereits el o el
 
Zuletzt bearbeitet:
Thisor schrieb:
Bin mir zwar noch nicht 100% sicher, aber ich glaube ich habe den Wurm gefunden, ich schreibs mal ab:

"Einer der häufigsten Anwendungen ist die Anmeldung eines Benutzers (Clients) an einem Server mittels Benutzername und Passwort.
Das Passwort wird am Client eingetippt. Anschließend werden die Authentisierungsdaten an den Server übertragen und dort wird geprüft, ob der User das korrekte Passwort eingegeben hat.
Müssen wir hierzu das Passwort im Klartext an der Server übermitteln? -> Nein, es genügt in fast allen Fällen, den Hashwert des Passworts zu übertragen."

Das könnte man machen, ist aber nicht gängig. Ich geh mal aus du willst Salt und Co nutzen. Du müsstest dann irgendwie den Salt vom Server zum Client schieben und zu hashen und den Hash danach wieder zum Server schieben (im Falle eines Peppers auch sehr dämlich, weil der Pepper dann nichtmehr geheim ist). Ist aufwendig und sinnlos, deswegen wird das KlartextPW zum Server geschickt, warum auch nicht - ist ja verschlüsselt.

Das was ich jetzt hier entnehme ist ein 0815-szenario wie bei Facebook, hier im Forum, Mail, etc. anzumelden.
Ich habe bisher mein Passwort noch nie gehasht eingegeben, sondern bisher immer im Klartext. Wenn man vllt. hier ein Beispiel dazu geben könnte wäre das schon mal sehr hilfreich, da mir sowas noch nicht bekannt ist.

Man würde auch ein gehashtes Passwort niemals eingeben (sondern den Hash auf dem Client NACH der Eingabe berechnen). Kann sich eh niemand merken. Rest siehe oben.

"Variante 1: Client -- Passwort im Klartext --> Server
Variante 2: Client -- gehashtes Passwort --> Server
Variante 2 ist wesentlich sicherer, da serverseitig keine Passworte vorliegen und folglich auch nicht von unberechtigten Dritten gelesen werden können. Stattdessen tippt der Benutzer sein Passwort ein und dieses wird auf dem Client in einen Hashwert umgewandelt. Dann überträgt der Client das gehashte Passwort an den Server. Im Server ist der zum Passwort gehörige abgespeichert, so dass der Server prüfen kann, ob der Benutzer das richtige Passwort eingegeben hat."

Eigentlich hat man ziemlich genau 0 Zugewinn an Sicherheit (eher weniger). Nur mehr Overhead. Auf dem Server liegen bei beiden Varianten keine Passwörter.

Also, auf dem Server sind die Passwörter nicht im Klartext abgespeichert ( sondern mit MD4 gehasht :fresse: ), ...ich verstehe den Satz ja noch nicht einmal. Ist mit Client ein Benutzer gemeint oder ein Anbieter/Dienstleister/whatever -> z.B. Facebook. Auf jeden Fall bedeutet es das wenn ich mein Passwort eingebe, der gehasht wird. Der Server vergleicht dann diesen Hashwert mit dem Hashwert auf dem Server, und wenn diese Übereinstimmen, ist man eingeloggt. Das hört sich für mich an wie Diffie-Helman-Schlüsselaustausch.

Niemand benutzt MD4 für sowas. Wirklich niemand. Das wäre auch ziemlich dumm. Mach nicht nochn Fass mit Diffie-Helman auf, das hat hiermit garnichts zu tun (das passiert parallel bei der Verbindungskrypto).

Verstehe das ganze aber jetzt noch weniger: wenn ich den Klartext eingebe und der erst dann gehasht wird und dann auf dem Server überprüft wird, oder ob ich direkt mit dem Hashwert an den Server rangehe: was ist da der Unterschied?
Wobei, tatsächlich würde ich jetzt sagen (obwohl da steht das es sicherer ist), das es für die bösen Leute besser wäre den Klartext zu ignorieren und direkt sich mit dem hashwert auseinander zu setzen, da man den "ersten Schritt" (klartext eingeben) übergeht quasi...oder? Zumindest würde das erklären wieso man nicht den Klartext sondern den Hashwert ausfindig machen mag.

Hää?

edit:
okay, ich glaub ich check's wirklich - bräuchte da aber noch die "Absegnung".
Hashwerte zu ermitteln sind schwieriger, da sie (SHA2) ein "Hashwert", bzw. der Output String (nachdem das Passwort gehasht wurde), ein Zufallsstring zwischen 160-512 Bit haben (ein Passwort mit einer Länge von 24 characktern kann sich ja schon niemand merken). Das erklärt eigtl. schon vieles... ich wurde unterbrochen und hab den Faden verloren --.-- aber wenn das schon einmal in die richtige Richtung geht, freue ich mich bereits el o el

Ne, der Output aus ner Hashfunktion ist kein Zufall. Man macht den ganzen Zirkus damit das KlartextPW nicht dauerhaft auf dem Server gespeichert werden muss und um BruteForce schwerer zu machen.
Zum Vergrößern anklicken....

Anmerkungen im Zitat. Ich hoffe einfach mal das ist kein Trollversuch :d
Aber wo hast du deinen Text herkopiert? Hast ne Quelle für mich?

Gruß

Edit: Wenn das jetzt ausartet hier mach woanders n Thread auf oder PN mich.
 
Zuletzt bearbeitet:
Mal ne frage. Kann ich Lautsprecherkabel als Chinch Kabel nutzen?

Habe alle meine Lautsprecherkabel Unterputz und in jeder Ecke eine Dose. Da ich mir kleine Boxen geholt habe stehen die jetzt direkt auf das Sideboard. Somit sind die Kabel jetzt direkt im Receiver. Jetzt ist vorne rechts und vorne links die Dose natürlich frei. Da ich mir jetzt vorstellen könnte den Subwoofer dahin zustellen Frage ich mich ob das problemlos klappt wenn ich da mit Chinch Reingehe und am Ende wieder mit Chinch raus.

Ist ja quasi keine Schirmung dann vorhanden. Das macht mir halt Sorgen.

Gesendet von meinem ONEPLUS A3003 mit Tapatalk
 
probiers doch aus. fehlende Abschirmung kann ja maximal Störungen im Sound geben.. Wenn du keine hörst - alles paletti.
Wüsste nicht, warum das nicht klappen sollte.
 
was ist für dich ein lautsprecherkabel?
Cinch ist laut definition ein Koax-kabel bzw. eine antenne.
 
Cinch ist am Ende ein mehrpoliges Kabel. Nur der Stecker ist coaxial. Die Leitungen sind ja nur parallel, nicht wie bei einem echten coax mit Kern, Draht usw.
 
Dann werde ich mir Mal Chinch Stecker bestellen und Kabel crimpen.

Nutzt hier wer eigentlich auch 4.1? Bin noch nicht zum testen gekommen aber wollte halt aus optischen Gründen auf ein Center verzichten

Gesendet von meinem ONEPLUS A3003 mit Tapatalk
 
Zuletzt bearbeitet:
die cinch sind normalerweise zum schrauben oder löten.
 
Ich hab auch eine Kabelfrage. :)

Gibt es so ein Y-Kabel, aber für das Einstecken in zwei Soundkarten geeignet?
61FcTFPCESL._SL1001_.jpg
UGREEN Audio y Adapter Klinke Auido Kabel 3.5mm Buchse auf Klinkenstecker (Headset und Mikrofon) audio splitter kabel, Aliumgehre, Computer usw,schwarz: Amazon.de: Musikinstrumente

Also die zweite Klinke auch für einen Ausgang und nicht wie auf dem Bild für den Mikroeingang.
Ist das technisch überhaupt machbar, wie ich mir das vorstelle?
 
Was stellst du dir denn überhaupt vor? Also was soll da am Ende rauskommen.
 
IcE-TeA schrieb:
Also was soll da am Ende rauskommen.
Zum Vergrößern anklicken....
Sowohl der Ton aus Soundkarte A als auch B.


Edit:
Zur Erklärung:
Ich will über Twitch was für einen Freund streamen, aber Discord soll nicht mit gestreamt werden. Denn sonst hört er uns im Stream doppelt.
Gleichzeitig will ich aber weiterhin den Ton aus Discord und dem Spiel.

Mit Virtual Cable habe ich es nach einigem Gefummel leider nicht richtig hinbekommen.
Daher war meine Idee, den Spielton über Soundkarte A auszugeben. Discord über B.
Dann stelle ich in OBS den Eingang auf A streame nur den Spielton.
 
Zuletzt bearbeitet:
Bin kein Experte, aber ich glaube die Soundkarten finden das nicht so toll, da die bei so einem Kabel ja quasi kurzgeschlossen werden.
Wäre es nicht einfacher bei Soundkarte A alles auszugeben und bei Soundkarte B nur den Spielsound. Du steckst deinen Kopfhörer in Soundkarte A ein und stellt den Stream auf Soundkarte B
 
Die Idee ergibt auf jeden Fall Sinn! :d
Dann müsste ich es aber noch irgendwie schaffen, dass ich den Spielsound auf beide Karten ausgebe.
Das bietet Windows allein nicht, soweit ich weiß. Dafür müsste ich ein Tool haben, dass mir die Duplizierung des Signals einer App erlaubt.

Ich hatte mit Audio-Router sogar ein entsprechendes Tool, aber leider hat das Oktober Audio Update von Windows das irgendwie zerschossen.
Nach deinem Denkanstoß werde ich aber noch mal nach ähnlichen Programmen suchen.
Danke für die Hilfe schon mal!

Andere Tips sind willkommen. :)
 
Über Twitch wirst du wohl mit Open Broadcaster Streamen. Normal sollte man da, meines Wissens nach, auch den Ton einzeln regeln können welcher gestreamt wird. Input ist dann halt nur dein Mic und das Programm bzw Spiel.
Du brauchst also nicht einmal die zweite Soundkarte.
 
Jap, ich nutze dafür OBS. Bin aber absolut unerfahren damit.

Die von dir genannte Option gibt es glaube ich nicht. Ich glaube bei meiner Recherche vorher wäre ich ansonsten bereits darüber gestolpert.
Für einen Stream und exkludierten Sound für ein bestimmtes Programm wird in der Regel Virtual Cable + Bananameter empfohlen.
Das würde ich aber gerne umgehen. Bisher SEHR erfolgreich, wie man sieht... :d


Die zweite Soundkarte lag hier eh noch rum, das ist also kein Problem.
 
Ist nun bei mir auch schon ein weilchen her das ich OBS mal getestet habe.
An sich sollte der Ton jeder Quelle die du als Szene eingefügt hast im Mixer auftauchen. Dort einfach Discord stumm stellen. Der Mixer gibt ja nicht an was du hörst, sondern was deine Zuschauer über den Stream hören.
 
Zwischenfrage, die mir schon lange unter den Nägeln brennt:
Was habe ich als 0815 Gamer von Streamen ? Was hat man davon ?
Gibt es tatsächlich Leute die einem 0815 Gamer beim Spielen zuschauen ?
Das Streamen an sich stelle ich gar nicht in Frage, ich schau' selbst ESL CS:GO (aber eben bezahlte Profis, die das hauptberuflich machen)
 
Weiß hier einer, ob die Baustelle auf der A31 ab Kreuz A2 immernoch besteht? Da waren vor vier Wochen noch 2*6km Baustelle wegen Erneuerung der Fahrbahn. Im Netz steht nix mehr.. Aber soweit waren die vor vier Wochen noch nicht.
 
meph!sto schrieb:
Zwischenfrage, die mir schon lange unter den Nägeln brennt:
Was habe ich als 0815 Gamer von Streamen ? Was hat man davon ?
Gibt es tatsächlich Leute die einem 0815 Gamer beim Spielen zuschauen ?
Das Streamen an sich stelle ich gar nicht in Frage, ich schau' selbst ESL CS:GO (aber eben bezahlte Profis, die das hauptberuflich machen)
Zum Vergrößern anklicken....

spass an der freude oder halt mal schauen (fernab von testberichten) ob das spiel für einen taugen könnte zb.
ich schaue ab und an mal streams von Abgefahren!
ist zwar sinnfrei aber wenn man gerade keine lust/zeit hat da mitzumachen manchmal recht unterhaltsam.
EDIT: da könnte man auch fragen warum leute fußballspiele etc anschauen. ist ja wie offline streamen.
 
Er meint ja eher warum man selbst streamt und das frage ich mich auch. Ich schau doch auch nicht nach nem Spiel und suche mir den größten Kacknoob zum zusehen an.

Beim Fußball würde das ja in dem Fall bedeuten du hast Lust auf Fußball, gerade läuft die WM oder Champions League, aber du entscheidest dich für das Spiel vom Vorletzten gegen den Letzten einer Frauenkreisliga in Bangladesch.
 
Gibt es eine Freeware, die ganze Ordner von PDFs in jepgs umwandeln kann?

Hm finde da nichts seriöses. Weiss jmd ob Photoshop da ganze Ordner Umwandeln kann oder nur einzeln?

Gesendet von meinem Pixel 2 XL mit Tapatalk
 
Zuletzt bearbeitet:
Kommt doch immer darauf an ob dem Zuschauer der Stream gefällt.
Ich hab auch ein zwei Leuten denen ich gelegentlich zu schaue, obwohl sie kaum Zuschauer haben. Einfach weil sie meinem Geschmack an Spielstiel und Unterhaltung sowie Interesse an Spielen bieten die ich persönlich nicht Zocke.
Und wenn seinem Kumpel seine art zu Spielen gefällt, why not?
Dazu kommt, das wenn ein Kumpel mal etwas Zockt was ich nicht Spielen kann, dann kann ich den noch einfacher Sachen Fragen über das Spiel oder anderes. Bei Gronkh kannst du ja vergessen gelesen zu werden, außer mit viel Glück. Die Schaffen es ja nicht mal mehr die Donations zu beachten.
 
es geht ja nicht nur darum rein dem beim zocken zuzuschauen.
der streamer muss auch symphatisch sein und das gelabber aussenrum passen.
alles kann man sich nicht geben an streams...
und wenn es demjenigen sein hobby ist warum sollte er es nicht machen?
ist doch egal ob du tausende abonnenten hast oder nur eine handvoll, der spass an der sache wird wohl am meisten dahinterstehen als gewinnabsichten (wie bei den großen playern).
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh