Erc, der Punkt ist doch vor allem, wie ich oben ausführlich geschrieben habe: Kriegst du davon was mit oder nicht. Wenn einer den gehashten Wert hat, kann er losgelöst von deiner Webseite aktiv werden. Dann dauerts vielleicht eins zwei Wochen, vielleicht länger, ohne dass du als Admin was merkt und plötzlich hat er ein funktionierendes Passwort.
Wieso hat Sony es nicht sofort bemerkt? Weil die Hacker erst sehr spät manipulierend aktiv waren. Die Hacker haben sich zuerst sozusagen lesend im System umgesehen, haben versucht, nicht aufzufallen. Damit konnten sie ungestört Daten abziehen.
Deswegen: Nicht meinen, dass man mit MD5 immer eine bestimmte Art des Angriffs auf die eigene Webseite verbinden muss. Das sollte man niemals zusammen betrachten. Um die Sicherheit von MD5 und Hashes zu beurteilen, immer davon ausgehen: Der Hacker hat bereits über Sicherheitslücken direkten Zugang zur Datenbank.
Bei den Signaturen, klar, das ist ein weiteres Problem. Wobei es hier aber um Passwörter ging, nicht um Signaturen. Diese haben eine Sonderstellung aufgrund der Tatsache, dass dort das Original verfügbar ist.
Wieso hat Sony es nicht sofort bemerkt? Weil die Hacker erst sehr spät manipulierend aktiv waren. Die Hacker haben sich zuerst sozusagen lesend im System umgesehen, haben versucht, nicht aufzufallen. Damit konnten sie ungestört Daten abziehen.
Deswegen: Nicht meinen, dass man mit MD5 immer eine bestimmte Art des Angriffs auf die eigene Webseite verbinden muss. Das sollte man niemals zusammen betrachten. Um die Sicherheit von MD5 und Hashes zu beurteilen, immer davon ausgehen: Der Hacker hat bereits über Sicherheitslücken direkten Zugang zur Datenbank.
Bei den Signaturen, klar, das ist ein weiteres Problem. Wobei es hier aber um Passwörter ging, nicht um Signaturen. Diese haben eine Sonderstellung aufgrund der Tatsache, dass dort das Original verfügbar ist.
Kommentar