Hash Code Cracker

In diesem Video wird eine Möglichkeit vorgestellt, wie Hashwerte einfach “entschlüsselt” werden können.

L517 Wortlistengenerator

http://code.google.com/p/password-cracker/

Hash Code Cracker
Video-Bewertung
SemperVideo.de
Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.



  • 27 Comments on “Hash Code Cracker”

    1. ….nicht wircklich, das Problem ist dass wen Google nur die Hash bräuchte
      dann bräuchte man die Hash und könnte sie zum einloggen nutzen ohne dass pw
      in klartext zu kennne. d.h. du musst die Hash schon Server Seitig
      verifizieren.

    2. Der Test ist bescheuert, weil es kann sein dass dieses Programm einfach die
      Hash Online generiert und so ist es kein wunder dass die Hash auch gefunden
      werden kann :D

    3. Naja, werden auf der Seite nicht nur normale Hash-Werte gespeichert, ist
      man da auch relativ sicher. Ich persönlich nutze auf meinen Webseiten
      SHA256, ergänze das Passwort vor’m hashen um zufällige Zeichen (Salt) und
      mache anhand eines ebenfalls zufälligen Keys einen HMAC daraus. Selbst wenn
      der Angreifer dann HMAC, Salt und Key aus der Datenbank ausliest, sollte
      eine Wörterbuchattacke fehlschlagen.

    4. Jetzt bin ich baff… Sogar mit Paragraphenangabe und allem drum und dran.
      Ich habe die Paragraphen jetzt nicht überprüft, aber ich glaube dir mal so
      ;D. Du hast mich hiermit zwar nicht überzeugt, dass das Verbot, einen md5
      code zu entschlüsseln fehlt, denn was wäre denn, wenn ich Passwörter, die
      öffentlich einsehbar sind entschlüssel, sie ins Internet stelle und jemand
      anders diese dann benutzt? Dann habe ich ja nix falsch gemacht und sich
      selbst als jemand anders auszugeben, indem man ins

    5. dass wo nach du suchst, findest du draußen im Stadtpark. Solltest dich aber
      nicht dabei erwischen lassen… Im Video geht es um den so genannten HASH.
      Das ist sowas wie ein Fingerabdruck eines Accounts. In spielen wie z.B. BF2
      ist das eine Alternative zum Product-key. So können Admins von Servern
      dich, wenn du cheatest, bannen und dir somit den Zugriff auf den Server
      verweigern ohne dein key zu bekommen und können dir den halt nicht
      klauen…. berichtigt mich, wenn ich mist erzählt habe…

    6. Das Tool generiert den Hash aber selber und schickt dieses nicht ins
      Internet weiter. Nur wenn man über den Online-Cracker geht, wird der hash
      ins Internet gebracht, aber das macht ja nichts, ausser das Original-PW war
      schon in der DB enthalten ;)

    7. Naja das PW bei vbulletin ist 1 mal normal gehasht, dann mit einem
      zufallsgenerierten Salt nochmal gehasht, also im Prinzip völlig
      ausreichend. Dazu ist ist das PW das in dem Cookie eingespeichert wir, mit
      einem extra fixen Salt zusätzlich gehasht. Aber gut, ich seh phpbb auch als
      gute kostenlose Alternative an, so ist es ja nicht^^

    8. ja teilweise schon aber wir bezogen uns ja auf passwort und als ich mich an
      die letzte installation von phpbb erinnere war das password glaube 3 oder 4
      mal gehasht

    9. Genau und jedes 2. System (Forum, Shop, Blog, Youtube, what ever) speichert
      deine PW gleich in klartext damit der Admin sich die Daten direkt abgreifen
      kann….

    10. Das hat aber nichtsmehr mit dem “Online” zu tun. Dieser hash kann in
      wenigen Zeilen in c# bzw java aus einem string erstellt werden. Dort wäre
      es totale banane es ins Internet übertragen. (Ausschließen würde ichs jetzt
      wie gesagt nicht, wer was “böses will”…). Aber ist nun kein Argument
      gegen das Programm

    11. 00:45 Hier übergibt man direkt das Passwort und bekommt den Hash. Und ja es
      besteht damit tatsächlich der begründete verdacht das dass eigene Passwort
      in der Datenbank landet. Hab ich zumindest mal bei einer Seite mit
      vergleichbaren Angebot beobachten können

    12. Erstmal danke für dieses informative Video. Ich stehe derzeit vor einem
      ähnlichen Problem – Emailaktivierung via Hash und Passwortverschlüsselung
      beim login. Meine Frage: wäre es möglich ein Video zu erstellen, in dem
      erklärt wird, welche Verfahren sich als sicher erweisen für den Umgang mit
      Hashcodes? Falls das nicht möglich ist, würde ich mich über eine Antwort in
      den Kommentaren freuen. Danke

    13. Bei solchen Tools und aber auch Seiten im Internet die meine Passwörter
      prüfen ob sie schon irgendwo gelistet sind hätte ich immer den Verdacht das
      wenn mein wirklich gutes Passwort noch nicht gefunden wurde es dann
      automatisch in einer Datenbank eingepflegt wird so könnte Jemand der böses
      im Schilde führt noch bequemer an gute Passwörter kommen weil Idioten ihre
      Passwörter auf Sicherheit prüfen lassen wollen.

    14. joa hab den namen zuerst benutzt als ich 11 war mir ist da nichts anderes
      eingefallen anstatt was “normales in leet zu schreiben”, mittlerweile finde
      ich den verein zum kotzen. bin aber zu faul mir die ganzen abo´s wieder neu
      einzurichten usw. von daher #care

    15. Ups verschrieben. ^^ Meinte natürlich auch Zeichen – nicht Zeilen. Danke
      fürs bösartige korrigieren. :P (kleiner scherz)

    16. Meine Persönliche Meinung dazu: Es ist sehr Wahrscheinlich, dass die in dem
      Programm eingegebenen Passwörter direkt in der Hash-Table landen, da sie
      dadurch sicher noch einige gute Einträge für diese bekommen. Müsst man doch
      schön doof sein die Passwörter/Hash Werte nicht abzugreifen ;)

    17. Wenn du vorhast, Passwörter in einer Datenbank zu speichern, dann
      grundsätzlich immer als Hash-Wert. Und wenn schon Hashwert, dann am besten
      auch direkt als “Salted Hash”, was verhindert, daß die Passwörter mit Hilfe
      von Rainbow-Tables zu ermitteln sind

    18. Hashes haben nur den „Nachteil“, dass Du das Originalpasswort nicht an den
      Besitzer schicken kannst. Er muss immer ein neues anfordern. Grundsätzlich
      ist es besser, auch lokal. Alle Betriebssysteme machen das auch so für die
      Benutzerpasswörter (Mehr oder weniger sicher).

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht.