WO und WAS sind Hashes?

@Elderan: Danke für Deine informative Antwort. Sehr lesenswert.

@lookshe: Was Elderan geschrieben hat, ist vollkommen korrekt. Ich hatte mich diesbezüglich von SAMBA leiten lassen. Gerade wollte ich einen Gegenbeweis aus einem alten Experiment auskramen, da musste ich feststellen, dass der Server mit MD4 arbeitet. Mein Fehler. Sorry für die Verwirrung.

Bye, nz
 
Danke sehr, bin nun etwas schlauer.^^

Aber ihr redet immer davon, 'wenn' sich jemand in deine Datenbank unbefugten Zutritt verschafft. Meine Frage ist noch: Es gibt ja anscheinend noch andere Methoden, um Passwörter zu umgehen/knacken als Bruteforce. Denn wieso sollte man in eine Datenbank eindringen können, nur um dann langweilig zu bruteforcen. Ist nicht jemand, der in deine Datenbank gedrungen ist, nicht eh schon so weit vorgeschritten, dass er aufs Brute Forcen verzichten kann?
Sry, ich hab leider keine Vorstellung wie man sowas macht.
Oder liegt das jetzt total Jenseits dieses Themas?
(Ich will keine Hack Anleitung, sondern wie man sich sowas ungefährt vorstellen kann - ich kenn nur die Möglichkeit: Bruten bis der Arzt kommt. :rolleyes: )
 
Hallo,
würdest du z.B. an die Datenbank des Habos kommen, was hoffentlich nie passiert, dann findest du dort die Hashwerte der User vor.

Jetzt per BruteForce o.ä. knackst du diese Werte und bekommst bei vielen Usern das Klartextpasswort.
Da Menschen nunmal die Angewohnheit haben, oft nur 1 Passwort zu verwenden, kann man sich mit dem Klartextpasswort dann oft auch beim Mail-Account, evt. bei anderen Boards und sogar evt. bei seinem Webspace sich damit einloggen.

Was man sehr oft sieht, ist dass Email-Passwort und Board-Passwort gleich sind.


Des Weiteren gibts noch viele andere Möglichkeiten an die "Datenbank" zu gelangen. Im phpBB gabs mal eine Lücke, womit man beliebige Felder einer beliebigen Tabelle auslesen&ausgeben lassen konnte, also auch das Passwortfeld der Usertabelle.

Um diese Lücke nun ausnutzen zu können, kann man z.B. das Passwort (den Hash) von einem Admin/Moderator auslesen, und wenn man dort dann an das Klartextpasswort kommt, kann man sich ganz regulär einloggen, z.B. ins AdminCP gehen und dort ein dump/backup der Datenbank runterladen, mit allen PMs, Userdaten etc. (wobei man bei phpBB sich meistens auch nur mit dem Hashwert einloggen kann, was bei anderen Boards z.B. wBB nicht geht)

Man manchen billigen (oder kostenlosen) shared hostern, kann jeder mit einem Account die Datenbank von anderen kopieren & runterladen (auch wenns es etwas (nicht viel) know-how erfordert) und bekommt dann so die Hashwerte von den Usern.


Naja, wenn man es schafft, die Passwörter der User zu knacken, kann man meistens noch viel mehr schaden anrichten.
Überleg einfach mal, bei wievielen Diensten du dass gleiche Passwort verwendest.

Weil in der User Tabelle oft noch eine Email-Addy hinterlegt ist, wird ein Angreifer dort versuchen dein Passwort einzugeben, und wenn er Glück hat...


Andere Attacken um Hashwerte von Passwörter zu knacken ist neben Brute Force (alle Kombinationen ausprobieren) eine Wörterbuchattacke (Passwörter aus einem Wörterbuch ausprobieren zzgl. bestimmte Varianten, z.B. Zahlen 00 bis 99 an einen Eintrag anhängen) sowie Rainbow-Tables.
Hier werden alle Kombinationen im vorraus berechnet (Brute Force) und dann in einem speziellen Format auf der Festplatte abgespeichert (also das Passwort + Hash).

Sucht man nun einen Hash, so geht dies deutlich schneller. Bei Bruteforce mit Kleinbuchstaben und Zahlen für 8 Zeichen braucht man bis zu 3 Tagen. Hat man aber die passende Rainbowtabelle dauert es nur ca. 1 Minute um das Passwort zu finden, allerdings dauert die Berechnung von Rainbowtabellen recht lange, was man aber nur ein einziges mal machen muss.

Die Board Suche und Google sollten dir weitere Informationen zu Rainbow-Tabellen liefern.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben