Hashes Password Cracking?

Hey

Ich versuche gerade, nur zum Testen, meinen Instagram Account zu hacken. Ich kenne das Passwort, will es aber versuchen mit Rainbowcrack zu cracken.
Bin jetzt an dem Punkt, an dem ich ein Hash eintragen muss. Was muss dieser Hash sein, also welcher Wert muss der String haben und wie bekomme ich den Wert?

Vielen Dank
Timo

PS. Ich will nichts böses anstellen, will nur wissen wie es geht. ;D

2 Antworten

deepthought

10.05.2019, 13:10

ein Hash ist eine Art jede Form von Daten als immer gleich lange Zeichenkette darzustellen: Texte, Videos, Musik, Dokumente oder eben Passwörter.

Der Hash wird von einem Algorithmus erstellt. Die gängigsten sind:

MD5 – alles wird in einen 32-Zeichen uniquen langen Hash verwandelt
SHA1 – alles wird in einen 40-Zeichen uniquen langen Hash verwandelt
SHA256 – alles wird in einen 64-Zeichen uniquen langen Hash verwandelt

Deine Nachricht als ein String betrachtet (inklusive Titel) würde mit SHA1 diesen Hash ergeben: 38C7163FF7103981C98470C9350818B3F368C690

Wieso ist Hashing sicher?

Weil Hashs nicht einfach so rückgängig ausgerechnet werden können - nur über Brute Force. Das ist bei MD5 vielleicht noch "machbar" mit modernere Technik, aber bei SHA256 müsstest du schon 2²⁵⁶ Kombinationen ausprobieren. Das ist praktisch unmöglich. Wie Hashfunktionen mathematisch genau funktionieren kannst du hier nachlesen: https://de.wikipedia.org/wiki/Hashfunktion

Rainbowcrack benutzt Rainbowtables, das ist etwas anderes als "reines" Bruteforcen und ermöglicht zwar theoretisch ein schnelleres Cracken, aber bei SHA256 trotzdem unmöglich.

HansImGlueck178

10.05.2019, 13:21

Die Hashfunktionen die du nennst werden schon seit Ewigkeiten nicht mehr für Passwörter genutzt, wer mit SHA1/2/3 oder MD5 Passwörter hasht, dem gehört das Fell über die Ohren gezogen. PBKDF2, bcrypt oder scrypt sind da geeignete Kandidaten.

FouLou

10.05.2019, 12:54

Du brauchst dafür den Hash des Passwortes das du knacken willst. Da müsstest du dir aus der Datenbank von Instagram besorgen.

Oder du machst folgendes: du nimmst dein Passwort und hasht das selbst. Geht sicherlich mit Software. Notfalls mit visual Studio selber schreiben.

Merk dir dennhashingalgorithmus den musst du eventuell auch angeben. Kann aber sein das das Programm mehrere selbst verwendet.

EinfachNichts

Fragesteller

10.05.2019, 13:00

Also das heisst, ich müsste die Instagram Datenbanken hacken um den Hash zu kriegen?

FouLou

10.05.2019, 13:00

@EinfachNichts

Jup.

FouLou

10.05.2019, 13:03

@FouLou

Oder halt selbst nen Hash erzeugen. Du kennst ja dein Passwort.

HansImGlueck178

10.05.2019, 13:06

@FouLou

Aber er weiß ja nicht womit Instagram hasht. Ist also nutzlos.

J0T4T4

10.05.2019, 13:11

@HansImGlueck178

Wo geschieht eigentlich das Hashen?

HansImGlueck178

10.05.2019, 13:14

@J0T4T4

Bei Instagram auf einem Server, wenn das erste Mal das Passwort eingegeben wurde (also beim Anlegen des Accounts). Gespeichert wird dann nur noch der Hash (der mit Tricks wie salt and pepper noch gegen Rainbowtable-, Similarity- und Wörterbuchangriffe gesichert wird), niemals das Klartextpasswort.

Ich würde gerne Password Cracking üben ich hab schon geübt mit den normalen example dateien von hashcat aber ich würde gerne ein reales szenario haben sprich in den Datenserver reinhacken den hash kopieren und dann das Passwort cracken (natürlich von meinem Account) Gibt es so eine Website ?

...zur Frage

Gmail Passwort hacken ohne aufgedeckt zu werden?

Ich schaffe es einfach nicht in mein Gmail Konto und wollte fragen ob es eine Möglichkeit gäbe mich in meinen Account zu hacken oder irgendwie das Passwort zu cracken weil ich keine Idee mehr habe wie ich in meinen Account kommen soll?

...zur Frage

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

C# User Login: Passwort-Hash vergleichen?

Hallo,

ich programmiere eine Anwendung, in der man Adressen mit SQL-Server verwalten kann. Man kann Benutzer anlegen und sich mit denen beim Start der Anwendung einloggen.

Nun möchte ich das Passwort hashen. Beim Erstellen des Benutzers wird bereits ein Hashwert generiert und in der Passwort-Spalte in der Datenbank angezeigt. Beim Einloggen soll auch das Passwort gehasht werden und dann der Hash vom Einloggen mit dem aus der Datenbank auf Übereinstimmung verglichen werden.

Ich habe mich an folgendem Tutorial orientiert: https://dotnetcodr.com/2017/10/26/how-to-hash-passwords-with-a-salt-in-net-2/

Ich generiere also immer einen zufälligen Hashwert und das auch beim Einloggen. Wenn ich dann also den Hash vom Einloggen mit dem aus der Datenbank pvergleiche, können die nie übereinstimmen, weil eben bei beiden immer ein zufälliger Wert generiert wird.

Hash (beim Erstellen des Benutzers):

public HashWithSaltResult HashWithGenericSalt(string password, int saltLength, HashAlgorithm hashAlgo)
{
    RNG rng = new RNG();
    byte[] saltBytes = rng.GenerateRandomCryptographicBytes(saltLength);
    byte[] passwordAsBytes = Encoding.UTF8.GetBytes(password);
	List<byte> passwordWithSaltBytes = new List<byte>();

    passwordWithSaltBytes.AddRange(saltBytes);
    passwordWithSaltBytes.AddRange(passwordAsBytes);
    byte[] digestBytes = hashAlgo.ComputeHash(passwordWithSaltBytes.ToArray());

    return new HashWithSaltResult(Convert.ToBase64String(saltBytes), Convert.ToBase64String(digestBytes));
}

Hash (beim Einloggen):

public HashWithSaltResult HashWithSalt(string password, string salt, HashAlgorithm hashAlgo)
{
	// Wie hashe ich beim einloggen?
}

Einloggen:

using (var context = new PersonDbContext())
{
	var query = from p in context.Benutzers where textBoxVorname.Text == p.Vorname && textBoxName.Text == p.Name && HashResultSha512.Digest == p.PasswortDigest select p;
    HashPassword();
}

public void HashPassword()
{
    PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher();
    HashResultSha512 = pwHasher.HashWithSalt();

    db.CheckBenutzerLogin(textBoxVorname.Text, textBoxPasswort.Text, HashResultSha512.Salt, HashResultSha512.Digest);
}

Was muss ich in

public HashWithSaltResult HashWithSalt

schreiben, damit er den Hashwert aus der Datenbank verwendet und nicht wieder einen neuen Wert generiert?

...zur Frage

Wie genau werden Passwörter gecrackt von z.b E-Mails?

Üblicherweise bräuchte man dafür doch den Hash und den Hash findet man nur in der Datenbank des Anbieters z.b Gmail (Google) also müsste der Hacker doch sich erstmal in die Datenbank von Google reinhacken (was fast unmöglich währe) um da den Hash rauszuholen und dann mit z.b Hashcat das Passwort zu cracken.

Ich kann mir das sehr schwer vorstellen vorallem der Aufwand sich in die Datenbank reinzuhacken.

Welche möglichkeiten benutzen Hacker noch? Ist meine Aussage falsch?

...zur Frage

Warum kommt bei Linux md5 hashen ein anderer Wert raus als online?

Wenn ich beispielsweise einegebe

"Password" | md5sum

Kommt ein anderer Hash raus, als im online Generator. Warum ist das so und wie kann ich dem entgegenwirken? Danke im Voraus.

...zur Frage

Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

...zur Frage

Instagram Hack Versuch?

Hi, ich habe gerade eine E-Mail von Instagram bekommen, in welcher es heißt, dass ich jetzt ganz einfach zu meinem Konto zurückkehren kann und ich scheinbar Probleme mit dem Anmelden habe. Ich müsste in der Mail auf eine Schaltflächen klicken, um mich einzuloggen.
Das mache ich natürlich nicht. Aber hat da vielleicht jemand versucht, sich mit meinem Konto anzumelden?

...zur Frage

Ist es wirklich noch so einfach Instagram-Nutzer zu hacken?

Ich lese immer wieder bei Seiten auf Instagram dass jene gehackt wurden und jetzt zurück hacken wollen etc. Da frage ich mich wie das überhaupt gehen sollte wenn das einzige was kommt wenn man "Instagram Konto hacken" eingibt irgendwelche Englischen Fake-Seiten sind die demjenigen angeblich das Passwort des Accounts cracken können, in Wahrheit aber nur Werbung oder gar schlimmer einen Virus enthalten. Da heutzutage hier in Deutschland die wenigsten noch "12345" als Passwort verwenden frage ich mich wie es die Hacker teilweise immer noch schaffen, Zugriff auf fremde Accounts zu bekommen?

...zur Frage

Java: Versuche immer um 1 abziehen?

Hallo, weiß jemand wie man programmieren kann, dass er die Versuche immer um 1 runterzählt wenn der Benutzer es falsch eingibt?

Mein Code:

void setup(){
 String passwort;
 passwort = PopUp.readLine("Bitte das Passwort eingeben");
 int versuche = 5;
 login(passwort,versuche);
 String meinpasswort = ("password");
  
 if (passwort.equals(meinpasswort)){ 
  PopUp.print("Herzlich Willkommen zurück Benutzer!");
 }
 else {
  PopUp.readInt("Sie haben noch "+versuche+" Versuche");
  versuche = versuche - 1;
 }
}

boolean login (String passwort, int versuche){
 String meinpasswort = ("password");
  
 while (versuche > 0){
  if (meinpasswort.equals(passwort)){
    print();
    return true;
  }
  else { 
    versuche = versuche - 1;
  }
  }
  return false;
}

...zur Frage

Router gehackt, Password geändert, Virus aufgespielt?

Unsere Fritzbox wurde durch eine Lücke in der Routersoftware gehackt und ein neues Passwort vergeben. Der Hacker behauptet er hätte eine Software aufgespielt, die ihm jedes neue Passwort, welches wir vergeben würden, zuspielt. Kann das sein? Ist ein neuer Router die einzige Möglichkeit ihn wieder auszusperren?

...zur Frage

C# Hash Werte vergleichen?

Hallo, ich möchte bei einem Login das Passwort hashen. Wenn man sich eingeloggt hat, kann man neue Benutzer hinzufügen. DIe neuen Benutzer werden dann auch gehasht und beim einloggen soll geprüft werden, ob der Hash Wert vom hinzufügen des Benutzers mit dem Hash Wert beim einloggen übereinstimmt. Wie mache ich das? In meinem BenutzerDialog(dort werden die Benutzer erstellt) wird beim Erstellen_Clickeine Hush Methode aufgerufen.

public Benutzer _selectedBenutzer;
public void HashPassword() { PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher(); HashWithSaltResult hashResultSha512 = pwHasher.HashWithSalt("ultra_safe_P455w0rD", 64, SHA512.Create()); _selectedBenutzer.Passwort = hashResultSha512.Salt; _selectedBenutzer.Passwort = hashResultSha512.Digest; }

Wie vergleiche ich den Hash Wert vom Benutzer hinzufügen(BenutzerDialog) mit dem vom Login?

Will dann eine If-Anweisung in der Art schreiben(diese If-Anweisung ist dann im Login Button):

//If(hashwert == benutzerDialog.hashwert)
//{
//   MessageBox.Show("Die Hash Werte stimmen überein-");
//}
//else
//{
//   MessageBox.Show("DIe Hash Werte stimmen nicht überein");
//}

...zur Frage

Hash Code entschlüsseln (kein Crack)?

Hallo, folgende Situation:

Ich habe ein Hash Code und ein Passwort mit dem es Verschlüsselt ist, wie kann ich den Hash Code entschlüsseln? Ich finde im Internet nur Hash cracker, aber keine Tools bei denen man das Passwort eingeben kann. Kennt jemand hier eins?

...zur Frage

Smart-Fernseher legt auf USB-Stick *.cm-Dateien an, eine hat den Inhalt "CM_DEV_ID|" und dann eine Zahlen- und Ziffernfolge, wie wird das generiert (Hashwert)?

Machen Computer das auch bei angeschlossenen Geräten?

Wie lassen sich diese Hash-Werte dekodieren/dekryptieren?

Ich habe einmal gelesen, dass sich aus machen Hash-Werten die Original-Werte wiederherstellen lassen und aus manchen nicht? Woran liegt das? An der Länge des SHA-Hash-Wertes?

http://teslamag.de/news/hacker-informationen-p100d-firmware-tesla-7368

Danke!

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen