Hashes Password Cracking?
Hey
Ich versuche gerade, nur zum Testen, meinen Instagram Account zu hacken. Ich kenne das Passwort, will es aber versuchen mit Rainbowcrack zu cracken.
Bin jetzt an dem Punkt, an dem ich ein Hash eintragen muss. Was muss dieser Hash sein, also welcher Wert muss der String haben und wie bekomme ich den Wert?
Vielen Dank
Timo
PS. Ich will nichts böses anstellen, will nur wissen wie es geht. ;D
2 Antworten
ein Hash ist eine Art jede Form von Daten als immer gleich lange Zeichenkette darzustellen: Texte, Videos, Musik, Dokumente oder eben Passwörter.
Der Hash wird von einem Algorithmus erstellt. Die gängigsten sind:
- MD5 – alles wird in einen 32-Zeichen uniquen langen Hash verwandelt
- SHA1 – alles wird in einen 40-Zeichen uniquen langen Hash verwandelt
- SHA256 – alles wird in einen 64-Zeichen uniquen langen Hash verwandelt
Deine Nachricht als ein String betrachtet (inklusive Titel) würde mit SHA1 diesen Hash ergeben: 38C7163FF7103981C98470C9350818B3F368C690
Wieso ist Hashing sicher?
Weil Hashs nicht einfach so rückgängig ausgerechnet werden können - nur über Brute Force. Das ist bei MD5 vielleicht noch "machbar" mit modernere Technik, aber bei SHA256 müsstest du schon 2256 Kombinationen ausprobieren. Das ist praktisch unmöglich. Wie Hashfunktionen mathematisch genau funktionieren kannst du hier nachlesen: https://de.wikipedia.org/wiki/Hashfunktion
Rainbowcrack benutzt Rainbowtables, das ist etwas anderes als "reines" Bruteforcen und ermöglicht zwar theoretisch ein schnelleres Cracken, aber bei SHA256 trotzdem unmöglich.
Die Hashfunktionen die du nennst werden schon seit Ewigkeiten nicht mehr für Passwörter genutzt, wer mit SHA1/2/3 oder MD5 Passwörter hasht, dem gehört das Fell über die Ohren gezogen. PBKDF2, bcrypt oder scrypt sind da geeignete Kandidaten.
Du brauchst dafür den Hash des Passwortes das du knacken willst. Da müsstest du dir aus der Datenbank von Instagram besorgen.
Oder du machst folgendes: du nimmst dein Passwort und hasht das selbst. Geht sicherlich mit Software. Notfalls mit visual Studio selber schreiben.
Merk dir dennhashingalgorithmus den musst du eventuell auch angeben. Kann aber sein das das Programm mehrere selbst verwendet.
Aber er weiß ja nicht womit Instagram hasht. Ist also nutzlos.
Bei Instagram auf einem Server, wenn das erste Mal das Passwort eingegeben wurde (also beim Anlegen des Accounts). Gespeichert wird dann nur noch der Hash (der mit Tricks wie salt and pepper noch gegen Rainbowtable-, Similarity- und Wörterbuchangriffe gesichert wird), niemals das Klartextpasswort.
Also das heisst, ich müsste die Instagram Datenbanken hacken um den Hash zu kriegen?