Kann man Sha256 entschlüsseln?

Ich hab mal irgendwo gelesen das SHA1 und SHA2 unsicher wären und es entschlüssler dafür gibt. In welcher Art unterscheidet sich SHA256 von den anderen und ist es wirklich sicherer? Außerdem gibt es sehr viele Text-zu-SHA256-coverter. Besteht da nicht die Möglichkeit einfach einen solchen coverter in einen decoder zu verwandeln?

PS:Ich will keine Passwörter entschlüsseln. Ich frage nur nach der Sicherheit.

mfg, Ich

2 Antworten

micknj

09.12.2011, 20:51

So trivial ist das mit "SHA entschlüsseln" nicht. Vereinfacht ausgedrückt ohne dich mit technischen Details zu bombardieren: SHA256 gilt als sicher. Zu dem "Text to SHA converter": Das ist ja gerade Sinn der Sache! Du kannst beliebige Daten (z.B. einen Text) durch eine SHA Funktion durchlassen und es kommt ein Hash-Wert raus. Das Ganze ist aber unumkehrbar, d.h. von dem Hashwert kann man nicht wieder auf das Eingegebene schließen.

Stelle dir grob vereinfacht gesagt folgendes Prinzip vor (Beispiel einer einfachen Authentifizierung): Du lässt ein Passwort z.B: "asdFGH" durch eine SHA Funktion. Heraus kommt sagen wir mal "df33fc8". Dieser Wert wird nun mit deinem Benutzername verknüpft gespeichert. Lässt keine Rückschlüsse auf dein Passwort zu. Du gibst nun erneut dein Passwort ein, das wird erneut durch eine SHA Funktion gelassen und der Hash wird nun mit dem gespeicherten verglichen. Dein Passwort kennst nur du und der "Eingang" der SHA Duntktion. So lange hier alles verschlüsselt und vertrauenswürdig ist gibt es keine Sicherheitsrisiken.

xxxxxXXXXXxxxxx

Fragesteller

09.12.2011, 21:09

puh... gut danke

Kurushiyama

09.12.2011, 20:45

Ok, mal ganz von Anfang an. SHA ist keine Verschlüsselungsmethode, sondern eine sog. Hashfunktion. Deren Aufgabe ist es, bei den geringsten Veränderungen des Eingabetextes möglichst große Veränderungen im Hashtext zu zeigen. Ausserdem muss die Operation immer den selben Hashwert ergeben.

Für einige kryptographische Verfahren ist das sehr wichtig. Interessant wäre es nun für einen Angreifer (den man üblicherweise Marvin oder Mallory nennt, seltener Mallet nennt) wenn er aus dem Hashwert Rückschlüsse auf den Eingabewert machen könnte.

Ein Beispiel: SHA-256 und sein älterer Verwandter MD5 werden beziehungsweise wurden benutzt, um Passworte unter Linux und Unix sicher zu speichern. Der Benutzer root (sowas wie "Administrator" unter Windows) kann sich die Datei ansehen, in der die Passworte gespeichert werden und sieht nur den Hashwert und kann keinerlei Rückschlüsse auf das Passwort vornehmen, was für die Benutzer wichtig ist, da sie ja ggf. das selbe Passwort für ihr privates E-Mail-Konto verwenden und nicht möchten, dass der Systemadministrator von ihrer Arbeit in den privaten E-Mails rumschnüffeln kann. Wenn sich aber nun ein Benutzer am System anmeldet, wird das eingegebene Passwort durch den Hash-Algorithmus gejagt und das Login-Programm vergleicht das Ergebnis mit dem gespeicherten Wert. Stimmt er überein, lässt das Programm den Benutzer rein.

Mathematisch betrachtet handelt es sich um sog. Einwegfunktionen, d.h. im Gegensatz zum Beispiel zu den vier Grundrechenarten NICHT umkehrbar sind.

luposfun

14.01.2022, 08:49

Hallo,

Schon lustig, dass ich nun eine 11 Jahre alte Antwort kommentiere, aber ich konnte nicht anders ;)

Deine Antwort ist mit einer Ausnahme richtig.

Ergänzungen

Die korrekte Bezeichnung ist sehr wohl Kryptographische Hash-Funktion oder Kryptologischer Hash-Algorithmus.

Im Gegensatz zu einfachen nicht eindeutigen Hash-Funktionen, wie eine Quersumme die sowohl umkehrbar sind, als auch eine Lösungsmenge statt nur 1 Lösung der Eingangsdaten haben. darf das bei Kryptographischen Hash-Funktionen, SHA256 und allen anderen der SHA-2 Familie nicht passieren.

Das nennt man auch kollisionsresistent. Es gibt keine unterschiedlichen Eingangsdaten, die den gleichen Hash-Wert ergeben. Auch, wenn das rückwärts nicht errechenbar ist, wegen der Einwegsfunktionalität.

Beispiel:
Zum einfachen Hash Algo der Quersumme 4 würden 31, 301, 22 oder 102001 usw. passen.)

SHA256 garantiert, das Ähnliches damit nicht möglich ist.

Weiter Fähigkeiten die Kryptographische Algorithmen besitzen sind:

Die Fähigkeit annähernd unbegrenzte Datenmengen zu berechnen und in einem Hash mit fest definierter Länge zu speichern. Das ist für ein Passwort nicht so relevant - aber ein Kriterium für die Definition kryptographischer Hashes

Die Einweg Funktion (unumkehrbare Funktion) hattest Du genannt

LG - Markus

Frage: Wie kann man ein SHA1 Hash mit hashlib in Python3 decoden (entschlüsseln)?

...zur Frage

Was ist eine gute kostenlose password speicher methode?

Hallo ich speicher eigentlich meine passwörter in den kontakten doch ich hab jetzt gelesen ,dass das unsicher sei also hab ich mich mal umgeschaut was für password manager es gibt und bei allen gibt es 2 manschmal 3 probleme meistens:

1.es kostet geld um alles zu nutzen

2.man hat ein master password doch wo speichert man dieses ab in der app ja wohl garnicht

3. In der kostenlosen version kann man bei manchen apps es nur auf einem device nutzen

Und dann kommt noch die frage der sicherheit kann ich den seiten trauen

Dann ein passwort buch. Schreiben alle das ist unsicher was ist wenn du es verlierst

Dann hatte ich noch die idee eines usb sticks aber was ist wenn ich ihn verliere oder noch schlimmer wenn jemand zugriff auf meinen computer hat

...zur Frage

Hashes Password Cracking?

Hey

Ich versuche gerade, nur zum Testen, meinen Instagram Account zu hacken. Ich kenne das Passwort, will es aber versuchen mit Rainbowcrack zu cracken.
Bin jetzt an dem Punkt, an dem ich ein Hash eintragen muss. Was muss dieser Hash sein, also welcher Wert muss der String haben und wie bekomme ich den Wert?

Vielen Dank
Timo

PS. Ich will nichts böses anstellen, will nur wissen wie es geht. ;D

...zur Frage

PHP Passwort Hash entschlüsseln?

Hallo,

aktuell erstelle ich einen eigenen Passwort Manager.

Ich habe alles soweit eingestellt und läuft soweit.

Nun ist mein Problem, dass ich gerne die Passwörter Verschlüsseln möchte.

Da bin ich dann auf diese Website gestoßen

https://www.php-einfach.de/experte/php-sicherheit/daten-sicher-speichern/php-passwort-sicherheit/

dort habe ich folgenden Text für meine Website verwendet.

$hash = password_hash($passwort, PASSWORD_DEFAULT);

Nun möchte ich den Text aber wieder entschlüsselt haben.

Wie kann ich das am besten machen?

...zur Frage

Wie kann ich Sha256 entschlüsseln?

Gibt es da irgendwelche Programme?

Danke!

...zur Frage

Wie komme ich an (MD5-)Hashes?

Als allererstes: Ich will keine fremden Passwörter knacken, ob ihr's glaubt oder nicht, also spart euch solche Kommentare bitte.

Zur Frage: Es ist ja immer die rede davon wie man die Hashes knackt usw.

Aber dazu braucht man die Hashes ja erstmal. Woher kann man die bekommen? muss man die Mit Wireshark sniffen?

Oder wie sonst?

...zur Frage

HMAC sha256 hash zum Speichern von Passwörtern in einer Datenbank verwenden?

Hallo, ich programmiere gerade eine Anwendung, dabei soll ein Hash aus HMAC sha256 in einer Datenbank gespeichert werden? Dies sollte doch sicher sein, oder? Vielen Dank für eure Hilfe.

...zur Frage

Php passwort verschlüsseln?

Hab mir ein Video angesehen das schon von 2016 ist und der Youtuber meinte selber das es eine bessere Methode geben kann als sha512.

$passwort = "einwichtigespasswort";
echo  hash("sha512", $passwort);

Was ist das aktuellste heutzutage ?

...zur Frage

Passwort - Hash?

Was bringt es mir ein Passwort zu hashen, wenn ich dieses nicht rückgängig übersetzen kann?

...zur Frage

C# Hash Werte vergleichen?

Hallo, ich möchte bei einem Login das Passwort hashen. Wenn man sich eingeloggt hat, kann man neue Benutzer hinzufügen. DIe neuen Benutzer werden dann auch gehasht und beim einloggen soll geprüft werden, ob der Hash Wert vom hinzufügen des Benutzers mit dem Hash Wert beim einloggen übereinstimmt. Wie mache ich das? In meinem BenutzerDialog(dort werden die Benutzer erstellt) wird beim Erstellen_Clickeine Hush Methode aufgerufen.

public Benutzer _selectedBenutzer;
public void HashPassword() { PasswordWithSaltHasher pwHasher = new PasswordWithSaltHasher(); HashWithSaltResult hashResultSha512 = pwHasher.HashWithSalt("ultra_safe_P455w0rD", 64, SHA512.Create()); _selectedBenutzer.Passwort = hashResultSha512.Salt; _selectedBenutzer.Passwort = hashResultSha512.Digest; }

Wie vergleiche ich den Hash Wert vom Benutzer hinzufügen(BenutzerDialog) mit dem vom Login?

Will dann eine If-Anweisung in der Art schreiben(diese If-Anweisung ist dann im Login Button):

//If(hashwert == benutzerDialog.hashwert)
//{
//   MessageBox.Show("Die Hash Werte stimmen überein-");
//}
//else
//{
//   MessageBox.Show("DIe Hash Werte stimmen nicht überein");
//}

...zur Frage

Sicherheit von Passwort?

Ich habe die Aufgabe, die Sicherheit von folgendem Passwort zu bewerten bzw. zu prüfen.

01dfae6e5d4d90d9892622325959afbe:7050461

Ich habe absolut keine Ahnung, wie ich dieses Passwort nun prüfen muss bzw. wie man Passwörter generell prüft. Für mich sieht es schon sicher aus aber was meint ihr dazu?

...zur Frage

Mein Instagram Hash Passwort herausfinden?

Wie kann ich die Hash von meinem Instagram passwort herrausfinden

...zur Frage

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

Woher wissen Webseiten ob ein Passwort zu ähnlich zu dem vorherigen ist (Hash)?

Möchte man bei einigen Accounts oder Webseiten sein Passwort ändern erscheint manchmal die Meldung, dass das Passwort zu viele Ähnlichkeiten mit dem vorherigen Passwort besitzt.

Soweit ich weiß werden Passwörter zur Sicherheit in Datenbanken als Hashwerte gespeichert.

Bei einem Hash-Algorithmus ändert sich der vollständige Hashwert schon bei kleinen Veränderungen am Passwort.

Woher wissen diese Services, dass das Passwort starke Ähnlichkeit mit dem vorherigen Passwort hat? Ist bei so einer Meldung davon auszugehen, dass die Passwörter in Klartext gespeichert werden?

Viele Grüße

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen