Wie bekommen hacker den Hash meines Passwort?
Ich habe verstanden das hacker mit dem Hash Passwörter kancken KÖNNEN aber wie bekommen sie den Hash des Passwortes
6 Antworten
Ich habe verstanden das hacker mit dem Hash Passwörter kancken KÖNNEN
Jein! Der Hash ist dein Passwort und zwar in verschlüsselter Form! Ein Hash soll so funktionieren, dass
- egal wie lange das PW ist immer ein gleich langer Hash rauskommt,
- der sich selbst bei kleinen Änderungen am PW stark verändert und
- nicht zurückrechenbar ist.
Wenn nun eine Seite dein PW prüft dann entschlüsselt die den Hash nicht sondern verschlüsselt deine Eingabe und prüft ob dabei der gleiche Hash rauskommt.
Genau das macht man auch bei Passwort knacken - man errechnet Hash-Werte für zig Millionen möglicher Passwörter und schaut ob irgendwo dabei der passende Hash rauskommt... (https://hackenlernen.com/blog.php?t=csvhashcrack)
aber wie bekommen sie den Hash des Passwortes
... sie stehlen ihn einfach!
Man kann zB mit Trojanern Hash-Werte von deinem Userkonto stehlen und diese knacken oder mit SQLi-Angriffen (https://hackenlernen.com/blog.php?t=sqlmap_crashkurs), durch den Upload von Shells oder diverse andere Programmierfehler die gespeicherten Hashes von Userkonten auf Webseiten.
Abgesehen davon gibt es einige Methoden das PW schon bei der Eingabe abzufangen:
- MITM-Angriffe
- Keylogger
- Phishing / Social engeneering
- usw.
Darüber hinaus kann man Login-Cookies bzw. Session-Cookies mit diversen Tools aus deinem Browser stehlen oder per XSS-Angriff auf der Webseite entwenden. Dann hat man zwar nicht dein PW aber dennoch Zugriff auf die aktuelle Sitzung! Auch das stehlen von gespeicherten PW aus dem Browser oder das abfangen von PW aus Passwortmanagern ist eine beliebte Methode!
Außerdem werden geknackte PW aus kleineren (einfacher zu hackenden Webseiten) gern gegen Accounts von PayPal, eBay, Amazon, etc. abgeglichen. Sprich man hackt zB das kleine Katzenfreunde-Forum und erbeutet 6328 Userkonnten von denen man 4761 PW knacken kann.
Damit hat man 4761 PW und dazu passende Email-Adressen die man dann bei PayPay, Amazon, etc. ausprobieren kann! So werden auch Accounts bei diesen Weltkonzernen offengelegt und darum sollte man nicht überall das gleiche PW verwenden!
Du hast hierbei diverse Möglichkeiten, ich halte die Erklärung aber sehr simpel und akkurat genug für jemand, der sich nicht auskennt, heißt aber grottig für jemand, der Fachwissen hat.
Ein "Einfach" gibt es dabei auch nicht, da jede Software anders funktioniert.
Da du von Hash redest gehen wir auch von einer Verschlüsselung aus.
Da du von Hash redest ist es bereits verschlüsselt, ergo ignorieren wir Key-Logger.
Dir bleiben die folgenden Möglichkeiten:
A) Die Schnittstelle zwischen Anwendung und Datenserver
B) Der Datenserver
Theoretisch wird A) ausführlicher, da es oftmals mehrere Anwendungen gibt. Bei WhatsApp gibt es z.B. die sichere Handy-Version und die anfällige Web-Version, wir fokussieren uns aber nur auf eine Anwendung und eine Schnittstelle.
An sich kannst du die Schnittstelle abgreifen, das Problem ist hierbei allerdings die Zuordnung und die Masse, die darüber läuft...an sich ist das Prozedere schon uralt und wird oft als "abkappen" oder "dazwischenklemmen" bezeichnet. Halte ich für zu aufwendig.
Die andere Option ist um einiges einfacher, der Datenserver selbst. Gleichzeitig ist es aber auch bei weitem auffälliger und wird zu 99.99% bemerkt, da es mehr oder weniger brute-force ist. Du verschaffst dir Zugang durch eine Backdoor, einen aggressiven Eintritt oder durch Schadsoftware. An sich hast du hierbei schon alles erreicht, seltenst - und mit seltenst meine ich fast niemals - wird jemand den Hashkey konvertieren, da dies fast unmöglich ist. Theoretisch ist es möglich durch diverse Tests, aber umso komplizierter das System wird, umso unmöglicher wird das. Einfacherer ist es mit diesem Schlüssel Zugriff zu bekommen - du brauchst ja nicht das Passwort selbst, sondern nur die Gegenprüfung.
Hierbei kommt dann A) ins Spiel, aber ohne Daten abzufangen. Du schickst einen Request mit Hash-Schlüssel und bekommst grünes Signal, dass der Login/Zugriff autorisiert wird.
sie können nur Hashes bruteforcen... oder in Tabellen nach der Lösung suchen...
Die Hashes bekommen sie aus einer "Gehackten" Datenbank z.B. von einer Webseite, die dein Password hatte.
Wenn du irgendwo einen account anlegst, so wird dort in der Regel nicht dein Passwort gespeichert, sondern ein Hashwert, und bei jeder Anmeldung wird deine EIngabe erneut der Berechnung dieses Wertes unterzogen und mit dem gespeicherten Wert verglichen.
Es leuchtet ein, dass das viel sicherer ist als das Speichern der Passworte selbst.
Hacker haben es also schwer mit Hashwerten. An die kommen sie, wenn sie eine Datenbank mit Zugangsdaten knacken. Dann ist es möglich, viele Versuche zu machen, ohne dass eine Sperrung der Eingabe nach x falschen Versuchen dazwischenfunkt.
Indem sie z.b eine Datenbank mit Passworthashes knacken.