password_hash entschlüsseln wie?
Ich habe eines meiner Passwörter vergessen und habe es nurnoch in einem 60 Zeichen langem hashcode (durch die php Funktion password_hash() generiert)
Wie kann ich diesen entschlüsseln?
Danke im Voraus! :)
5 Antworten
zB mit einem Wörterbuchangriff - JohnTheRipper oder Hashcat!
Du Kannst mit Hashcat und einer Grafikkarte auch gut einen Bruteforce-Angriff fahren.
Meine GTX1660 macht ca. 6350 MH/s (Megahashes pro Sek.) bei MD5. Das wären dann 6.350.000.000 Hashes / Sekunde. Damit wäre ein Passwort das Groß- und Kleinschreibung, Ziffern und Sonderzeichen enthält und 8 Zeichen lang ist in unter 12 Tagen geknackt.
Eine moderne RTX3060 macht 24000 MH/s und ist damit 4x so schnell!
Bei mehr also 8 Zeichen wird Bruteforce nicht mehr klappen denn 9 Zeichen wären dann schon 4-5 Jahre mit meiner Karte und 1-1,2 Jahre mit der RTX3060.
Bei 10 Zeichen erlebst du das ende dann schon gar nicht mehr...
In jeden Fall würde ich die leaks_combined Wortliste zuerst versuchen: https://sourceforge.net/projects/wordlist-collection/
Meld dich doch pers. bei mir - ich hab hier schon einiges im Blickwechsel beantwortet aber du kannst mich gern per Whatsapp anschreiben. Link zur Firma ist in Profil und da ist dann meine Nummer drauf.
Einfach per Whatsapp anschreiben dann schick ich dir eine Sprachnachricht. Sonst muss ich einen ganzen Roman tippen.
Hab grade ein neues Handy bekommen und noch keine Simkarte.
Wird ein bisschen dauern aber Danke! Ich melde mich sobald wie möglich :D
Wäre es über Instagram auch möglich? :)
Hashcodes können nicht entschlüsselt werden.
Man kann aber ganz viele unterschiedliche Passworte zu Hashcodes umrechnen, eine Passwort-Hashcodetabelle anlegen und dann die Hashcodes vergleichen. Sind die Hashes gleich dann hast du das Passwort in deiner Tabelle. Stichwort "Rainbowtable"
Konkret gesprochen: ist dein PW weniger als 6 Zeichen lang ist das kein Problem. Bis 14 Zeichen gegen Geld theoretisch machbar.
Empfehle OPHCrack und Konsorten.
Hast du mehr als 8 Zeichen im Passwort dann hilft nur noch, dass du Vorwissen über dein PW hast: Es ist alles klein ohne Sonderzeichen... Grenzt deutlich ein. Oder mein Schema ist: immer ein # am Ende.
Da gibts dann Toosl, welche das können sollten.
Dann hängt es natürlich noch davon ab, wer den Hash erzeugt hat und wofür das PW war.
Ich verstehe zwar nur Bahnhof. Aber ich bin kein Fan davon, dass Dir hier jemand eine Anleitung zum Hacken gibt. Entweder hast Du Deine Passwörter im Kopf oder - wie ich - irgendwo auf einer losen-Blatt-Sammlung, wo sie keiner vermutet versteckt. Dann habe ich immer Zugriff.
Das soll keine Anleitung zum hacken sein, das ist ja nur cracken meines verschlüsselten Passworts..
Im Nachhinein auf nen Zettel schreiben ist irgendwie schwierig ;)
Ich meinte auch nicht im Nachhinein - sondern, sobald das Passwort erstellt wird. Klingt logisch - oder?
Klar, aber ich hab das Problem ja jetzt.. (also es ist nicht wirklich ein großes Problem, da es ich ja mehr als nur 1 Passwort habe, aber dennoch will ich es ja jetzt wieder haben..)
password recover ist nun mal gang und gebe . hat auch nichts verbrecherisches . das macht nur dein kopf daraus weil du jedem böses unterstellst . ein system ist sicher wenn alle bekannten methoden sicher sind . und nciht durch verheimlichen sicher scheinen .
Na dann Danke für die Aufklärung! Man weiß ja nie, wen man hier als Fragesteller vor sich hat ...
Aber ich bin kein Fan davon, dass Dir hier jemand eine Anleitung zum Hacken gibt.
Ich schon - das sollte in Schulen unterrichtet und verpflichtend einmal jährlich in Firmen aufgefischt werden. Dann wären 95% der Cyberkiminellen arbeitslos weil keiner mehr auf deren Taschenspielertricks reinfällt!
Es ist im Moment kein Rechner mehr sicher weil 9 von 10 Usern ohne Ahnung vom IT-Sicherheit herumstolpern.
Ich nutze zB eine richtige Firewall mit entsprechenden Logs und kann dir sagen auf meiner IP prasseln täglich 4-6000 "Anfragen" herein die geblockt werden. Ich will das nicht Angriffe nennen aber es sind zum Großteil zumindest Tests darauf ob ein Angriff möglich wäre.
Ich bekomme fast jeden Tag SPAM- und Phishing-Mails und ich stoße im Internet täglich auf "Werbung" die mich manipulieren will Schadware oder sonst einen Quatsch herunterzuladen.
Virenscanner und Firewalls kann jeder 12jährige nach 2 oder 3 Youtube Videos austricksen...
Kurz um, kleinen Kindern bringen wir bei wie man sich "sicher" in unserer Welt bewegt und sie lernen nach links und rechts zu sehen, Zebraastreifen zu nutzen und auf die grüne Ampel zu warten bevor sie eine Straße überqueren. Sie lernen nicht auf die heiße Herdplatte zu greifen, nicht mit Metallstücken in der Steckdose zu popeln und nicht mit Messern oder anderen spitzen Gegenständen in der Hand zu laufen und 1000 andere Dinge.
Auf der anderen Seite stolpern so viele völlig ahnungslos und blind durch das Internet das es mich ehrlich gesagt wundert, dass nicht noch mehr passiert.
Es wird langsam Zeit, dass alle Leute lernen die Gefahren im Internet und am PC zu erkennen und auch zu vermeiden. Dazu muss man aber verstehen was da passiert!
War leider mit dem bearbeiten zu langsam - wollte nur noch anmerken, dass im Darknet gehackte Rechner und IoT-Geräte für wenige USD / Gerät verkauft werden.
Es gibt also viele viele tausend Geräte die bereits "gehackt" sind, aber bis jetzt hat es noch keiner gemerkt und es hat noch keiner den Zugriff genutzt.
Ich habe als IT-Forensiker oft Systeme gesehen die Monatelang infiziert waren und Webserver auf denen sich Scriptkiddies quasi die Türklinke in die Hand gaben.
Was wir also so mitbekommen ist nur der Anteil der Systeme die bereits genutzt wurden und bei denen dann auch etwas passiert ist - komisches Verhalten des Systems oder eine Anzeige und Ermittlungen der Polizei...
Ich hatte bei einer Untersuchung einen Server dessen RDP-Zugang über die öffentliche IP erreichbar war. Auf dem hatte ich 26 RDP-Logins und ich konnte nur zwei davon legitimen Servicetechnikern zuordnen.
Es waren also 24 unberechtigte Logins in den Eventlogs und einer davon hatte so viel Mist gebaut, dass die Polizei bei der Firma nachfragte. Aber was haben die 23 anderen gemacht?
90-95 der Angriffe sind "Taschenspielertricks" von Scriptkiddies aber es fallen dennoch so viele darauf rein. Genau darum denke ich, dass es besser ist wenn jeder diese Taschenspielertricks kennt. Dann würden 90-95% der Cyberkriminellen kaum noch Opfer finden.
Wenn du im Darknet mal schaust welche Menge an Daten (Konten, Kreditkartendaten, Zugangsdaten, usw.) angeboten werden, dann sollte dir schlecht werden...
wörterbuchattacke falls das Passwort so einfach ist. wenn es kurz ist brute-force bei gleichzeitigen abschalten aller sicherheitsmechanismen wie Zeitverzögerung oder Sperrung)
Also Bruteforce ist eigentlich sowas?:
Pseudocode
while(oldpasswordinhash!=password_hash(alphabet[i] )){
passwort=alphabet[i]+alphabet[e]+...
i++;
}
print("Gefunden das Passworts lautet "+passwort;
bruteforce:
1. A
2. B
27. AA
usw. usw
wörterbuchatacke: man nehme ein wörterbuch, hashe alle wörter und vergleiche sie mit dem Hash von deinem Passwort. Sind die Hashs identisch hast du das passwort (was natürlich nur geht wenn man so spezialisten hat wie Passwort "Passwort", geheim, f...ken oder auch 123456.
gar nicht , nur brute forcen .
den das ist der sinn eines hashes , er funktioniert nur in eine richtung .
jede kombination ausprobieren . ein hübsches ding um sich gleich mal im programmieren zu üben . wenn du wenigstens noch das meiste des passwortes weisst, dan sind deine lösungsmöglichkeiten sogar in einer gewissen zeit möglich . weisst du gar nichts, brauchst du es auch nicht versuchen bei einem passwort das nicht in einem standardwörterbuch vorkommt oder unter 8 zeichen ist .
Ui, ich hab mir nämlich grade erst eine 3060 gekauft :o
Danke für deine Hilfe!
Was anderes:
Ich würde gerne mal Pentester werden. Wie genau sieht da so der Alltag aus, was muss ich machen/erreicht haben, dass ich einer werde? :)