Wie klauen Hacker Hashwerte zur Passwortermittlung?

5 Antworten

Ich hab das bei Amazon erlebt. meine hinterlegten Kreditkartendaten wurden missbraucht. Die hacken sich in den Amazon-Server und ziehen die Daten raus.

Wie es technisch geht, weiß ich nicht.

Allerdings war ich mit ca. 2.000 Euro betroffen. Zum Glück hat die Kreditkartengesellschaft das gemerkt meine Karte gesperrt und ich musste das nicht bezahlen.

Aber was das mit der Psyche ausmacht, der Stress den man damit hat, die Angst dass das Geld vom Konto abgebucht wird - ich möchte gerne mit dem Täter allein in einem schalldichten Raum sein, der Täter gefesselt an einem Stuhl. Geknebelt nicht, schreien darf er.

4

Ich kann mir vorstellen, welche Angst da einen überkommt, tut mir sehr leid! Ich persönlich halte Amazon aber grundsätzlich auch nicht für sicher ohne einer zweistufigen Authentifizierung. Hoffentlich passiert dir das kein zweites Mal, alles Gute :)

1

Da kommt verschiedenes in Frage, von eienr SQL-Injection, über fehlerhafte Rechtevergabe, Fehlkonfigurationen, andere Programmierfehler (neben der SQL-Injection).

Die Liste ist ausdrücklich nicht erschöpfend.

Also da wären Angriffe in einigen Kategorien denkbar

1) Aufgrund von Fehlern in der Webseite / im Webserver / in der Scriptsprache:

  • SQL-Injection - zB so: https://hackenlernen.com/blog.php?t=sqlmap_crashkurs
  • Mit XSS aus Cookies - dazu gibt es auch was im Blog
  • Mit einem Dateiupload - so kann man eine PHP-Shell hochladen und dann rect komfortabel auf dem Server arbeiten... siehe "SYPPS - Eine PHP-Shell stellt sich vor" im Blog
  • Manche Seiten führen auch Systemkommandos aus - immer wenn da in dem Kommando auch Usereingaben oder Daten die der User irgendwie anders (Link, Cookie, ...) sendet verarbeitet werden, besteht auch die Chance dort die Daten zu manipulieren und ein weiteres Systemkommando auszuführen.
  • Fehler in der Scriptsprache - es gab zB mal einen in PHP der es erlaubte den Quellcode zu sehen wenn man einen bestimmten URL-Parameter anhing - da in irgendeiner der Code-Dateien das DB-Passwort in der Regel im Klartext drinsteht reichte es sich einfach von der index.php bis zu der Datei die die Verbindung aufbaut durchzuarbeiten...
  • Durch Fehler im Webserver könnte es zB möglich sein eine Shell zu öffnen oder irgendwie anders Befehle auszuführen.

2) Direkte Angriffe auf eine Webseite ohne die vorherigen Fehler

  • Bruteforce gegen das Admin-, FTP-, SSH-, Email-, ...-Passwort - zB mit Hydra
  • Versteckte Datein / Ordner und Sicherungsdateien aufdecken - zB mit dirb (dirbuster) oder Google-Hacking. Oftmals legen Editoren beim Speichern eine .bak-Datei als Sicherung an und manchmal landen die Dateien dann am Server und .bak-Dateien können dann einfach angezeigt werden wie eine HTML-Datei nur das darin das Script bzw. ein Teil davon enthalten ist.

3) Angriffe auf den Betreiber

  • Abfangen von Passwörtern in einem öffentlichen WLAN - MITM-Angriff
  • Stehlen von Passwörtern mit einem Trojaner - MITM im Firmennetzwerk und gespeicherte Passwörter aus dem Browser
  • Verärgerte (aktuelle und ehemalige) Mitarbeiter die Firmengeheimnisse ausplaudern oder veröffentlichen.
  • Sozial Engeneering - klappt auch erstaunlich oft
  • Angriffe auf das Firmennetzwerk - Bruteforce gegen einen RDP-Dienst, SSH, etc. oder diverse Fehler/Fehlkonfigurationen in öffentlich angebotenen Diensten können Zugriff auf das Firmennetzwerk erlauben und dann hangelt man sich von PC zu PC weiter bis man Zugangsdaten findet oder greift welche mit MITM ab

4) Zufällige Glückstreffer

  • Wiederherstellen von Emails/Dokumenten/Browser-Installationen aus gebrauchten Festplatten - ja löschen hilft nicht viel wenn man es nicht mit einem Shredder macht...

Auf die schnelle hab ich sicher noch einige weitere vergessen ;-)

Mit welchem Hash oder Verschlüsselung sollte eine E-Mail Adresse in einer Datenbank gespeichert werden?

Hallo zusammen,

eine E-Mail Adresse soll in einer MySQL Datenbank gespeichert werden. Wie bei einem Kennwort sollte der Datensatz meiner Meinung nach auch bei einer E-Mail Adresse verschlüsselt in der Datenbank gespeichert werden.

Es handelt sich hierbei um eine Formulareingabe des Nutzers durch PHP und HTML. Programmiert wird demnach in PHP, für Passwörter gibt es die Methode PASSWORD_HASH - siehe http://php.net/manual/de/function.password-hash.php

.

Nun zu den Fragen:

Sollte man eine E-Mail, welche in einer Datenbank gespeichert werden soll, verschlüsseln, oder als Hashwert speichern?

Welche Verschlüsselung oder alternativ Hashwert (SHA-1, SHA-256, SHA-512, MD5 ...) sollte man für das sichere Speichern einer E-Mail Adresse verwenden?

Vielen Dank!

...zur Frage

WIe hacke ich ein Email oder Facebook Passwort?

Also, ich bin kein Stalker oder Hacker im eigentlichen Sinne weshalb ich hierfür auch eure Hilfe gebrauchen könnte. Es geht um meine Tochter die sich, wie ich vermute, im Internet mit Männern schreibt. Meine Tochter ist jedoch erst 12. Vor 2 Wochen war sie bis 23 Uhr weg und die Polizei suchte schon nach ihr, Dann kam sie nach Hause unter Tränen und wollte mir nicht sagen wo sie war. Nun versuche ich über ihre sozialen Medien irgendwas herauszufinden. Vielleicht ist ihr etwas zusgestoßen und ich kann Nachrichten sehen von potenziellen Tätern oder von Freunden mit denen sie vielleicht über das geredet hat was passiert sein könnte. Ich mache mir also nur Sorgen. Und mir geht es lediglich darum. Ich meine wir waren alle mal jung und der rest interessiert mich wirklich nicht, Ich Liebe meine Tochter, aber wenn sie nicht mit mir redet muss ich mir versuchen hier Hilfe zu holen, Benutzername und Email habe ich. Nur eben leider keine Passwörter. Lg

...zur Frage

Was möchtest Du wissen?