Forum: PC-Programmierung Passwort Hashformat

Wenn es ein guter kryptografischer Algorithmus ist, dann bist du 
chanchenlos.

es könnte z.B. die ersten 8 Bytes von
  md5("geheimerSalt" + passwort)
sein

Gruß
Roland

Wenn du es als programm hast, schaue es dir im irgend einen debuger an

ASM ist einfacher als die mathematischen grundlagen für so eine aufgabe

hast du schon in rainbow tables nachgeschaut

Hallo,

vielleicht sollte ich noch dazu sagen, dass das Programm aus diesem Hash 
das Passwort wieder rekonstruieren kann um es während der Laufzeit an 
einen Server zu senden.


Martin

Letzteres bezweifle ich (Programm rekonstruiert Pwd...). Vielmehr 
funktioniert die Validierung eines Pwd so, dass die Pwd-Eingabe 
ebenfalls gehasht wird und das Ergebnis mit dem abgelegten Hash 
verglichen wird...

Hallo,

ja das ist im Prinzip richtig. Das Programm speichert aber das Passwort 
damit ich es als Nutzer nicht nochmals eingeben muss. Und damit es nicht 
jeder in Klartext lesen kann wird es irgendwie verschlüsselt. Und ich 
würde gerne wissen wie ;-)


Martin

vlt. Blowfisch, ist glaub 8 Byte aligned
schau halt mal nach dem Schlüssel

Nochmal, es wird nicht das Paßwort irgendwo abgelegt, sondern der 
Hash-Wert! Alles andere wäre eine Sicherheitslücke, wenn man das Pwd 
rekontruieren könnte!

Hallo Hashmen,

ja wie gesagt das ist ja bei md5 usw so. Aber hier muss definitiv das 
Passwort wieder zurück gewandelt werden können da sonst keine Anmeldung 
möglich wäre - es handelt sich also eher um einen Schutz damit das 
Passwort nicht im Klartext in der Datei steht.
Die Frage ist nur wie der Schutz aussieht...

Martin

"Nochmal, es wird nicht das Paßwort irgendwo abgelegt, sondern der
Hash-Wert!"

Nicht unbedingt: Wenn z.B. ein Browser sich die Passwörter merkt, dann 
wird er diese rekonstruierbar verschlüsseln müssen.

Nein, es soll nicht zurückgewandelt werden. Das würde ja ein 
unkalkulierbares Sicherheitsrisiko darstellen. Außerdem versendet man so 
ein Passwort nicht über unsichere Kanäle. Man wird nur den Hashwert an 
den Server senden. Dieser überprüft ob der empfangene Hashwert mit dem 
gespeicherten Hashwert des Benutzers übereinstimmt.

Interessant, das Produkt wurde nicht einmal genannt, aber es gibt 
Wahrsager, die ganz genau wissen, wie es funktioniert...

Hallo,

dann fühle ich mich mit TE mal angesprochen ;-)
Es handelt sich um einen VPN Client der den Groupname und -passwort in 
einer Datei speichert. Und das muss er in Klartext haben um den VPN 
Tunnel aufbauen zu können. Das ist sicher.
Wie gesagt die Frage sollte auch eher in die Richtung zielen wie das 
Passwort in die 8 Hex Zeichen passt bzw ob jemand Erfahrungswerte hat 
was da in Softwareprodukten so genutzt wird ...


Martin

> Und das muss er in Klartext haben um den VPN Tunnel aufbauen zu können.
Das heißt, Dein VPN-Client schickt für den Aufbau eines Tunnels ein 
Passwort in Klartext über eine unsichere Leitung???? Das Passwort für 
den Zugang zum VPN????

Sowas gibts zum Beispiel als 'KWallet' unter KDE. Das speichert 
Passwörter verschlüsselt ab und kann sie wieder rekonstruieren. Muss es 
auch können, denn sonst wäre KWallet nicht universell einsetzbar.

Aber: Es ist dann kein Hash mehr, sondern eine 'banale' Verschlüsselung. 
Hashes haben die Eigenart, idealerweise nicht rekonstruierbar zu sein...