www.mikrocontroller.net

Forum: PC-Programmierung Passwort Hashformat


Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

ich habe ein Programm welches das eingegebene Passwort als irgendeinen 
Hash in einer Datei abspeichert:

ec 82 3b 84 07 ff fa 3c    123456
a5 2d 9a a2 35 76 30 b9    12345
52 e9 0e cd 2b d5 1b da    1234
a5 d9 7b 72 3a 6a bd e9    1

Ich habe mal testweise einige Passwörter eingegeben um zu gucken wie der 
Hashalgorithmus funktioniert - aber bisher ohne Erfolg.
Hat da jemand eine Idee?


Martin

Autor: Roland Praml (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn es ein guter kryptografischer Algorithmus ist, dann bist du 
chanchenlos.

es könnte z.B. die ersten 8 Bytes von
  md5("geheimerSalt" + passwort)
sein

Gruß
Roland

Autor: gcho (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn du es als programm hast, schaue es dir im irgend einen debuger an

ASM ist einfacher als die mathematischen grundlagen für so eine aufgabe

hast du schon in rainbow tables nachgeschaut

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

vielleicht sollte ich noch dazu sagen, dass das Programm aus diesem Hash 
das Passwort wieder rekonstruieren kann um es während der Laufzeit an 
einen Server zu senden.


Martin

Autor: Hashmen (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Letzteres bezweifle ich (Programm rekonstruiert Pwd...). Vielmehr 
funktioniert die Validierung eines Pwd so, dass die Pwd-Eingabe 
ebenfalls gehasht wird und das Ergebnis mit dem abgelegten Hash 
verglichen wird...

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

ja das ist im Prinzip richtig. Das Programm speichert aber das Passwort 
damit ich es als Nutzer nicht nochmals eingeben muss. Und damit es nicht 
jeder in Klartext lesen kann wird es irgendwie verschlüsselt. Und ich 
würde gerne wissen wie ;-)


Martin

Autor: j-x (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
vlt. Blowfisch, ist glaub 8 Byte aligned
schau halt mal nach dem Schlüssel

Autor: Hashmen (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nochmal, es wird nicht das Paßwort irgendwo abgelegt, sondern der 
Hash-Wert! Alles andere wäre eine Sicherheitslücke, wenn man das Pwd 
rekontruieren könnte!

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo Hashmen,

ja wie gesagt das ist ja bei md5 usw so. Aber hier muss definitiv das 
Passwort wieder zurück gewandelt werden können da sonst keine Anmeldung 
möglich wäre - es handelt sich also eher um einen Schutz damit das 
Passwort nicht im Klartext in der Datei steht.
Die Frage ist nur wie der Schutz aussieht...

Martin

Autor: mr.chip (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
"Nochmal, es wird nicht das Paßwort irgendwo abgelegt, sondern der
Hash-Wert!"

Nicht unbedingt: Wenn z.B. ein Browser sich die Passwörter merkt, dann 
wird er diese rekonstruierbar verschlüsseln müssen.

Autor: Mathi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nein, es soll nicht zurückgewandelt werden. Das würde ja ein 
unkalkulierbares Sicherheitsrisiko darstellen. Außerdem versendet man so 
ein Passwort nicht über unsichere Kanäle. Man wird nur den Hashwert an 
den Server senden. Dieser überprüft ob der empfangene Hashwert mit dem 
gespeicherten Hashwert des Benutzers übereinstimmt.

Autor: P. S. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Interessant, das Produkt wurde nicht einmal genannt, aber es gibt 
Wahrsager, die ganz genau wissen, wie es funktioniert...

Autor: Tim T. (tim_taylor)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter Stegemann wrote:
> Interessant, das Produkt wurde nicht einmal genannt, aber es gibt
> Wahrsager, die ganz genau wissen, wie es funktioniert...

Ist deine Kristallkugel etwa immernoch in Reperatur? Solltest langsam 
mal drüber nachdenken ob du dir für die weitere Benutzung dieses Forums 
keine 2. Kugel besorgst. Ohne die wird es bei gefühlten 10% der Postings 
sonst echt schwierig...

scnr

Und jetzt sollte der TE bitte mal damit rausrücken warum er der Meinung 
ist das Programm könnte aus dem Hash wieder ein Klartext PW basteln.
Hast du das irgendwie mitgesnifft oder eine sonstige tiefergehende 
Begründung dafür das es nicht nur den Hash überträgt?

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

dann fühle ich mich mit TE mal angesprochen ;-)
Es handelt sich um einen VPN Client der den Groupname und -passwort in 
einer Datei speichert. Und das muss er in Klartext haben um den VPN 
Tunnel aufbauen zu können. Das ist sicher.
Wie gesagt die Frage sollte auch eher in die Richtung zielen wie das 
Passwort in die 8 Hex Zeichen passt bzw ob jemand Erfahrungswerte hat 
was da in Softwareprodukten so genutzt wird ...


Martin

Autor: Mathi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Und das muss er in Klartext haben um den VPN Tunnel aufbauen zu können.
Das heißt, Dein VPN-Client schickt für den Aufbau eines Tunnels ein 
Passwort in Klartext über eine unsichere Leitung???? Das Passwort für 
den Zugang zum VPN????

Autor: Sven P. (haku) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sowas gibts zum Beispiel als 'KWallet' unter KDE. Das speichert 
Passwörter verschlüsselt ab und kann sie wieder rekonstruieren. Muss es 
auch können, denn sonst wäre KWallet nicht universell einsetzbar.

Aber: Es ist dann kein Hash mehr, sondern eine 'banale' Verschlüsselung. 
Hashes haben die Eigenart, idealerweise nicht rekonstruierbar zu sein...

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.