Hallo, ich habe ein Programm welches das eingegebene Passwort als irgendeinen Hash in einer Datei abspeichert: ec 82 3b 84 07 ff fa 3c 123456 a5 2d 9a a2 35 76 30 b9 12345 52 e9 0e cd 2b d5 1b da 1234 a5 d9 7b 72 3a 6a bd e9 1 Ich habe mal testweise einige Passwörter eingegeben um zu gucken wie der Hashalgorithmus funktioniert - aber bisher ohne Erfolg. Hat da jemand eine Idee? Martin
Wenn es ein guter kryptografischer Algorithmus ist, dann bist du chanchenlos. es könnte z.B. die ersten 8 Bytes von md5("geheimerSalt" + passwort) sein Gruß Roland
Wenn du es als programm hast, schaue es dir im irgend einen debuger an ASM ist einfacher als die mathematischen grundlagen für so eine aufgabe hast du schon in rainbow tables nachgeschaut
Hallo, vielleicht sollte ich noch dazu sagen, dass das Programm aus diesem Hash das Passwort wieder rekonstruieren kann um es während der Laufzeit an einen Server zu senden. Martin
Letzteres bezweifle ich (Programm rekonstruiert Pwd...). Vielmehr funktioniert die Validierung eines Pwd so, dass die Pwd-Eingabe ebenfalls gehasht wird und das Ergebnis mit dem abgelegten Hash verglichen wird...
Hallo, ja das ist im Prinzip richtig. Das Programm speichert aber das Passwort damit ich es als Nutzer nicht nochmals eingeben muss. Und damit es nicht jeder in Klartext lesen kann wird es irgendwie verschlüsselt. Und ich würde gerne wissen wie ;-) Martin
Nochmal, es wird nicht das Paßwort irgendwo abgelegt, sondern der Hash-Wert! Alles andere wäre eine Sicherheitslücke, wenn man das Pwd rekontruieren könnte!
Hallo Hashmen, ja wie gesagt das ist ja bei md5 usw so. Aber hier muss definitiv das Passwort wieder zurück gewandelt werden können da sonst keine Anmeldung möglich wäre - es handelt sich also eher um einen Schutz damit das Passwort nicht im Klartext in der Datei steht. Die Frage ist nur wie der Schutz aussieht... Martin
"Nochmal, es wird nicht das Paßwort irgendwo abgelegt, sondern der Hash-Wert!" Nicht unbedingt: Wenn z.B. ein Browser sich die Passwörter merkt, dann wird er diese rekonstruierbar verschlüsseln müssen.
Nein, es soll nicht zurückgewandelt werden. Das würde ja ein unkalkulierbares Sicherheitsrisiko darstellen. Außerdem versendet man so ein Passwort nicht über unsichere Kanäle. Man wird nur den Hashwert an den Server senden. Dieser überprüft ob der empfangene Hashwert mit dem gespeicherten Hashwert des Benutzers übereinstimmt.
Interessant, das Produkt wurde nicht einmal genannt, aber es gibt Wahrsager, die ganz genau wissen, wie es funktioniert...
Peter Stegemann wrote: > Interessant, das Produkt wurde nicht einmal genannt, aber es gibt > Wahrsager, die ganz genau wissen, wie es funktioniert... Ist deine Kristallkugel etwa immernoch in Reperatur? Solltest langsam mal drüber nachdenken ob du dir für die weitere Benutzung dieses Forums keine 2. Kugel besorgst. Ohne die wird es bei gefühlten 10% der Postings sonst echt schwierig... scnr Und jetzt sollte der TE bitte mal damit rausrücken warum er der Meinung ist das Programm könnte aus dem Hash wieder ein Klartext PW basteln. Hast du das irgendwie mitgesnifft oder eine sonstige tiefergehende Begründung dafür das es nicht nur den Hash überträgt?
Hallo, dann fühle ich mich mit TE mal angesprochen ;-) Es handelt sich um einen VPN Client der den Groupname und -passwort in einer Datei speichert. Und das muss er in Klartext haben um den VPN Tunnel aufbauen zu können. Das ist sicher. Wie gesagt die Frage sollte auch eher in die Richtung zielen wie das Passwort in die 8 Hex Zeichen passt bzw ob jemand Erfahrungswerte hat was da in Softwareprodukten so genutzt wird ... Martin
> Und das muss er in Klartext haben um den VPN Tunnel aufbauen zu können.
Das heißt, Dein VPN-Client schickt für den Aufbau eines Tunnels ein
Passwort in Klartext über eine unsichere Leitung???? Das Passwort für
den Zugang zum VPN????
Sowas gibts zum Beispiel als 'KWallet' unter KDE. Das speichert Passwörter verschlüsselt ab und kann sie wieder rekonstruieren. Muss es auch können, denn sonst wäre KWallet nicht universell einsetzbar. Aber: Es ist dann kein Hash mehr, sondern eine 'banale' Verschlüsselung. Hashes haben die Eigenart, idealerweise nicht rekonstruierbar zu sein...
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.