1. Zuhause
  2. Frage und Antwort
  3. Können Sie das Passwort-Hash-Schema herausfinden?

Können Sie das Passwort-Hash-Schema herausfinden?

2010-06-07 1 views
11

Ich habe zwei Passwörter und zwei resultierende Hashes. Ich kann nicht herausfinden, wie der Hash vom Passwort abgeleitet wird. Ich weiß nicht, ob das Salzen verwendet wird. Ich weiß nicht, ob das Passwort als Integer-Wert oder als String (möglicherweise Unicode) hashed wird.Können Sie das Passwort-Hash-Schema herausfinden?

Passwort: 6770 Hash: c12114b91a3841c143bbeb121693e80b

Passwort: 9591 Hash: 25238d578b6a61c2c54bfe55742984c1

Die Hash-Länge scheint MD5 vorzuschlagen. Hat jemand Ideen was ich ausprobieren könnte?

Hinweis: Dies ist nicht für Hacking-Zwecke. Ich versuche, über eine API auf einen Dienst zuzugreifen, anstatt auf den Desktop-Client, und ich kann nicht herausfinden, wie der Kennwort-Hash berechnet wird. Momentan sende ich nicht mein richtiges Passwort, sondern direkt den Hash.

Quelle

2010-06-07 Meh

Antwort

28

googeln diese Hash-Werte nach oben (!) Zeigt, dass 25238d578b6a61c2c54bfe55742984c1 die md2sum ist von „9591“ (source), und dass vor Ort hat eine andere Seite das gleiche für 6770 und die ersten Hash-Wert bestätigt (source2).

(Edit: Ich habe da die Hashes einige md2 Quellcode und gegengeprüft gegoogelt up.)

(Edited wieder Kommentar: Sie sind unglaublich glücklich, dass diese API ohne eine solche schreckliche Hashing-Schema verwendet Salzen oder Präfixe! :-))

Quelle

2010-06-07 13:32:37 crazyscot

+10

Schöne Erinnerung für wie schlecht ungesalzene Passwort Hashing ist. –

+1

+1 - Eigentlich nicht daran gedacht, den Hash selbst zu googeln. –

3

Die API-Dokumentation sagt nicht? Seltsam.

Im Prinzip ist dies ein unmögliches Problem - eine beliebige Anzahl verschiedener Hash-Algorithmen kann in jeder gegebenen Anzahl von Fällen die gleichen Ergebnisse liefern und beim ersten Mal ein anderes Ergebnis liefern.

In der Praxis können Sie jedoch wahrscheinlich ein paar gängige Kryptohash-Algorithmen ausprobieren und sehen, was sie Ihnen geben. Wenn man in einigen zufällig ausgewählten Fällen übereinstimmt, ist es wahrscheinlich richtig. Eine böswillige Person könnte z. B. einige Zeichen neu zuordnen ("2" für "3" oder was auch immer ändern - das würden Sie mit Ihren Beispielpasswörtern nicht bemerken), bevor Sie den Haupthashalgorithmus anwenden, aber in echten Apps ist das unwahrscheinlich.

BTW - ein vierstelliges Passwort ist ungefähr so ​​sicher wie überhaupt kein Passwort.

Quelle

2010-06-07 13:42:47 Steve314

 Verwandte Themen

  • Keine verwandten Themen^_^