03
Feb 2014
Marko

Kann man dein Passwort entschlüsseln?

Wer sich bei einer Internet Seite registriert, muss ein Passwort hinterlegen: logisch.

Zusammen mit einem Benutzernamen wird das gewählte Passwort in eine Datenbank gespeichert. In der Datenbank der Website steht dann so etwas:

name = „schnuckel69“
password = „hasi21“

Wenn man sich nun mit seinen Zugangsdaten anmeldet, sucht die Website ihre Datenbank nach der eingegebenen „Benutzername & Passwort“- Kombination ab und kann so einen Benutzer eindeutig identifizieren.

20131212-085804.jpg

Doof ist jedoch dass,  jemand der Zugriff auf die Datenbank hat auch alle Passwörter lesen kann.

Eine Vertrauenswürdige Website  will eure Passwörter idealerweise überhaupt nicht wissen. Daher ist es eine weit verbreitete Methode Passwörter mit MD5 zu verschleiern.

Dies bedeutet: 

Es ist möglich, von jedem Text einen MD5-Schlüssel zu generieren.

Der MD5-Schlüssel für „hallo welt“ ist:
8b2579f4332f466805d30651b9d6a927

Der MD5-Schlüssel für „hasi21“ sieht so aus:
d41d8cd98f00b204e9800998ecf8427e

Es ist jedoch nicht möglich einen MD5 Schlüssel zurück in den Ausgangstext zu verwandeln. Dsies klingt erst einmal relativ sicher.

Das Problem:

Nun ist es nicht möglich den MD5-Schlüssel wieder zurück in ein Passwort zu verwandeln. Aber da (fast) „jeder“ Text einen „eindeutigen“ Schlüssel  besitzt, ist es möglich eine riesen große Tabelle zu erzeugen in der alle Texte inklusive ihrer Schlüssel stehen. So etwas nennt man (Rainbow Table)

Auf dieser Weise lässt sich ein Bezug von MD5-Schlüssel zu Passwort bilden.

Das klingt erst einmal total aufwändig. Doch dank immer schneller werdenden Computern existieren solche Tabellen bereits und werden stetig größer.

Wie kann man sich schützen:

Problematisch ist natürlich dass man nicht weiß wie genau verschiedene Internetseiten mit euren Passwörtern umgehen. Im Schlimmsten Fall speichert eine Website Passwörter im Klartext. Dann ist eh alles verloren.
Ihr solltet in jedem Fall misstrauisch sein sobald eine Website euch euer eigenes Password zusendet, dass bedeutet immer „die wissen das auch“.

Speichert eine Seite Passwörter als md5 Schlüssel, ist eventuell mit Hilfe einer Rainbow Table möglich euer Passwort zu ermitteln. Gut wäre es dann ein Passwort zu verwenden, was noch nicht in einer solchen Rainbow Table steht.

Und so kontrolliert Ihr die Sicherheit des MD5-Schlüssels Eurer Passwörter:

  1. ermittelt den MD5 Schlüssel eures Passwortes z.B auf über die Seite:
    http://www.md5-generator.de/ (wenn ihr hier z.b. hasi21 eingebt spuckt die Seite so etwas aus b811f64db933298a480be5c43766d824
  2. Nun kopiert ihr genau diesen Schlüssel
  3. Fügt den kopierten Schlüssel bei einem md5 Cracker ein z.b.
    mein Favorit ist http://md5cracker.org/ Update 22.04.2014: Diese Seite hat Neuerdings auch einen MD5 Generator. Hier solltet ihr auf keinen Fall euer Password eingeben. Die Seite diese und dessen Hash. 
  4. Der Cracker stellt nun eine anfrage an verschiedene Rainbow Tables dies kann ca 1 Minute dauern.

Taucht euer Passwort in keinem Ergebnis auf  ist es Komplex genug um noch nicht in einer der Rainbow Table zu stehen.

Taucht es auf, empfehle ich euch das Passwort in ein Etwas Komplexeres zu ändern.

 

 

 

 


2 Kommentare zu "Kann man dein Passwort entschlüsseln?"

  1. Matze.B schreibt:

    Ah, so etwas habe ich schon lange gesucht! So kann ich mal meine zu kurzem PW abklopfen .. Sinnvoller und hilfreicher Artikel.

  2. Marko schreibt:

    Vielen dank.
    direkt mal hier nachschauen, falls du neue benötigst

    http://onkeloki.de/2013/12/12/sichere-passwoerter-mit-diesem-trick-koennt-ihr-euch-alle-merken

Kommentar verfassen