John the Ripper knackt ZIP Passwort
6 years ago in #zip by sempervideo (59)
$1.65
- Past Payouts $1.65
- - Author $1.44
- - Curators $0.20
395 votes
- huch: $0.26
- schlees: $0.12
- okean123: $0.09
- fw206: $0.08
- security101: $0.07
- minnowsupport: $0.06
- argalf: $0.06
- warofcraft: $0.05
- sempervideo: $0.05
- eisenbart: $0.04
- snarf: $0.04
- melvin7: $0.03
- mkt: $0.03
- flugschwein: $0.03
- schlunior: $0.03
- enigm4: $0.03
- serylt: $0.02
- ryu1337: $0.02
- abwasserrohr: $0.02
- ibc: $0.02
- and 375 more
Krass geht das fix. Wäre noch toll gewesen, wenn da jetzt als zweites Beispiel ein etwas komplexeres Passwort getestet worden wäre. Aber kann man ja auch fix selbst machen :)
Auf jeden Fall ne coole Sache. Könnte gegebenenfalls sehr nützlich sein :)
Danke euch vielmals für den Hinweis und das kleine Tutorial!! <3
.
Ist es nicht so, dass das Programm einfach ein Passwort rät, den Hash generiert, und dann guckt, ob er mit dem Hash aus dem Zip übereinstimmt? Die Schnelligkeit hier liegt vermutlich daran, dass nur aus Ziffern bestehende Passwörter zuerst getestet werden. Also wie wenn beim Fahrradschloss die tatsächliche Kombination 1234 schneller geknackt ist als 9876, einfach nur, weil die Kombination beim Raten früher auftaucht.
Wahrscheinlich kann man John the ripper auch noch konfigurieren, sodass die geratenen Kombination in anderer Reihenfolge auftauchen.
Was ist das den für eine upload Zeit? Und sehr schön das endlich mal wieder solche Videos kommen.
Sehr interessant! Vor allem, da viele Krypto-Anfänger ihre Passwörter einfach in einer .txt-Datei innerhalb eines RAR-/ZIP-Archivs inkl. Passwort "sichern".
Weiter so!
Aus dem Video ist nicht wirklich hervor gegangen, wie "john-the-ripper" nun den hash knackt und warum er schneller ist. Im grunden kann man doch nur Hash werte auf Passwörter durch brute-force mappen (NP-Problem) oder ist der zip Hash extra Schwach und man kann gewisse Annhamen machen?
.
Natürlich wird nur der Hash überprüft und nicht versucht zu entpacken, das Passwort muss aber immer noch jedes mal gehasht werden, bei einem brute force generiert man mögliche Passwörter und hasht die um eben zum Hash, der mit dem Hash vom Zip Packet verglichen wird, das dazugehörige Passwort zu wissen und bei einem Match diesen auszugeben.
Man kann nicht direkt vom Hash zum Passwort kommen.
Klar kann man in gewissen maße auf ein Password Standard optimieren, aber man muss immer noch jedes mal ein zufälliges Password generieren und dann X mal Hashen um zu testen ob der Passwort passt, hat alles nichts mit dem Zip Packet selber zu tun und ist für jeden Algortihmus den man knacken will gleich. Deshalb weiß ich nicht warum der hier gezeigte Mechanismus nun so besser sein soll, außer Optimierung auf ZIP Passwörter...
Ich hatte letztens den Fall, dass ich eine 7-Zip Datei (.7z) hätte knacken müssen. Gibt es dazu auch Brutforce-Programme?
geht auch mit John the Ripper. Einfach --format=7z als Parameter verwenden. Grüße.
Dann heißt das ja eigentlich das man das nicht nur für zip. benutzen kann. Ich kann mir vorstellen das man so auch andere sachen knacken kann.??
Ich denke schon, solange man weiß, mit welchem Algorithmus der Hash erstellt wurde. Das ist hier wahrscheinlich im "Format"-parameter enthalten.
Kommen die Hash-werte die verglichen werden nicht aus einer Datei ?
Das dauert ja sonst ewig für jeden versuch einen Hash zu erstellen.
Das eröffnet ganz andere Möglichkeiten denn, jedoch stell ich mir die Frage ob es nur auf Dateien bezogen ist oder ob man damit auch ganze Benutzer konten knacken kann wie ein Server Admin Konto oder Windows Konto, weil dann währe nichts mehr sicher nach aktuellen Stand.
In der Theorie kannst du alle Kennwörter damit knacken, wenn du den entsprechenden Hash besitzt und der Hashalgorithmus von dem Tool unterstützt wird.
Die Geschwindigkeit hängt hierbei sehr stark davon ab, wie komplex das Kennwort ist. In der Praxis ist solch ein Angriff auf ein sehr „starkes“ Kennwort nicht sinnvoll, da es viel zu lange dauern würde das Kennwort zu dem Hashwert zu finden.
Ich würde annehmen, dass du nur zip-archive knacken kannst.
Alleine um die Hash-Werte vom Computer dessen Admin/SuperUser Account du knacken willst muss man schon Administrator/SuperUser sein, die gehashten Passwörter zu lesen.
Sobald du das Hash vom Passwort lesen kannst, kannst du natürlich immer einen brute-force dagegen durchführen.
Deswegen immer schön lange, komplizierte Passwörter verwenden 😅
very informational video.
Anfürsich ein top Video aber wie Lange Braucht der jetzt für ein vernünftiges passwort mit z.B. 7 stellen incl Sonderzeichen nur Tage oder eher Jahre
Hätte sowas früher mal gebraucht ^^ Währe noch interessant gewesen zu sehen wie lange so ein komplexeres Passwort mit Zeichen wie "0-9A-Za-z_-§$%&" und über 10 Zeichen gedauert hätte :D
Vllt für Windows dann.
Congratulations! This post has been upvoted from the communal account, @minnowsupport, by Elektr1ker from the Minnow Support Project. It's a witness project run by aggroed, ausbitbank, teamsteem, someguy123, neoxian, followbtcnews, and netuoso. The goal is to help Steemit grow by supporting Minnows. Please find us at the Peace, Abundance, and Liberty Network (PALnet) Discord Channel. It's a completely public and open space to all members of the Steemit community who voluntarily choose to be there.
If you would like to delegate to the Minnow Support Project you can do so by clicking on the following links: 50SP, 100SP, 250SP, 500SP, 1000SP, 5000SP.
Be sure to leave at least 50SP undelegated on your account.
Also wenn das nur die Hashwerte miteinander verglicht dann verstehe ich nicht wie das funktionieren soll. Bei moderner Verschlüsselung ist es ja so dass der Hashwert ja jedes mal anders ist. Also wenn ich zum ersten Mal das Passwort "sicher" verwende hat das doch einen anderen Wert als wenn ich das "sicher" Passwort zu einer anderen CPU Clocktime verwende.
Wie sollte das funktionieren dann könnte das Programm doch gar nicht prüfen ob das pw stimmt wenn immer ein ander hash rauskommt bei gleicher Eingabe