Hallo,
eine Site speichert bei mir in einem Cookie auch ein Passwort, allerdings verschlüsselt. Weiß jemand ob das ein allgemein bekannter Chiffre ist?
So sieht der Inhalt aus: ##118697024146765781.
Zwei Rauten, dann eine 18-stellige Zahl.
Weiß jemand weiter?
Dank. Frosch.
Hallo,
selbst wenn du das wüsstest: aus dem Hash kann das Passwort nicht ermittelt werden, das ist ja der Sinn der Sache.
Gruss Reinhard
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo,
eine Site speichert bei mir in einem Cookie auch ein Passwort,
allerdings verschlüsselt. Weiß jemand ob das ein allgemein
bekannter Chiffre ist?
Bist du dir sicher, dass wirklich das Passwort verschlüsselt gespeichert wird, und nicht einfach eine Zufallszahl als Session-ID?
Grüße,
Moritz
selbst wenn du das wüsstest: aus dem Hash kann das Passwort
nicht ermittelt werden, das ist ja der Sinn der Sache.
das ist mir schon klar, aber es gibt ja so was wie eine Brute-Force-Attacke… 
Bist du dir sicher, dass wirklich das Passwort verschlüsselt
gespeichert wird, und nicht einfach eine Zufallszahl als
Session-ID?
ja, mittlerweile. Es wird nämlich auch die E-Mail-Adresse und das Geschlecht gespeichert, und:
Ich war gerade auf der Site, jetzt hab ich zwei Session-Cookies bekommen (sessioncreate(Datum), bdaysesseion(Hash(15stellig))), „Password“ wird also doch ein Passwort sein.
das ist mir schon klar, aber es gibt ja so was wie eine
Brute-Force-Attacke…
Auch mittels Brute-Force kann man aus einem Hash nicht den Inhalt wiederherstellen.
Ein Hash-Wert ist ja nicht eindeutig. Verschiedene Dateien bzw Inhalte können denselben Hashwert haben.
Beispiel - Hashwert eines Datums:
H := (Stelle des Anfangsbuchstabens des Monatsnamens im Alphabet) - Tag + zweistellige Jahreszahl
17.01.1984 => H = 77 (10 - 17 + 84)
17.06.1984 => H = 77 (10 - 17 + 84)
28.03.1992 => H = 77 (13 - 28 + 92)
02.09.1960 => H = 77 (19 - 02 + 60)
02.09.1860 => H = 77 (19 - 02 + 60)
Wenn ich mit dieser Methode mein Geburtsdatum hashe, dann bekomme ich als Ergebnis 77. Das nützt dir aber nicht viel, da du daraus trotzdem nicht mein Geburtsdatum ermitteln kannst, denn alle obigen Daten haben den Hashwert 77. Und nein: Mein Geburtsdatum ist da noch nicht dabei.
Prinzipiell ist das so ähnlich auch bei beliebigen anderen Hashfunktionen, auch wenn die Kollisionen bei „richtigen“ Hashfunktionen natürlich deutlich seltener sind.
Ein Hash-Wert ist ja nicht eindeutig. Verschiedene Dateien bzw
Inhalte können denselben Hashwert haben.
wenn es ein sicherer Hash sein soll, dann werden wohl wenig Kollisionen möglich sein, ansonsten müsste das Passwort ja nicht gehasht werden, oder?
Aber: Du weißt nicht, ob das ein Hash ist? Kennst du irgendeinen bekannteren, der dieses Format hat?
lg frosch.
wenn es ein sicherer Hash sein soll, dann werden wohl wenig
Kollisionen möglich sein, ansonsten müsste das Passwort ja
nicht gehasht werden, oder?
Wozu das Passwort gehasht auf deinem Rechner abgelegt werden sollte, ist sowieso fraglich. Auf die Schnelle fällt mir dazu kein vernünftiger Grund ein.
Und wie gesagt: Auch „sichere“ Hashes haben Kollisionen. Wenn du z.b. ein MD5 oder SHA-1 Hash hast, dann kannst du daraus auch nicht schließen, welcher Inhalt verwendet wurde, um das Hash zu erzeugen. Es gibt nämlich unendlich viele Möglichkeiten, trotz der geringen Kollisionszahl.
Aber: Du weißt nicht, ob das ein Hash ist? Kennst du
irgendeinen bekannteren, der dieses Format hat?
Ich glaube nicht, dass das ein Hash ist. Es ist zumindest kein bekannter Hashalgorithmus. Die haben ausnahmslos alle eigentlich mindestens 128bit und die Zahl von dir hat max 59bit. Das wäre auch sehr ungewöhnlich, weil die Länge eines Hashwertes normalerweise in ganze Byte aufteilbar ist, was bei 59bit nicht der Fall ist.
Außerdem werden die Hashwerte normalerweise im Hexadezimalsystem notiert, und nicht im Dezimalsystem.
Ich denke, dass es sich dabei um eine Art ID handelt, wofür auch immer.
Es gibt nämlich unendlich viele Möglichkeiten, trotz der geringen :Kollisionszahl.
…natürlich. theoretisch. praktisch sind die Möglichkeiten wohl doch eingeschränkt.
Vielen Dank.