it-swarm.com.de

Doppelt verschlüsseltes Router-Passwort knacken?

Ich habe im HTML meines Routers diesen Parameter bemerkt:

form.addParameter('Password', base64encode(SHA256(Password.value)));

Wenn ich also das Passwort passw eingebe, erhalte ich dies über sslstrip:

2018-09-25 21:13:31,605 POST Data (192.168.1.1):
Username=acc&Password=ZTQ1ZDkwOTU3ZWVjNzM4NzcyNmM2YTFiMTc0ZGE3YjU2NmEyNGZmNGNiMDYwZGNiY2RmZWJiOTMxYTkzZmZlMw%3D%3D

Ist dieser Hash leicht über Bruteforce/Wörterbuch zu knacken? Ich bin noch ein Anfänger, aber das sieht für mich nach doppelter Verschlüsselung aus. Gibt es auch eine schnellere Möglichkeit, dieses Passwort zu erhalten, als es zu knacken?

27
MyWays

Es ist ein ungesalzener sha256-Hash von base64. Es ist keine doppelte Verschlüsselung, sondern lediglich eine nicht benötigte Codierung.

Ein ungesalzener Hash bedeutet, dass es trivial ist, nur den Hash bei Google zu durchsuchen, und wahrscheinlich wird er das Ergebnis finden.

70
ThoriumBR

I RL hat es dekodiert, dann von base64 dekodiert , dann an eine Online-Hash-Datenbank übergeben.

Das Ergebnis war:

Hash                                                                Type    Result
e45d90957eec7387726c6a1b174da7b566a24ff4cb060dcbcdfebb931a93ffe3    sha256  passw

Die Tatsache, dass dies ein nicht gesalzener Hash ist, erleichtert das Nachschlagen. Die gesamte Codierung ist eine Annehmlichkeit für den Anmeldedienst, keine Sicherheitskontrolle.

Mit einem Salz kann man es nicht einfach nachschlagen, also müsste man Bruteforce betreiben. Wenn Sie das Salz kennen, hängt der Erfolg vom Passwort und der von Ihnen verwendeten Wortliste ab. Es gibt Methoden, um die Wortliste für Bruteforcing effizienter zu gestalten, aber letztendlich ist sie eine Funktion der Zeit.

83
schroeder

Dies ist aus folgenden Gründen trivial zu brechen:

  1. Base64 ist überhaupt keine Verschlüsselung, sondern ein Codierungsschema. Das Decodieren von Base64 ist trivial.

  2. SHA256 ist ein kryptografischer Algorithmus, der zur Validierung von Daten entwickelt wurde und daher schnell ausgelegt ist. Dies bedeutet, dass spezialisierte Computer mit mehreren GPUs mit SHA256 gehashte Passwörter mit unglaublicher Geschwindigkeit überprüfen können. Der Rekord für das Knacken von Passwörtern SHA256 zum Zeitpunkt des Schreibens beträgt 21,4 GH/s (21 Milliarden Hashes pro Sekunde), eingestellt von 25 GPUs. Für die Absicht, ein Passwort sicher zu hashen, ist SHA256 eine schlechte Wahl. Schlüsselableitungsfunktionen sind der richtige Weg. SHA256 ist schwach für Passwort-Hashing, aber großartig für die Daten-/Nachrichtenüberprüfung.

16
Kevin

Alle sind sich einig, dass die Verwendung eines ungesalzenen Hashs sehr schlecht ist und dass sha256 keine ideale Hash-Funktion ist. Jedoch diese Weisheit bezieht sich auf die Speicherung von Passwörtern, nicht auf deren Übertragung.

Wir wissen nicht, wie das Passwort auf dem Zielgerät überprüft wird.

Soweit wir wissen, werden die Daten anschließend über eine Kennwortverlängerungsfunktion weitergeleitet, gesalzen und auf dem Zielgerät gehasht (was sicher wäre) oder einfach mit einem gespeicherten Literalwert verglichen (unsicher).

Wenn die Kommunikation mit dem Router immer über HTTPS erfolgt, wie in der Frage angegeben, trägt dies nicht zum Schutz der übertragenen Daten bei und ist redundant. Wenn die Kommunikation über HTTP erfolgt, könnte argumentiert werden, dass sie einige sehr triviale Angriffe verhindert (aber nicht zum Beispiel einen einfachen Wiederholungsangriff).

13
symcbean