it-swarm.com.de

Ist es möglich, ein SHA1-Hash-Passwort zu knacken?

Ich versuche zu verstehen, wie einfach es ist, ein SHA1-Hash-Passwort zu knacken. Ich habe eine Trainingsdatenbank mit Hunderten von Passwort-Hashes.

Ich habe versucht, einige Online-Tools zu verwenden, um sie zu knacken, und ich habe festgestellt, dass ich nur relativ einfache Passwörter mit ihnen knacken kann.

Soweit ich weiß, verwenden Sie im Allgemeinen Regenbogentabellen, um einen Hasch zu knacken. In diesem Sinne können Sie für mich nur einfache Passwörter knacken. Aber einige Leute im Internet scheinen zu sagen, dass Tools wie John the Ripper oder Hashcat alles knacken können.

Ich habe mich gefragt, ob es immer möglich ist, ein SHA1-Passwort zu knacken (auch ein wirklich komplexes).

Vielen Dank im Voraus für Ihre Hilfe

2
KB303

Nein, es ist nicht möglich, irgendeinen SHA-1-Hash zu knacken. Derzeit gibt es zwei Hauptprobleme bei der Verwendung der Hash-Funktion für Sicherheitszwecke (nicht speziell für das Passwort-Hashing):

  1. Es ist ein sehr schneller Hash , was bedeutet, dass ein Brute-Force-Angriff viel schneller abläuft als wenn Sie ein langsam) richtig verwenden würden KDF . Die Tatsache, dass SHA-1 schnell ist, ermöglicht es Ihnen nicht, ein Passwort zu knacken, aber es bedeutet, dass Sie mehr Vermutungen pro Sekunde versuchen können.

  2. Es ist anfällig für Kollisionsangriffe , wie Google zeigte . Bei einem Kollisionsangriff kann jemand zwei Eingaben mit demselben Hash erstellen. Es erlaubt ihnen jedoch nicht, einen Hash umzukehren oder eine Eingabe zu ändern, ohne den resultierenden Hash zu beeinflussen. Dies wäre eine andere Art von Angriff, die als Preimage-Angriff bezeichnet wird, und SHA-1 ist für diesen Angriff nicht anfällig.

Nein, Sie können nicht jedes Passwort knacken, das mit SHA-1 gehasht wurde, es sei denn, das Passwort ist kurz oder schwach. Das bedeutet jedoch nicht, dass Sie es für das Passwort-Hashing verwenden sollten, da es so schnell ist und effizient auf einer GPU implementiert wird.

4
forest

SHA1 ist möglicherweise das schlechteste Szenario zum Sichern von Kennwörtern - mit Ausnahme von Klartext-Speichern oder Schemata ohne Salt. Tools zum Knacken von Passwörtern testen nicht nur Listen von Passwörtern, sondern ersetzen auch einzelne Buchstaben wie S durch $, Doppelbuchstaben, Beispielkombinationen von Groß- und Kleinbuchstaben für alle Passwörter in der Liste, kombinieren Wörter usw.

In der Realität kann die überwiegende Mehrheit der Passwörter beschädigt werden, selbst die meisten komplexen Passwörter.

Der Unterschied besteht vor allem darin, wie lange es dauert, mit einer bestimmten Hardware zu knacken, ob es mehrere Monate oder einige Sekunden dauert. Bei guten Passwort-Hashing-Schemata wie Argon2 oder Scrypt dauert das Knacken am längsten, bei SHA1 oder MD5 am kürzesten.

1
BeloumiX

Ich habe mich gefragt, ob es immer möglich ist, ein SHA1-Passwort zu knacken (auch ein wirklich komplexes).

Ja. Es ist nur eine Frage von Zeit und Mühe. Die interessante Frage lautet "Ist es möglich, ein beliebiges SHA1-Passwort zu knacken", auf die derzeit die Antwort lautet: Nein.

Die Realität ist, dass Sie jeden Hash knacken können. Im schlimmsten Fall dauert es nur ziemlich lange.

0
mroman