John the Ripper knackt ZIP Passwort
Vote for Witness http://steemconnect.com/sign/account_witness_vote?account=&approve=1&witness=sempervideo
https://steemit.com/witness/@sempervideo/der-naechste-logische-schritt"
https://steemit.com/witness/@semperenglish/the-next-logical-step
Vielen Dank für Ihre Unterstützung.
Thank you for your support.
http://www.patreon.com/sempervideo?ty=c
Krass geht das fix. Wäre noch toll gewesen, wenn da jetzt als zweites Beispiel ein etwas komplexeres Passwort getestet worden wäre. Aber kann man ja auch fix selbst machen :)
Auf jeden Fall ne coole Sache. Könnte gegebenenfalls sehr nützlich sein :)
Danke euch vielmals für den Hinweis und das kleine Tutorial!! <3
.
Ist es nicht so, dass das Programm einfach ein Passwort rät, den Hash generiert, und dann guckt, ob er mit dem Hash aus dem Zip übereinstimmt? Die Schnelligkeit hier liegt vermutlich daran, dass nur aus Ziffern bestehende Passwörter zuerst getestet werden. Also wie wenn beim Fahrradschloss die tatsächliche Kombination 1234 schneller geknackt ist als 9876, einfach nur, weil die Kombination beim Raten früher auftaucht.
Wahrscheinlich kann man John the ripper auch noch konfigurieren, sodass die geratenen Kombination in anderer Reihenfolge auftauchen.
Was ist das den für eine upload Zeit? Und sehr schön das endlich mal wieder solche Videos kommen.
Sehr interessant! Vor allem, da viele Krypto-Anfänger ihre Passwörter einfach in einer .txt-Datei innerhalb eines RAR-/ZIP-Archivs inkl. Passwort "sichern".
Weiter so!
Aus dem Video ist nicht wirklich hervor gegangen, wie "john-the-ripper" nun den hash knackt und warum er schneller ist. Im grunden kann man doch nur Hash werte auf Passwörter durch brute-force mappen (NP-Problem) oder ist der zip Hash extra Schwach und man kann gewisse Annhamen machen?
.
Natürlich wird nur der Hash überprüft und nicht versucht zu entpacken, das Passwort muss aber immer noch jedes mal gehasht werden, bei einem brute force generiert man mögliche Passwörter und hasht die um eben zum Hash, der mit dem Hash vom Zip Packet verglichen wird, das dazugehörige Passwort zu wissen und bei einem Match diesen auszugeben.
Man kann nicht direkt vom Hash zum Passwort kommen.
Klar kann man in gewissen maße auf ein Password Standard optimieren, aber man muss immer noch jedes mal ein zufälliges Password generieren und dann X mal Hashen um zu testen ob der Passwort passt, hat alles nichts mit dem Zip Packet selber zu tun und ist für jeden Algortihmus den man knacken will gleich. Deshalb weiß ich nicht warum der hier gezeigte Mechanismus nun so besser sein soll, außer Optimierung auf ZIP Passwörter...
Ich hatte letztens den Fall, dass ich eine 7-Zip Datei (.7z) hätte knacken müssen. Gibt es dazu auch Brutforce-Programme?
geht auch mit John the Ripper. Einfach --format=7z als Parameter verwenden. Grüße.
Dann heißt das ja eigentlich das man das nicht nur für zip. benutzen kann. Ich kann mir vorstellen das man so auch andere sachen knacken kann.??
Ich denke schon, solange man weiß, mit welchem Algorithmus der Hash erstellt wurde. Das ist hier wahrscheinlich im "Format"-parameter enthalten.
Kommen die Hash-werte die verglichen werden nicht aus einer Datei ?
Das dauert ja sonst ewig für jeden versuch einen Hash zu erstellen.
Das eröffnet ganz andere Möglichkeiten denn, jedoch stell ich mir die Frage ob es nur auf Dateien bezogen ist oder ob man damit auch ganze Benutzer konten knacken kann wie ein Server Admin Konto oder Windows Konto, weil dann währe nichts mehr sicher nach aktuellen Stand.
In der Theorie kannst du alle Kennwörter damit knacken, wenn du den entsprechenden Hash besitzt und der Hashalgorithmus von dem Tool unterstützt wird.
Die Geschwindigkeit hängt hierbei sehr stark davon ab, wie komplex das Kennwort ist. In der Praxis ist solch ein Angriff auf ein sehr „starkes“ Kennwort nicht sinnvoll, da es viel zu lange dauern würde das Kennwort zu dem Hashwert zu finden.
Ich würde annehmen, dass du nur zip-archive knacken kannst.
Alleine um die Hash-Werte vom Computer dessen Admin/SuperUser Account du knacken willst muss man schon Administrator/SuperUser sein, die gehashten Passwörter zu lesen.
Sobald du das Hash vom Passwort lesen kannst, kannst du natürlich immer einen brute-force dagegen durchführen.
Deswegen immer schön lange, komplizierte Passwörter verwenden 😅
very informational video.