Artikel mit Tag salt string

Einfach MD5 Hashes cracken, Google machts möglich

MD5 Hashes knacken war bis vor kurzem noch mit etwas Rechenleistung verbunden. Die ständig wachsende Cloud macht diese Rechenpower inzwischen für viele zugänglich, so kann heutzutage beispielsweise die Amazon Cloud für solche Vorgänge missbraucht werden. Es existieren auch andere Wege um MD5 zu cracken, diese sind aber aufwendig umzusetzen.

Juuso Salonen ein findiger Programmierer hat einen pragmatischen Weg gefunden die Cloud zu nutzen und diesen in einem Ruby Script namens BozoCrack verewigt. Lustiger weise ist alles was das Script macht: googlen.

Doch was ist MD5 überhaupt? Hierzu eine kurze Erklärung: An einem Dienst oder PC muss man sich oft mit einem Benutzernamen und einem Passwort identifizieren. Würde man das Passwort im Klartext abspeichern, könnte es theoretisch jeder lesen und der Rechner oder Dienst wäre für jeden zugänglich. Um dies zu verhindern speichert man das Passwort in einem sogenannten Hash ab. Bereits 1991 hat man dazu Message-Digest Algorithm 5 entwickelt (MD5), dieser Algorithmus erzeugt aus Passwörtern oder Nachrichten eine 128-Bit Prüfsumme. In der Praxis wird bei einer Anmeldung euer Password sofort in MD5 umgerechnet und mit dem gespeicherten MD5 Hash verglichen, stimmen sie überein bekommt ihr Zugriff.

Solche Hashes kann man einfach online generieren

hash-erstellen

hash-erstellen

Wie oben zu erkennen, habe ich den MD5 Hash zu "Peter Pan" generiert, dieser lautet "b1f7e8c5c5d12670675975e769ec11b9". Gibt man diesen Wert nun bei Google ein wird man so gut wie immer auf die dort hinterlegte Nachricht stoßen. Es ist also recht simpel MD5 Hashwerte zu knacken, mehr als Google ist dazu nicht notwendig. Einzig die Idee den Vorgang zu automatisieren ist neu.

Zu groß muss die Angst um die eigenen Passwörter jedoch nicht sein, da viele Systeme ihre Hashes mit einem zusätzlichen Salt String versehen.