Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerksicherheit Grundkurs

Hash-Generatoren

Testen Sie unsere 2016 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Zahlreiche Websites bieten Hash-Generatoren an, mit deren Hilfe die Arbeitsweise von Hash-Algorithmen veranschaulicht sowie gegebenfalls Information auf Echtzeit überprüft werden können.

Transkript

Schauen wir uns doch einmal einen Hash-Generator an, so wie man sie im Internet findet. Ich habe mal einen rausgesucht. Hashs werden ja sehr häufig fürs Passwort verwendet. Das Passwort wird also nicht im Klartext übermittelt, sondern es wird in Form eines Hashs über das Netzwerk übermittelt. Was auf der einen Seite sicherer ist als der Klartext, aber auch eine gewisse Gefahr in sich birgt, dazu kommen wir gleich. Wenn ich also das Passwort hier eintrage, mein gern verwendetes Standard-Passwort, natürlich nicht privat, sondern nur hier für Testzwecke – 123aa123-- Dann haben wir dementsprechend, wenn ich den Hash mal generiere und ich suche mir den MD5 aus, das ist ein gängiger Hash, dann haben wir hier diesen Wert. Diesen Wert trage ich jetzt hier mal ein. So. Ich gebe ihn erneut ein. Generiere nochmal und schaue mir nochmal das Ergebnis unter MD5 an. Ich kopiere das und lege das genau so hier unten drauf. Hier sieht man eindeutig, die sind absolut identisch. Das heißt: gleiche Information, die reingeht, gleiche Information, die angezeigt wird. Das ist also schonmal sichergestellt. Sonst ginge das ja nicht anders. Wenn Sie jetzt eine Verbindung über das Netzwerk herstellen und schicken Ihr Passwort, liegt es auch nicht im Klartext auf der Gegenseite, sondern dort haben Sie ebenfalls den Hash. Das heißt, diese Hashs werden einfach miteinander verglichen. Wenn wir jetzt den Wert ändern, und zwar nur ganz minimal, 223aa123--, generieren einen Hash und schauen uns das Ergebnis mal an. Dann wird man sehr deutlich feststellen, dass das Ergebnis und das andere Ergebnis so unterschiedlich sind, das man hier mit dem bloßen Auge schon gar nicht, aber auch mit anderen Methoden keine Rückschlüsse ziehen kann auf die Information, die es ausgelöst hat. Genau das ist die Stärke eines Hashs. Bei minimaler Änderung der Information, die ich hereingebe, ändert sich das Ergebnis derart, dass ich keine Rückschlüsse auf das Eingegebene ziehen kann. Dass die gleiche Eingabe aber immer die gleiche Ausgabe zur Folge hat, ist natürlich auch eine Schwäche. Besonders dann, wenn ich als Passwort zum Beispiel einfache Namen oder einfache Informationen verwendet habe. Dann kann mir diese Tatsache, Gleiches rein, Gleiches raus, schnell zum Verhängnis werden. Ich gehe hierzu mal auf Password und gebe zum Beispiel Hund ein. Generiere ... Gehe auf MD5 ... Hole mir diesen Wert ... Trag den hier ein. Erst einmal sieht er genau so chaotisch aus wie die anderen auch. Wenn ich diesen Wert jetzt aber analysieren würde, würde es keine Millisekunde dauern und es käme Hund raus. Ganz einfach! Weil es Methoden gibt, mit deren Hilfe man diesen Hash-Wert sehr schnell herausfinden kann. Da gibt es verschiedene Varianten. Die einfachste Variante ist die sogenannte Dictionary Attack. Dictionary Attack bedeutet, dass man die häufigst vorkommenden Wörter verwendet, die einfach einmal als Hash durchgeneriert und vergleicht, ob in einem Ergebnis, das aus diesen meist verwendeten Wörtern rauskommt, eine Komponente oder ein Ergebnis drin ist, das mit der Information, die ich habe, übereinstimmt. Ist das der Fall, kann ich davon ausgehen, dass das genau die Information ist, die ich als Passwort brauche. Wenn ich jetzt also meine Dictionary Attack durchlaufen lasse und da gibt es das Wort Hund, dann wird diese Information, die wir hier haben, 477c7 und so weiter, herauskommen. Ich vergleiche das mit der Information, die ich habe, und sehe: Aha, das passt. Passwort ist Hund. Wie komme ich an solche Verzeichnisse? Kein Problem, gibt es im Internet für jede Sprache. Sie können die sich massenhaft besorgen. Zum Beispiel hier, Dictionaries. Et voilà. Schauen wir mal bei Deutschland rein. Ich habe mir mal die Datei runtergeladen. Die war gepackt. Ich hab sie jetzt entpackt. Hier sehen Sie die häufigsten Wörter, die in Deutschland eingesetzt werden. Und da gibt es natürlich auch Hund. Wenn ich jetzt hier mal nach Hund suche, und da haben wir Hund, Hunde ... Das wär's dann schon. An der Stelle spätestens hätte sich das Ganze erledigt gehabt. Weil dieser Hund und mein Hund identisch sind. Wenn ich diese Information hineingebe, kommt das Gleiche heraus, was Sie hier auch haben. Das wäre die erste Variante. Wenn das nicht hilft, gibt es noch weitere Varianten, wie man vorgehen kann. Das nächste wären sogenannte Brute-Force-Attacks. Da wird einfach durch schnödes Ausprobieren permanent im Test versucht, an das Passwort heranzukommen. Eine weitere Variante wären sogenannte Regenbogentabellen. Das sind riesengroße Datenbanken, wo alle Hashs, die irgendwann schon einmal umgerechnet und archiviert wurden, abgelegt werden. Dann kann man natürlich auch in diesen hier suchen. Da gibt es Programme, die das wunderbar beherrschen. Die finden es auch relativ schnell heraus. Wichtig ist, immer ein komplexes Zahlenwerk, Buchstabenwerk von Informationen zu verwenden, denn dann hat man es extrem schwer, die Information herauszufinden. Denn dann kann man zum Beispiel mit solchen einfachen Mitteln wie Dictionary Attacks nicht punkten. Und ganz wichtig: Es muss lang sein. Je länger ein Passwort ist, um so schwieriger wird es, dieses Passwort zu erraten. Denn der Hash ist in dem Fall nicht der Schuldige, sondern der Eintrag oder das, woraus der Hash gemacht ist. Wenn dort ein schlechtes oder ein einfaches Wort verwendet wird, dann findet man es halt schnell heraus.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Exklusiv für Abo-Kunden
Ihr(e) Trainer:
Erscheinungsdatum:30.05.2014
Laufzeit:11 Std. 47 min (142 Videos)

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!