Wie genau werden Passwörter gecrackt von z.b E-Mails?
Üblicherweise bräuchte man dafür doch den Hash und den Hash findet man nur in der Datenbank des Anbieters z.b Gmail (Google) also müsste der Hacker doch sich erstmal in die Datenbank von Google reinhacken (was fast unmöglich währe) um da den Hash rauszuholen und dann mit z.b Hashcat das Passwort zu cracken.
Ich kann mir das sehr schwer vorstellen vorallem der Aufwand sich in die Datenbank reinzuhacken.
Welche möglichkeiten benutzen Hacker noch? Ist meine Aussage falsch?
4 Antworten
Die Aussage von BeamerBen kann ich soweit nur bestätigen, dazu zu ergänzen hätte ich nur noch den Namen für diese Art von Hash Entschlüsselung.
Undzwar Rainbow Table Attack
Deine Aussage ist also nicht falsch, allerdings gibt es mehr als nur diese Möglichkeit, ich Liste einfach mal alle mir bekannten auf, dann kannst selber nachschlagen wie diese funktionieren
- Social Engineering
- Guess Attack
- Brute Force attack
- Credential stuffing
- Smudge attack
- Password spraying
- Traffic interception
- Pishing
- Malware
- Dictonary attack
- Network analysers
- Offline cracking
- Spidering
- Mask attack
- Shoulder Surfing
- Cold boot attack
Das sind alle die mir einfallen und vermutlich auch die am häufigsten benutzen.
Jetzt jede Methode zu erklären würde den Rahmen etwas sprengen, deswegen solltest du sie selber nachschlagen.
MfG
Jain, Guess Attack ist ziemlich unspezifisch und bezieht sich auf stumpfes raten mit begrenzten Informationen und ohne jegliche Automation, dabei geht es zum Beispiel um den Namen des Haustieres oder Hobbies du auf einer Profilseite der Person gefunden werden, beim Brute Force geht es um das erraten durch bereits bekannte Informationen wie zum Beispiel das nutzen von verschiedenen Kombinationen bereits geleakter Informationen, das ist in vielen Fällen ein automatisierter Vorgang.
Also ja, im Prinzip dasselbe, nur die Informationsquellen und die Vorgehensweise ist etwas anders
Deine Aussage ist nicht falsch, allerdings überschätzt du den Aufwand an hashes ran zu kommen.
Teilweise hängen Datenbanken mehr oder weniger ungeschützt im Netz, Admins patchen oft ihre Server nicht oder Anwendungen haben SQL Injections (auch wenn solche Lücken seit 20 Jahren Thema sind).
Natürlich passiert das nicht mal eben einem Google, aber irgendwelche kleineren Seiten haben so etwas immer wieder. Und viele User nutzen ja leider auch immer noch schlecht Passwörter und vor allem überall das gleiche.
Solche Hashes zu cracken ist auch nicht leicht wenn das richtig gemacht wird (zufälliges salt, für jedes Passwort ein anderes…) aber auch da machen eben nicht alle Betreiber alles richtig. Ich meine schau dir einfach mal die Nachrichten zu solchen Sachen an, spontan fällt mir da "Knuddels" ein die ihre Passwörter nicht mal gehasht haben.
Nicht zu unterschätzen ist auch das ja oft nicht nur hashes geleakt werden, viele Nutzen ja auch ihren Namen und ein Gebursdatum in ihren Passwörten und damit kann man schon viele wahrscheinliche Kombinationen absuchen.
Natürlich gib es noch andere Möglichkeiten an Passwörter zu kommen, jemand hat phishing erwähnt, absolut korrekt, keylogger wären eine Möglichkeit, Bruteforce-einlogg Versuche wenn so eine Seite das nicht vernünftig limitiert.
Anmerkung: falls das nicht offensichtlich aus der Antwort vor ging; es kann sein das ein kleineren Forum gehackt wird, ein schlechter PW Hash wird daraus geleakt zusammen mit der Email. Ein h4x0r knackt den hash, dann versucht er einfach das selbe Passwort bei dem Email Provider, die verwendete E-Mail Adresse hat er ja.
So ist mir auch mal ein trash account gehackt worden, wobei das natürlich nicht schlimm war.
Phishing-Emails: du wirst aufgefordert dein Passwort einzugeben, denkst es ist vom Anbieter, dabei hat der Hacker eine Seite reingeschmuggelt und fängt es ab.
Passwort wird über https geschickt und passiert den Server des Hackers. Der Hacker hat https geknackt.
Bekommst eine Pishing Mail.
Klickst auf den Link.
Gibst deine Daten und Passwörter ein.
Und schon wurde alles abgefangen.
Ist Guess Attack und Brute Force nicht das gleiche? Beides läuft ja darauf aus das dass Passwort durch verschiedene Kombinationen zu erraten oder einfach eine geleakte Passwort Liste von Github zu benutzen. Korrigiere mich wenn ich falsch liege oder poste einfach ein Link was beides vergleicht :D Vielen Dank nochmal für deine auflistung und die Antwort!