In deze tutorial ga ik wat meer uitleg geven over hoe encryptie en decryptie werkt in de vorm van password hashes:Aangezien ik al enkele keren sinds het posten van het bericht "beste pen test progs ooit!" op deze site de vraag heb gekregen wat password hashes eigenlijk zijn zal ik het hier uitleggen:
Indien er op een website naar een passwoord gevraagd wordt, zal het passwoord wat getypt wordt naar de server gestuurt worden, die het dan vergelijkt met het passwoord dat er op opgeslagen staat, indien het passwoord overeenkomt mag je binnen en indien dit niet zo is niet... Zo simpel werkt het.
Omdat dit systeem een beetje doorzichtig is (iedereen die aan het bestand om het passwoord te controleren kan geraken heeft het passwoord al in handen) wordt er tegenwoordig zo goed als altijd gebruik gemaakt van encryptiesystemen op deze bestanden. Een passwoordbestand dat op deze manier beveiligd is noemt men een "password hash".
Password hashes zijn meestal heel erg moeilijk om aan te geraken, er aan geraken is een ware kunst en bij goed beveiligde websites zo goed als onmogenlijk voor iemand die geen heel uitgebreide kennis heeft van beveiligingssystemen of die geen weet heeft van een exploit (beveiligingszwakte) in de site.
Bij minder goed beveiligde websites kan de hash al verkregen worden door simpelweg google te gebruiken (zie "verborgen folders achterhalen van website" op deze site).
Indien de password hash in handen is van de hacker kan deze gekraakt worden met progs zoals "john the ripper" of "cain and able" (zie "beste pen test progs ooit!" op deze site)
WAARSCHUWING: Deze tutorial is enkel voor educatieve doeleinden (om bij te brengen hoe dit hele systeem werkt) en mag dus in geen enkele vorm gebruikt worden om in systemen in te breken die niet uw eigendom zijn of om eventuele schade aan te richten aan systemen die niet uw eigendom zijn!!!!
Geen opmerkingen:
Een reactie posten