Passwörter knacken

NyctalusNoctula

Angeregt und etwas überrascht von dem Thread im Meine Homepage Topic wie leicht es anscheinend ist Passwörter zu knacken, wollte ich nun mal wissen, wie ihr vorgeht, wenn ihr ein Passwort herausfinden wollt.
Ich hab auf meiner Page den mehr oder weniger sensitiven Inhalt mit der einfachsten php Realisierung geschützt, die mir einfiel.

Wäre schön, wenn jemand anhand meiner Page erklären würde, wie er das PW knackt und was man dagegen tun kann.
http://www.sirtobiiv.de.vu unter Menüpunkt Login
Wie viele sec. habt ihr gebraucht?

Mit freundlichem Gruß
NN

phore

lies dir mal den sql-injektion thread in diesem forum durch.
eine anleitung fürs passwörter knack wird dir niemand geben

NyctalusNoctula

Ich möchte ja gar keine Anleitung zum knacken von Passwörtern. Ich habe sinnvollere Hobbies.
Wollte nur wissen, ob und wie sicher meine Methode ist.
Der sql-injection thread ist sehr interessant, nur nutze ich keine Datenbank, da nur ein PW erforderlich ist.

::RMB::

Sobald es mit PHP oder anderen Serverseitigen Programiersprachen gemacht ist wird es schwierig, da man im Quelltext nischt lesen kann.

Aber wenn man es mit JS gemacht hat ist es sehr einfach, da man das Passwort aus dem Quelltext lesen kann. Teilweise aber verschlüsselt.
Zum Beispiel urlencode()/urldecode() (PHP).

Bei PHP kannst du probieren das Passwort als variable eingeben, ist aber meistens Abgesichert.

girl189

hallo iw emache ich das nun mit dem msn knacken

::RMB::

NIx da MSN hier reden wir über PHP, JS usw.

MSN ->
http://de.wikipedia.org/wiki/Brute_force
http://de.wikipedia.org/wiki/Social_En…28Sicherheit%29

NyctalusNoctula

Wenn meine einfache Methode relativ sicher zu sein scheint, dann versteh ich nicht, wieso es manche überhaupt anders machen?
Egal, ich bin beruhigt.
Und um die Datei als php vom Server zu laden, müsste man wiederum den Server mitsamt FTP Passwort wissen, richtig?

phore

richtig.

es können halt nich alle php. übrigens - warum hat deine datei noch die endung *php3 ?!
wir sind mittlerweile bei php5. kannst also ruhig *.php machen.

@Storm

Zitat von phore

übrigens - warum hat deine datei noch die endung *php3 ?!
wir sind mittlerweile bei php5. kannst also ruhig *.php machen.

was steht denn in dieser php datei drinne find die lösung nett und würde das auch gerne anweden kann mir da wer helfen?

phore

was in der php datei steht weiss nur NyctalusNoctula, php wird nicht als solches im browser dargestellt. php läuft auf dem server, und die php ausgaben werden als html umgewandelt.

NyctalusNoctula

Also ich habe 2 Dateien mit folgendem Inhalt gemacht

login.php3

Code

<h1>Login</h1>
<form action="mitglied.php3" method="post">Geben Sie das Passwort ein:
<input name="Passwort" size="10" type="password">




<input name="login" type="submit" value="Login">
</form>

mitglied.php3

PHP

<?php
  $Zugangspasswort = "1234";
  if($Passwort==$Zugangspasswort)
  {
?>


<p align="center">
Hier steht der Inhalt


<?php
  }
 else
     {
echo "Sie sind nicht berechtigt die Seite anzuzeigen!
Bitte loggen Sie sich vorher <a href=\"login.php3\">hier</a> ein.";
 }
?>

Alles anzeigen

Wenn du mehrere PW geschützte Seiten willst, kannst du entweder alle in dieses eine Script packen und mit Method get eine Variable setzten, die den Inhalt bestimmt oder du musst mit sessions arbeiten, was ich aber noch nicht kann.

phore

sicher nicht mit GET. wenn dann mit sessions oder cookies und evtl. .htaccess

majoversum

Geht doch auch mit GET, wenn du das PW in die URL packst *fg* Das allerdings sollte man m.E. unterlassen

NyctalusNoctula

Ich will nicht das Passwort per get übergeben, sondern eine Variable setzten, die per if-Abfrage den Inhalt bestimmt, so habe ich zumindest die Auswahl der Witze in meinem Witzgästebuch realisiert.

EDIT: Ich glaube ich habe das Problem verstanden, wenn man den Link anklickt, wird das PW nicht mitübergeben, also kann die Seite nicht angezeigt werden (wegen Passwortschutz).
OK, war ne scheiß Idee.

phore

auch wenn du es so machen würdest gibt es bessere methoden. get ist einfach nicht für passwörter gedacht. für logins gibts wie gesagt sessions, cookies und .htaccess

Passwörter knacken

Tags

Benutzer online in diesem Thema