[nicht möglich] FBF als Passwortcracker ?

[milkpirate]

ich hab mir mal ein paar gedanken gemacht...

die fritzbox speicher ja eingegebene passwörter gehasht ab. da man diese aber mir befehlen wie hier wieder auslesen kann warum dann nicht auch welche die man noch nie in die box eingegeben hat ?

also meien überlegung ich bearbeite meine ar7.cfg trag eine beliebeige hash von sonts wo z.b. von einem webserver (der natürlich mein eigener ist) als z.b. mail-passwort ein, speicher und lass dann

echo "----Email(Push Service):----------------------------"
allcfgconv -C ar7 -c -o - | sed -n -e '/emailnotify/,/}/p' |egrep 'accountname|passwd'

drüber laufen.

also ausprobiert hab ichs noch nciht aber würde das so funktionieren könnte man sich ja eine dictionary oder brute force attack auf die hash und das (vergessene) passwort sparen...

 

[derheimi]

Denkfehler...

...fritzbox speicher[t] ja eingegebene passwörter gehasht ab

Nein, stimmt nicht. Eine (kryptografische) Hash-Funktion ist immer eine Einweg-Funktion. Die kann man nicht mal eben "zurückrechnen" - das ist ja genau der Sinn der Sache. D.h. die FB kann keine Hash-Funktion verwenden, weil sie die Passwörter ja wieder im Klartext braucht. Was die Fritzbox macht, ist, eine bestimmte Codierung zum Abspeichern der Passwörter zu verwenden. Unterschied zu Hash-Funktion siehe Google & Co.

[...]

Hat sich dann wohl erledigt. Das einzigste, was damit möglich wäre, ist ein Passwort einer fremdem|anderen FB zu "entschlüsseln", insofern dies Sinn macht. Allerdings glaube ich gelesen zu haben (hier im Forum oder im Wiki), dass die Seriennr. bei der Verschlüsselung mit reinspielt, so dass dies ev. auch nicht soo einfach möglich ist. Finde den Text bloß grad nicht wieder...

 

[milkpirate]

ok danke für die antwort.