Hallo.

Gibt es ein Tool, wo man die Passwörter in der /etc/shadow entschlüsseln kann?
Wenn ja, wie heisst es und wo bekommt es her? ;-)
THX im Voraus.

Es heisst "john".

Cool. Danke.

Noch ne kurze Frage.
Ich habe das Tool jetzt einfach mal angestossen mit:

john /etc/shadow

Wie lange dauert es ungefähr bis er mit etwas ausspuckt bei 8 stelligen Passwörtern?
Nur so pi mal Daumen.

Ewig. Du kannst gerne mehr über John nachlesen. :)

Entschlüsseln kannst du die Passwörter übrigens nicht. John verfährt im Prinzip wie der Login-Mechanismus. Er übergibt ein Klartestwort, ermittelt den Hashwert und vergleicht die beiden gehashten Wörter.
Nur so zur Info.

comrad

Ewig. Du kannst gerne mehr über John nachlesen. :)

Von wegen. Die Entertaste hat noch nicht mal den Kontakt berührt, da lagen schon die ersten drei Kennwörter meiner Gast- und Besucherkonten offen (hatten alle drei das gleiche Kennwort ;)). Wie kann das sein?

Am root Kennwort versucht sich john noch :)


Gruß
Fußhupe

Von wegen. Die Entertaste hat noch nicht mal den Kontakt berührt, da lagen schon die ersten drei Kennwörter meiner Gast- und Besucherkonten offen (hatten alle drei das gleiche Kennwort ;)). Wie kann das sein?

Dann hast Du wohl richtig bescheidene Passwörter.

In diesem Zusammenhang sicher hilfreich:

http://www.adel.nursat.kz/apg/

Dann hast Du wohl richtig bescheidene Passwörter.
Kann man wohl sagen :).

Geht john anhand eines (internen) Wörterbuches vor? Dann findet er mein Kennwort und das von root erst recht nicht.


Gruß
Fußhupe

Geht john anhand eines (internen) Wörterbuches vor? Dann findet er mein Kennwort und das von root erst recht nicht.Jein. In der Regel erfolgt so ein Angriff zweistufig: In einem ersten Schritt werden anhand einer Wortliste Passwoerter gesucht. Diese Liste kannst Du manuell angeben, fuer deutschsprachige Laender empfiehlt sich zB. auch eine Liste mit deutschen Begriffen. Je nach Programm werden auch leichte Variationen dieser Liste vorgenommen, also alle Buchstaben gross, alle klein, eine Zahl angehaengt etc. Unter realen Bedingungen werden so ca. 1/3 aller Passwoerter geknackt.

Im zweiten Schritt geht es dann ans systematische Durchprobieren aller Buchstaben- und Zeichenkombinationen. Auch ein Passwort mit 6 oder weniger Zeichen wird so noch relativ schnell gefunden, danach dauert es;-))

Gruss Pit.

Stimmt, habe 8 Zeichen.
Bei mir arbeitet er jetzt 7,5 Stunden und hat noch nix.
Lasse das Teil einfach mal laufen. :D

Ich hab mal irgendwo in den weiten des Netzes eine Seite gesehen, auf der man die Sicherheit eigener Passwörter überprüfen konnte.
Dort gab man ein Passwort ein (natürlich nicht die richtigen, sondern vergleichbare) und es wurde berechnet, wie lange John oder ein ähnliches Tool zum knacken braucht.
Dieser Seite zufolge dauerts bei meinen Passwörtern ungefähr 17 Tage :)

Kennt jemand diese oder eine ähnliche Seite?
Ich find die nämlich nicht mehr wieder :ugly:

Ich hab mal irgendwo in den weiten des Netzes eine Seite gesehen, auf der man die Sicherheit eigener Passwörter überprüfen konnte.
Dort gab man ein Passwort ein (natürlich nicht die richtigen, sondern vergleichbare) und es wurde berechnet, wie lange John oder ein ähnliches Tool zum knacken braucht.
Dieser Seite zufolge dauerts bei meinen Passwörtern ungefähr 17 Tage :)

Kennt jemand diese oder eine ähnliche Seite?
Ich find die nämlich nicht mehr wieder :ugly:
An meinen wird er sich wahrscheinlich ähnlich die Zähne ausbeißen. ;)
Habe nur Buchstaben-Zahlenkombi mit Minus-, Pluszeichen und Punkten.
Die Länge beträgt meist 10 Zeichen und mehr.

Es ist aber nicht so, dass ich sie ständig irgendwo nachschauen muss, habe sie alle im Kopf. :)

MfG

Ich bin auch ein Freund der komplexen Passwörter. Man sollte min. 8 Zeichen in einer Buchstaben und Zahlenkombination haben. Ich habe auch noch Sonderzeichen, Groß- und Kleinschreibung.

Stimmt, habe 8 Zeichen.
Bei mir arbeitet er jetzt 7,5 Stunden und hat noch nix.
Lasse das Teil einfach mal laufen. :D
Und, schon fertig? ;)


Gruß
Fußhupe

Was bitte bringt es, ein über 10 stelliges was weis ich was für Sonderzeichen enthaltendes Passwort zu nutzen, außer dass sich die Möglichkeit erhöht, dass man es vergisst oder aufschreiben muss??
Wenn jemand an die shadow datei kommt, bekommt er früher oder später auch die PWs raus, EGAL wie kompliziert das ist. Wenn er die Shadow nicht bekommt, ist die Chance VIEL geringer, dass er zugriff bekommt (jedenfalls dann, wenn man ein paar sachen beachtet wie z.B. entsprechend geringe Loginfrequenz etc.).

Was bitte bringt es, ein über 10 stelliges was weis ich was für Sonderzeichen enthaltendes Passwort zu nutzen, außer dass sich die Möglichkeit erhöht, dass man es vergisst oder aufschreiben muss??
Ich sagte doch schon, ich habe sie alle im Kopf und vergesse sie nie.

MfG

wo speichert eigent lich suse seine passwörter ?

wo speichert eigent lich suse seine passwörter ?
Sind die nicht ebenfalls unter /etc/shadow ?

Sind die nicht ebenfalls unter /etc/shadow ?Sie sind, allerdings -wie bereits gesagt- verschluesselt.

Gruss Pit.

linux:/home/jan # john /etc/shadow
fopen: john.ini: No such file or directory
linux:/home/jan # john
fopen: john.ini: No such file or directory

Hi,

@Jan-heiner auf meinem System gibt es diese Datei auch nicht, nur kommt diese Fehlermeldung nicht. setz mal ein strace davor.

sysiphus:/var# john -test
Benchmarking: Standard DES [48/64 4K]... DONE
Many salts: 89472 c/s real, 119693 c/s virtual
Only one salt: 79078 c/s real, 118027 c/s virtual

Benchmarking: BSDI DES (x725) [48/64 4K]... DONE
Many salts: 2912 c/s real, 4124 c/s virtual
Only one salt: 2801 c/s real, 4029 c/s virtual

Benchmarking: FreeBSD MD5 [32/32]... DONE
Raw: 3152 c/s real, 4427 c/s virtual

Benchmarking: OpenBSD Blowfish (x32) [32/32]... DONE
Raw: 181 c/s real, 272 c/s virtual

Benchmarking: Kerberos AFS DES [48/64 4K]... DONE
Short: 84736 c/s real, 114818 c/s virtual
Long: 272588 c/s real, 388303 c/s virtual

Benchmarking: NT LM DES [48/64 4K]... DONE
Raw: 1069017 c/s real, 1444618 c/s virtual


kann das jemannd deuten?

mfg

Sie sind, allerdings -wie bereits gesagt- verschluesselt.

Gruss Pit.
Sonst bräuchte ich auch keine Crackprogramme.

MfG