Einen unbekannten Hash identifizieren: ein Praxisleitfaden
Ein mysteriöser Hash vor dir? Lerne die Signale, die seinen Typ verraten — Länge, Zeichensatz und Präfixe wie $2y$ oder $6$ — und identifiziere ihn privat im Browser.
Ein Hash für sich genommen ist nur eine Zeichenkette. Bevor du ihn prüfen, dokumentieren oder das dahinterliegende Passwort wiederherstellen kannst, musst du wissen, um welchen Hash-Typ es sich handelt. Hash-Identifizierung bedeutet, einen Prüfwert zu lesen und herauszufinden, welcher Algorithmus ihn erzeugt hat. Triffst du richtig, ist jeder weitere Schritt unkompliziert; liegst du falsch, müht sich dein Cracking-Werkzeug endlos gegen das falsche Format ab.
Die Signale, die einen Hash-Typ verraten
Drei Eigenschaften erledigen den Großteil der Arbeit.
Die Länge. Ein roher Hash hat eine feste Breite, sobald er hexadezimal kodiert ist. Eine 32 Zeichen lange Hex-Zeichenkette ist fast immer MD5; 40 Zeichen deuten auf SHA-1; 64 auf SHA-256; 128 auf SHA-512. NTLM, von Windows verwendet, hat ebenfalls 32 Hex-Zeichen — genau deshalb ist die Länge allein nie die endgültige Antwort.
Der Zeichensatz. Reines Hexadezimal (0–9, a–f) deutet auf einen rohen Prüfwert. Eine Mischung aus Groß- und Kleinbuchstaben, Ziffern sowie + oder / deutet auf Base64-Kodierung. Punkte, Dollarzeichen und Doppelpunkte stehen meist für ein strukturiertes, gesalzenes Format statt für einen bloßen Prüfwert.
Präfixe und Struktur. Moderne Passwortformate kündigen sich selbst an. Eine Zeichenkette, die mit $2y$, $2a$ oder $2b$ beginnt, ist bcrypt. Ein führendes $6$ kennzeichnet sha512crypt; $1$ kennzeichnet md5crypt. Drei durch Punkte getrennte Base64-Segmente sind fast sicher ein JSON Web Token. Diese strukturierten Zeichenketten betten Salt, Kostenfaktor und Prüfwert in einer einzigen selbstbeschreibenden Zeile ein.
$2y$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy
Das obige Beispiel ist bcrypt: der Bezeichner $2y$, der Kostenfaktor 10 und der 22 Zeichen lange Salt gefolgt vom Prüfwert sind alle auf einen Blick sichtbar.
Einen Hash identifizieren, ohne ihn preiszugeben
Den Hash einer Anmeldeinformation in eine beliebige Website einzufügen, ist ein echtes Risiko: Viele „Hash-Lookup"-Seiten protokollieren alles, was sie empfangen. Diese Seite vermeidet das vollständig. Der Identifier auf der Startseite läuft als WebAssembly direkt in deinem Browser: Der Hash wird lokal analysiert und verlässt nie deinen Rechner. Du erhältst einen sofortigen Treffer gegen Dutzende Formate, ganz ohne Preisgabe.
Wenn du lieber offline arbeitest, liegt dieselbe Logik den Kommandozeilenwerkzeugen zugrunde. John the Ripper errät ein Format automatisch, und der hier angebotene Identifier bildet dieses Verhalten nach, damit das Ergebnis zu dem Werkzeug passt, das du tatsächlich verwenden wirst.
Was zu tun ist, sobald der Typ feststeht
Die Identifizierung ist nur der erste Schritt. Sobald du einen sicheren Treffer hast, öffne die entsprechende Seite im Hash-Typ-Index, um die einsatzbereiten Befehle zu erhalten. Jede Seite nennt den korrekten hashcat--m-Modus und den Formatnamen von John the Ripper, sodass du direkt zur Wiederherstellung übergehen kannst.
Danach zählt die Wahl des Werkzeugs. Lies hashcat gegen John the Ripper, um zu entscheiden, welche Engine zu deiner Hardware passt, und frische das Konzept der Wortliste auf, bevor du deinen ersten Angriff startest. Die soeben identifizierte Struktur zu verstehen — insbesondere, ob der Hash einen Salt trägt — sagt bereits viel darüber aus, wie schwer die Wiederherstellung wird.