如何在 Wireshark 中找到我的电子邮件密码哈希？

Question

通过 HTML 页面上的表单发送的密码是不是以哈希形式发送。

通常，密码仅以（加盐）哈希的形式存储在电子邮件服务提供商的数据库中。当您通过表单发送密码时，如果应用层不涉及其他加密技术，则密码会按原样通过网络传输。密码将在远程服务器上进行哈希处理，然后将该哈希与存储在其数据库中的哈希进行比较。

以下示例是真的简化。假设 Bob 通过 HTTP POST 请求从其电子邮件提供商的登录页面提交了一个包含其用户名bob@example和密码的HTML 表单foobar。Web 应用程序将对密码进行哈希处理，并查看数据库中是否存在哈希和用户名的组合。如果是，Bob 将通过身份验证 — 将设置他的 cookie，并将他重定向到收件箱页面，这两者都是通过 HTTP 方法进行的。

然而，如今，当您在表单中输入密码时，传输通常会通过 HTTPS 进行保护，如浏览器 URL 栏中的锁所示，因此密码不会以纯文本形式通过网络传输。

所以，简而言之：您无法在 Wireshark 转储中找到您的密码，除非您在未使用 HTTPS 传输数据的网站上输入密码，或者您使用未加密连接到 POP / IMAP 的电子邮件客户端。

Answer 1

通过 HTML 页面上的表单发送的密码是不是以哈希形式发送。

通常，密码仅以（加盐）哈希的形式存储在电子邮件服务提供商的数据库中。当您通过表单发送密码时，如果应用层不涉及其他加密技术，则密码会按原样通过网络传输。密码将在远程服务器上进行哈希处理，然后将该哈希与存储在其数据库中的哈希进行比较。

以下示例是真的简化。假设 Bob 通过 HTTP POST 请求从其电子邮件提供商的登录页面提交了一个包含其用户名bob@example和密码的HTML 表单foobar。Web 应用程序将对密码进行哈希处理，并查看数据库中是否存在哈希和用户名的组合。如果是，Bob 将通过身份验证 — 将设置他的 cookie，并将他重定向到收件箱页面，这两者都是通过 HTTP 方法进行的。

然而，如今，当您在表单中输入密码时，传输通常会通过 HTTPS 进行保护，如浏览器 URL 栏中的锁所示，因此密码不会以纯文本形式通过网络传输。

所以，简而言之：您无法在 Wireshark 转储中找到您的密码，除非您在未使用 HTTPS 传输数据的网站上输入密码，或者您使用未加密连接到 POP / IMAP 的电子邮件客户端。

如何在 Wireshark 中找到我的电子邮件密码哈希？

答案1

相关内容