MD5 blöde Frage.

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • MD5 blöde Frage.

    Ich hätte mal eine Rooky Frage.

    Wenn ich User verwalte speicher ich denen ihr Passwort MD5 verschlüsselt.

    Bisher dachte ich immer, dass man den Hash dann nicht mehr so leicht entschlüsseln kann.

    Bin jetzt aber auf folgende Seite gestoßen die das im Handumdrehen macht.

    http://md5encryption.com/?mod=encrypt

    Was soll man jetzt machen? Die MD5 Verschlüsselung austauschen und wenn ja gegen was?

    thx

  • #2
    ein datenbank-lookup würde ich nicht als "entschlüsseln" betrachten.
    mfg

    Kommentar


    • #3
      Das sind Datenbanken, in denen viele Hashwerte gespeichert sind. Dann kann man logischerweise abfragen "SELECT klartext FROM tabelle WHERE hash = '$hash'" - das geht aber nur, wenn dieses Wort schon drin vorkommt.

      "Sichere" Passwörter wird man da drin nicht finden.
      ich glaube

      Kommentar


      • #4
        Auch "sichere" Passwörter können mit einem "unsicheren" Passwort kollidieren. Aber das wievielte mal schreib ich das denn hier schon? Ein bischen die Suche bemühen, und du wirst die gewünschten Informationen finden.
        [FONT="Helvetica"]twitter.com/unset[/FONT]

        Shitstorm Podcast – Wöchentliches Auskotzen

        Kommentar


        • #5
          Das sind Datenbanken, in denen viele Hashwerte gespeichert sind.
          Ahhaaaaa danke viel mals....

          Kommentar


          • #6
            das stichwort ist "brute force". du knackst das passwort durch ausprobieren. um dieses ausprobieren zu beschleunigen, kannst du halt auf solche lookup-tabellen zugreifen! das einzigste mittel gegen diese tabellen ist es, dein passwort besonders lang zu wählen, oder zeichen zu verwenden, welche die lookup-tabellen nicht mit einbinden!
            aber wenn jemand ein passwort ermitteln möchte, so muss dieser erstmal an deine datenbank kommen!

            Kommentar


            • #7
              Füg nen Salt hinzu. Dann braucht der Angreifer den auch, um das Passwort knacken zu können - und dann wirds länger dauern.... (hoffentlich)
              Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
              var_dump(), print_r(), debug_backtrace und echo.
              Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
              Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
              Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

              Kommentar


              • #8
                der thread is zwar alt ... aber ich vermisse rainbowtables hier ... gibt für md5 bereits im internet generierte zuverlässige bis 7 zeichen mixalpha-numeric

                gn8
                Robert

                Kommentar


                • #9
                  gibt für md5 bereits im internet generierte zuverlässige bis 7 zeichen mixalpha-numeric
                  Habe mir mal so ein Prog runtergeladen. Aber als meine Kiste dann meinte dass zur Erstellung dieser Tabelle Tage anfallen können habe ich's gelassen.
                  Grundsätzlich, wie bereits gesagt, je länger umso besser und ein Salt wäre auch eine zusätzliche Hürde für einen Angreifer.

                  Gruss

                  tobi
                  Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                  [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                  Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                  Kommentar


                  • #10
                    Original geschrieben von jahlives
                    Habe mir mal so ein Prog runtergeladen. Aber als meine Kiste dann meinte dass zur Erstellung dieser Tabelle Tage anfallen können habe ich's gelassen.
                    jo mit unter können auch Jahre zur Erstellung vergehen - deshalb is downloaden bzw. die Erstellung auf mehrere Leute verteilen besser

                    Original geschrieben von jahlives
                    ein Salt wäre auch eine zusätzliche Hürde für einen Angreifer.
                    richtig aber wenn der Algorithmus bekannt ist hilft auch das wenig ...

                    gruß
                    Robert

                    Kommentar

                    Lädt...
                    X