php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #16 (permalink)  
Alt 11-12-2006, 18:29
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Ich generiere mir meine Passwörter immer mit 'nem Timestamp... So kann jedes Passwort nur einmal genutzt werden :>
(...)
PHP-Code:
$password substr($password08); 
Naja, wenn du nur die ersten 8 zeichen des md5-hash nutzt, dann kann auch bei verschiedenen timestamps ein und dasselbe passwort entstehen...
Mit Zitat antworten
  #17 (permalink)  
Alt 11-12-2006, 18:59
Griecherus
 PHP Senior
Links : Onlinestatus : Griecherus ist offline
Registriert seit: May 2005
Ort: Berlin
Beiträge: 1.036
Griecherus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von PHP-Desaster
Naja, wenn du nur die ersten 8 zeichen des md5-hash nutzt, dann kann auch bei verschiedenen timestamps ein und dasselbe passwort entstehen...
Ja, das kommt noch dazu. Und dabei wäre das nichtmal sein größtes Problem...
Mit Zitat antworten
  #18 (permalink)  
Alt 11-12-2006, 21:48
nOe
 Registrierter Benutzer
Links : Onlinestatus : nOe ist offline
Registriert seit: Nov 2006
Ort: GAMERny
Beiträge: 253
nOe ist zur Zeit noch ein unbeschriebenes Blatt
nOe eine Nachricht über ICQ schicken
Standard

Grr egal, ihr könnt mir GAR NIX! :>

Ich mach' das so wie ich es will und wenn ich es will, dann mach ich es anders. Oder wie auch immer. Denn:
Je mehr Käse man hat, desto mehr Löcher hat man. Und je mehr Löcher man hat, desto weniger Käse hat man. ALSO: Je mehr Käse man hat, desto weniger Käse hat man... Und wenn einem das erst einmal bewusst geworden ist, dann ist auch das Programmieren einfach nur ein Loch im Käse, das alles zusammenhält und doch auseinanderbricht oder wie auch immer. So tschö bis zum nächsten Post :>

mfg nOe

PS: har har
__________________
"I am what I am and I do what I can..."
Meine HP -- Mein GPG-Key
Meine Projekte: WebStorage 2.0 -- easyAJAX-Chat 2.2.0 (beta)
Mit Zitat antworten
  #19 (permalink)  
Alt 11-12-2006, 21:55
Griecherus
 PHP Senior
Links : Onlinestatus : Griecherus ist offline
Registriert seit: May 2005
Ort: Berlin
Beiträge: 1.036
Griecherus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Natürlich machst du das so, wie du's willst... Wir haben dir nur ein paar gut, gut, wirklich gut gemeinte Hinweise gegeben...
Mit Zitat antworten
  #20 (permalink)  
Alt 12-12-2006, 03:24
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Wenn jemand sein Passwort vergessen hat, generiere ein neues, und sende ihm dieses zu.
OffTopic:

ot weil nicht wirklich ernst
Oder schreib dir ein BruteForce Script welches alle Möglichkeiten durchprobiert und brüh dir eine Riesenkanne Kaffee dazu.
Theoretisch könntest du nach 2^64 Versuchen bereits eine Kollision erzeugt haben



Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #21 (permalink)  
Alt 12-12-2006, 15:59
nOe
 Registrierter Benutzer
Links : Onlinestatus : nOe ist offline
Registriert seit: Nov 2006
Ort: GAMERny
Beiträge: 253
nOe ist zur Zeit noch ein unbeschriebenes Blatt
nOe eine Nachricht über ICQ schicken
Standard

Zitat:
Original geschrieben von Griecherus
Natürlich machst du das so, wie du's willst... Wir haben dir nur ein paar gut, gut, wirklich gut gemeinte Hinweise gegeben...
War auch nur als Scherz gemeint, meine Aussage... Werde mir natürlich Gedanken zu machen. Deswegen sind wir ja wohl alle hier (mehr oder weniger)...
__________________
"I am what I am and I do what I can..."
Meine HP -- Mein GPG-Key
Meine Projekte: WebStorage 2.0 -- easyAJAX-Chat 2.2.0 (beta)
Mit Zitat antworten
  #22 (permalink)  
Alt 12-12-2006, 16:09
Griecherus
 PHP Senior
Links : Onlinestatus : Griecherus ist offline
Registriert seit: May 2005
Ort: Berlin
Beiträge: 1.036
Griecherus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Um mal auf deine random_factor * md5($string) - Idee zurück zu kommen:
Das "Problem" liegt nicht zwingend beim Hashen, sondern eher an der Tatsache, dass du mit dem timestamp ein relativ leicht rekonstruierbares Passwort hast - auch wenn du 1000 mal hashst. Habe ich den exakten Zeitpunkt, an dem das Passwort generiert wurde, muss ich jetzt nur noch dafür sorgen, dass mein Script herausfindet, wie oft der timestamp gehasht wurde. Auch wenn es 1000 mal gehasht wurde, bin ich nach spätestens 1000 Durchläufen erfolgreich (eben 1000 Möglichkeiten). Wenn dein Passwort jetzt aber aus beispielsweise 6 Zeichen (Groß-, Kleinbuchstaben und Zahlen) besteht, dazu gehasht wurde, gibt es 62 (26 Kleinbuchstaben, 26 Großbuchstaben, 10 Zahlen) hoch 6 (Passwortlänge) Möglichkeiten. Der Unterschied ist gravierend.
Mit Zitat antworten
  #23 (permalink)  
Alt 12-12-2006, 20:25
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von jahlives
OffTopic:

Theoretisch könntest du nach 2^64 Versuchen bereits eine Kollision erzeugt haben

warum nach so vielen?
Mit Zitat antworten
  #24 (permalink)  
Alt 12-12-2006, 21:37
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
original von penizilin
warum nach so vielen?
Ich errinnere mich dunkel an ein chinesisches Team, dass beim md5 Algo nach so vielen Versuchen eine Kollision erzeugen konnte.
Einen Zufallstreffer kann der Topicstarter auch nach einem Versuch landen. Nur wird es dann wohl keine Kolision sein, sondern das wirkliche PW.

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #25 (permalink)  
Alt 12-12-2006, 21:41
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

das ist richtig, ich frage mich nur, warum ausgerechnet maximal _so_ viele?
Mit Zitat antworten
  #26 (permalink)  
Alt 13-12-2006, 00:08
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
original von penizilin
das ist richtig, ich frage mich nur, warum ausgerechnet maximal _so_ viele?
Weil sie es soweit ich mich erinnere bei 2^64 Versuchen reproduzierbar hingekriegt haben... Aber vllt täuscht mich auch meine Erinnerung (soll ja vorkommen )

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #27 (permalink)  
Alt 13-12-2006, 00:50
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ich dachte, md5 wäre ein 128-bit hash und hat somit 2^128 mögliche werte. das kommt auch hin, wenn man die hexadezimale schreibweise betrachtet: 16^32 = (2^4)^32 = 2^128
Mit Zitat antworten
  #28 (permalink)  
Alt 13-12-2006, 01:15
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Die genauen Zahlen für md5 habe ich jetzt nicht gefunden, aber bei einem 160 Bit Hash sind nur ca 2^80 Versuche nötig
http://petritsch.co.at/download/Atta...f_MD5uSHA1.pdf und http://eprint.iacr.org/2004/199.pdf
Diese Verkürzung ergibt sich aus dem Geburtstagsparadoxon

Gruss

tobi

p.s. 2^128 Möglichkeiten sind für die reine Bruteforce Methode. Mit speziellen Algos kann das aber auf die obengenannten 2^80 für 160 Bit verringert werden.
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #29 (permalink)  
Alt 13-12-2006, 01:30
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@penizilin
Vllt war die Formulierung maximal 2^64 Versuche etwas irreführend und sollte korrekt heissen: Bei 2^64 Versuchen liegt die Wahrscheinlichkeit einer Kollision bei 50 %. Also schlimstenfalls noch ein paar Versuche mehr

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Projektmanagement Damals und Heute
Projektmanagement Damals und HeuteWerfen Sie einen Blick auf das, was sich verändert hat, und entdecken Sie, wo die Zukunft dieses Gebietes hinsteuert.

18.01.2021 | Berni

Arbeitsmanagement-Tools
Arbeitsmanagement-ToolsWarum jedes Team Arbeitsmanagement-Tools benötigt. Man schätzt, dass 25% eines durchschnittlichen Mitarbeiter-Tages durch ineffiziente Arbeit vergeudet werden.

11.12.2020 | Berni


 

Aktuelle PHP Scripte

ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script ansehen ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script

Mit unserer Lösungen können Sie nahezu jeden B2B / B2C Marktplatz betreiben den Sie sich vorstellen können. Ganz egal ob Sie einen Automarktplatz, Immobilenportal oder einfach einen Anzeigenmarkt betreiben möchten. Mit ebiz-trader können Sie Ihre Anforder

21.10.2020 Berni | Kategorie: PHP/ Anzeigenmarkt
Sendeplan Script inkl. Wunsch- und Grußbox + Kick-System + Bewerbungssystem

Das professionelle Sendeplan PHP Script inkl. Wunsch- und Grußbox + Kick-System für dein Webradio. Der übersichtliche Sendeplan bietet deinen Moderatoren und Zuhörern die perfekte Übersicht der aktuellen Shows! Du kannst nicht nur Sendungen eintragen, s

20.10.2020 drcomputer | Kategorie: PHP/ Web Radio
Newsmanager 2

Der Newsmanager 2 ist sehr Vielfältig und kann News schreiben, Newsletter versenden und RSS Feeds in einem erzeugen.

20.10.2020 Stephan_1972 | Kategorie: PHP/ News
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 20:58 Uhr.