md5() verbessern

measel101

Mitglied

• 14. Mai 2003

• #1

Ok, kann sein das es übertrieben ist, aber habt ihr schonmal nachgedacht, dass "einfaches" *lol* verschlüsseln ziemlich gefährlich sein kann? Ich meine wer hatte noch keinen fremden md5-string vor sich ?

Jetzt gibt's ja die möglichkeit das pw herauszubekommen (wie sag ich net ). Je nach länge kann das einige zeit dauern, aber über 8 Zeichen haben wenige Menschen. Und sonderzeiche, etc. verwenden auch kaum welche. Unterm strich: auch 8 stellige PWs hat man ruck zuck..

also was haltet ihr von einer zweifachen md5 verlüsselung:

$pw = md5(md5($password));

Selbst wenn das PW nur "a" war hat es am ende schon zig zeichen mehr. Sollte man dann den md5 string decodieren, so bekommt man ja nur den erste md5-string ^^

Postet mal eure meinung bitte

 

Matthias Reitinger

ɐɯıǝɹ

• 14. Mai 2003

• #2

Hm, ziemlich sinnlos darüber zu diskutieren. Wenn jemand an die md5-Hashes in der Datenbank kommen sollte, kommt er höchstwahrscheinlich auch an die anderen Daten dort und muss sich nicht erst umständlich das Passwort per Brute-Force ermitteln lassen. Ergo hilft ein Hashing des Hashes nicht recht viel...

 

F

Fabian H

• 14. Mai 2003

• #3

Vielleicht versteh ich deinen Post nicht richtig, aber md5() liefert immer einen 32 Stelligen String zurück.

 

W

Wolfsbein

Erfahrenes Mitglied

• 14. Mai 2003

• #4

Original geschrieben von measel101
...Jetzt gibt's ja die möglichkeit das pw herauszubekommen (wie sag ich net ). Je nach länge kann das einige zeit dauern, aber über 8 Zeichen haben wenige Menschen...

Zum Vergrößern anklicken....

Wage ich stark zu bezweifeln. Es wäre längst ein Aufschrei durch sämtliche Foren und Securityseiten gegengen. Ich habe aber nichts mitgekriegt. Und wie bereits gesagt liefert md5 immer einen Schlüssel mit 32 Zeichen zurück. Egal ob du jetzt nur einen Buchstaben oder das gesammte Image einer Linuxdistri durchjagst.

 

measel101

Mitglied

• 14. Mai 2003

• #5

@reima: nur weil den string hast, heißt es ja nicht, dass du auch den rest hast. könnte ja sein, dass der user das pw häufiger verwendet und du deswegen das pw wissen willst.

@Nuinmundo: wenn du "a" in einen md5-string verwandeslt, dauert das noch nicht einaml ne sekunde und du hast das pw. verwandeslt du aber "a" in einen 32 stelligen code und verwandeslt den in einen md5-string, so dauert das decodieren bestimmt ein jahr

@Wolfsbein: also ich würde es nicht schreiben, wenn ich die dinger nicht schon selbst decodiert hätte. oder glaubst du ich komm sonst auf so eine "verrückte" idee ?

die ersten 4 Zeichen gehen immer ruck zuck (1 min.), wenn das pw aber schon 5 zeichen beinhaltet, dauerts bestimmts schon 2 min und bei 8 zeichen dauerts 3 tage --> 32 zeichen = mehrere Jahre ?

 

Matthias Reitinger

ɐɯıǝɹ

• 14. Mai 2003

• #6

@measel101: Unwahrscheinlich...
Und decodiert hast du einen md5-Hash sicher nicht, höchstens per Zufall drauf gekommen (Brute Force eben).

 

R

ronin

Erfahrenes Mitglied

• 22. Mai 2003

• #7

Hallo.


Wenn dir md5 nicht sicher genug ist, dann bietet dir php doch noch crypt() an.
Was aber rein technisch wirklich egal ist. Wenn jemand an die Hashes kommt, hast du wirklich ein Problem mit deinem Server. Da hilft auch die beste Verschlüsselung nix.


Ronin

 

T

Tim C.

Erfahrenes Mitglied

• 22. Mai 2003

• #8

Nunja hin und her...klar sollte doch eigentlich sein, dass md5 keine tatsächliche Verschlüsselung liefert, sonder ähnlich wie crc32() eine Checksumme (Hash).

 

B

blubber

Erfahrenes Mitglied

• 22. Mai 2003

• #9

hi,

wo liegt eigentlich grad das problem? Jag halt deine Passwörter 2mal durch md5, und jeder ist glücklich

bye

 

W

Wolfsbein

Erfahrenes Mitglied

• 22. Mai 2003

• #10

Original geschrieben von blubber
hi,
wo liegt eigentlich grad das problem? Jag halt deine Passwörter 2mal durch md5, und jeder ist glücklich
bye

Zum Vergrößern anklicken....

Es wäre ein Möglichkeit aber imho ziemlich nutzlos. Wenn er, wie er sagt - aber ich nicht glauben kann - die Md5 Hashes entschlüsseln kann, dann würde auch die doppelte Verschlüsslung nicht helfen.
Einer Bruteforceattacke kann er damit auch nicht besser wiederstehen, da das PW auf der Homepage trotzdem "normal" eingegeben wird und dann auf dem Server halt zweimal verschlüsselt wird. Also imho nutzlos.
EDIT: Jetzt ist mir noch eingefallen wann es helfen könnte: Wenn jemand die Hashes aus der DB geklaut hat und dann per Bruteforce die PWs rausfinden will, dann wird er bei 32 Stellen nicht glücklich werden. Aber es ist halt mehr Theorie.