Ok, kann sein das es übertrieben ist, aber habt ihr schonmal nachgedacht, dass "einfaches" *lol* verschlüsseln ziemlich gefährlich sein kann? Ich meine wer hatte noch keinen fremden md5-string vor sich ?

Jetzt gibt's ja die möglichkeit das pw herauszubekommen (wie sag ich net ). Je nach länge kann das einige zeit dauern, aber über 8 Zeichen haben wenige Menschen. Und sonderzeiche, etc. verwenden auch kaum welche. Unterm strich: auch 8 stellige PWs hat man ruck zuck..

also was haltet ihr von einer zweifachen md5 verlüsselung:

$pw = md5(md5($password));

Selbst wenn das PW nur "a" war hat es am ende schon zig zeichen mehr. Sollte man dann den md5 string decodieren, so bekommt man ja nur den erste md5-string

Postet mal eure meinung bitte

Hm, ziemlich sinnlos darüber zu diskutieren. Wenn jemand an die md5-Hashes in der Datenbank kommen sollte, kommt er höchstwahrscheinlich auch an die anderen Daten dort und muss sich nicht erst umständlich das Passwort per Brute-Force ermitteln lassen. Ergo hilft ein Hashing des Hashes nicht recht viel...

Vielleicht versteh ich deinen Post nicht richtig, aber md5() liefert immer einen 32 Stelligen String zurück.

Original geschrieben von measel101
...Jetzt gibt's ja die möglichkeit das pw herauszubekommen (wie sag ich net ). Je nach länge kann das einige zeit dauern, aber über 8 Zeichen haben wenige Menschen...

Wage ich stark zu bezweifeln. Es wäre längst ein Aufschrei durch sämtliche Foren und Securityseiten gegengen. Ich habe aber nichts mitgekriegt. Und wie bereits gesagt liefert md5 immer einen Schlüssel mit 32 Zeichen zurück. Egal ob du jetzt nur einen Buchstaben oder das gesammte Image einer Linuxdistri durchjagst.

@reima: nur weil den string hast, heißt es ja nicht, dass du auch den rest hast. könnte ja sein, dass der user das pw häufiger verwendet und du deswegen das pw wissen willst.

@Nuinmundo: wenn du "a" in einen md5-string verwandeslt, dauert das noch nicht einaml ne sekunde und du hast das pw. verwandeslt du aber "a" in einen 32 stelligen code und verwandeslt den in einen md5-string, so dauert das decodieren bestimmt ein jahr

@Wolfsbein: also ich würde es nicht schreiben, wenn ich die dinger nicht schon selbst decodiert hätte. oder glaubst du ich komm sonst auf so eine "verrückte" idee ?

die ersten 4 Zeichen gehen immer ruck zuck (1 min.), wenn das pw aber schon 5 zeichen beinhaltet, dauerts bestimmts schon 2 min und bei 8 zeichen dauerts 3 tage --> 32 zeichen = mehrere Jahre ?

@measel101: Unwahrscheinlich...
Und decodiert hast du einen md5-Hash sicher nicht, höchstens per Zufall drauf gekommen (Brute Force eben).

Hallo.


Wenn dir md5 nicht sicher genug ist, dann bietet dir php doch noch crypt() an.
Was aber rein technisch wirklich egal ist. Wenn jemand an die Hashes kommt, hast du wirklich ein Problem mit deinem Server. Da hilft auch die beste Verschlüsselung nix.


Ronin

Nunja hin und her...klar sollte doch eigentlich sein, dass md5 keine tatsächliche Verschlüsselung liefert, sonder ähnlich wie crc32() eine Checksumme (Hash).

hi,

wo liegt eigentlich grad das problem? Jag halt deine Passwörter 2mal durch md5, und jeder ist glücklich

bye

Original geschrieben von blubber
hi,
wo liegt eigentlich grad das problem? Jag halt deine Passwörter 2mal durch md5, und jeder ist glücklich
bye

Es wäre ein Möglichkeit aber imho ziemlich nutzlos. Wenn er, wie er sagt - aber ich nicht glauben kann - die Md5 Hashes entschlüsseln kann, dann würde auch die doppelte Verschlüsslung nicht helfen.
Einer Bruteforceattacke kann er damit auch nicht besser wiederstehen, da das PW auf der Homepage trotzdem "normal" eingegeben wird und dann auf dem Server halt zweimal verschlüsselt wird. Also imho nutzlos.
EDIT: Jetzt ist mir noch eingefallen wann es helfen könnte: Wenn jemand die Hashes aus der DB geklaut hat und dann per Bruteforce die PWs rausfinden will, dann wird er bei 32 Stellen nicht glücklich werden. Aber es ist halt mehr Theorie.

Die einzige art einen HASH zu knacken ist Glück! und davon brauchste dann wirklich viel!
nebenbei kann man jedes passwort knacken egal wie lang und hart es codiert ist!
man braucht nur sehr sehr viel Zeit und einen sehr sehr schnellen Rechner!
aber mal im ernst,
wenn einer das Password haben will dann bekommt er es auch!
mach ganz einfach ne Ip-sperre die nach 3 versuchen 30 mins nichts mehr zulässt!
sicherer gehts nicht!

Original geschrieben von reima
Hm, ziemlich sinnlos darüber zu diskutieren. Wenn jemand an die md5-Hashes in der Datenbank kommen sollte, kommt er höchstwahrscheinlich auch an die anderen Daten dort und muss sich nicht erst umständlich das Passwort per Brute-Force ermitteln lassen. Ergo hilft ein Hashing des Hashes nicht recht viel...

wenn jemand zugriff auf die db hat, hat man eh verloren.

es ist aber viel wahrscheinlicher, dass man an das cookie kommt in dem das md5 komprimierte passwort steht.

wieso es keinen sinn macht ein md5 komprimiertes passwort nochmal md5 zu komprimieren verstehe ich auch nicht so ganz.

angenommen er hat a als passwort-> ich gehe dann davon aus dass die entschlüsselung ein wenig schneller gehen würde, als wenn er c99c56c5bd35958b65a0b537a814db8b

als passwort hätte.
und wenn er a als passwort hätte würde es einmal komprimiert werden: 0cc175b9c0f1b6a831c399e269772661

und dann nochmal: d7afde3e7059cd0a0fe09eec4b0008cd
somit währe er, wenn er das 2. passwort aus dem cookie herausbekommen hätte, und es entschlüsselt hätte, erst bei dem pass 0cc175b9c0f1b6a831c399e26977266, und dieser vorgang würde länger dauern als einfach nur ein 'a' zu entschlüsseln

hm hoffe ihr versteht mich, war jetzt kein hochglanz-deutsch

Naja
tatsache ist doch das du nur ein Inputfield hast!
In das gibste dein Pass ein, Php erstellt darraus einen Hash und vergleicht den mit den der in der Datenbank ist,
ist es richtig hatt er zugang, falls nicht -> acces denied!
Also was soll es bringen einen Verschlüsselten Code nochmal zu verschlüsseln wenn er nur bei dem Eingabefeld sein Passwort mit noch nicht errechneten Hash eingeben muss?
In meinen Augen wäre sowas Resourcenverschwendung...

Ich denke das einzigste was man bei MD5 bedenken sollte, ist das der resultierende Hash nicht eindeutig ist. Sprich dein "a" kann den gleichen MD5 String haben wie die aktuelle Debian Iso Cd3. Die Wahrscheinlichkeit ist sicher gering, aber gegeben. Und auf Grund das MD5 nicht eindeutig ist, kann man es auch nicht "entschlüsseln". Man kann nur wie bei jeder Summe einzelnde Summanden herausbekommen.

Und wenn wer an die Hashes in der DB kommt ist Polen sowieso offen.

Und auch im Cookie sollte das Passwort nicht gespeichert werden, auch nicht in Form eines MD5 Strings oder vielleicht noch 3 Buchstaben nach Rechts Codierung. Wenn man sowas macht, sollte man sich nicht wundern wenn die eigene Seite irgendwann lustige Daten ausgibt oder einem Defacement unterzogen wurde.

irgend einen wert, der den user identifiziert muss man aber im cookie speichern, wenn man einen dauerhaften login (wie zb hier auf tutorials.de) erstellen will

nur nur die id oder username reicht nicht, dass wäre zu unsicher

bei einem meiner projekte wird bei jedem login ein temporäres passwort erstellt, und im cookie gespeichert, dass ist meinermeinung nach relativ sicher