md5() verbessern

[SonicBe@m]

Die einzige art einen HASH zu knacken ist Glück! und davon brauchste dann wirklich viel!
nebenbei kann man jedes passwort knacken egal wie lang und hart es codiert ist!
man braucht nur sehr sehr viel Zeit und einen sehr sehr schnellen Rechner!
aber mal im ernst,
wenn einer das Password haben will dann bekommt er es auch!
mach ganz einfach ne Ip-sperre die nach 3 versuchen 30 mins nichts mehr zulässt!
sicherer gehts nicht!

 

[dave_]

Original geschrieben von reima
Hm, ziemlich sinnlos darüber zu diskutieren. Wenn jemand an die md5-Hashes in der Datenbank kommen sollte, kommt er höchstwahrscheinlich auch an die anderen Daten dort und muss sich nicht erst umständlich das Passwort per Brute-Force ermitteln lassen. Ergo hilft ein Hashing des Hashes nicht recht viel...

wenn jemand zugriff auf die db hat, hat man eh verloren.

es ist aber viel wahrscheinlicher, dass man an das cookie kommt in dem das md5 komprimierte passwort steht.

wieso es keinen sinn macht ein md5 komprimiertes passwort nochmal md5 zu komprimieren verstehe ich auch nicht so ganz.

angenommen er hat a als passwort-> ich gehe dann davon aus dass die entschlüsselung ein wenig schneller gehen würde, als wenn er c99c56c5bd35958b65a0b537a814db8b

als passwort hätte.
und wenn er a als passwort hätte würde es einmal komprimiert werden: 0cc175b9c0f1b6a831c399e269772661

und dann nochmal: d7afde3e7059cd0a0fe09eec4b0008cd
somit währe er, wenn er das 2. passwort aus dem cookie herausbekommen hätte, und es entschlüsselt hätte, erst bei dem pass 0cc175b9c0f1b6a831c399e26977266, und dieser vorgang würde länger dauern als einfach nur ein 'a' zu entschlüsseln

hm hoffe ihr versteht mich, war jetzt kein hochglanz-deutsch

 

[SonicBe@m]

Naja
tatsache ist doch das du nur ein Inputfield hast!
In das gibste dein Pass ein, Php erstellt darraus einen Hash und vergleicht den mit den der in der Datenbank ist,
ist es richtig hatt er zugang, falls nicht -> acces denied!
Also was soll es bringen einen Verschlüsselten Code nochmal zu verschlüsseln wenn er nur bei dem Eingabefeld sein Passwort mit noch nicht errechneten Hash eingeben muss?
In meinen Augen wäre sowas Resourcenverschwendung...

 

[tefla]

Ich denke das einzigste was man bei MD5 bedenken sollte, ist das der resultierende Hash nicht eindeutig ist. Sprich dein "a" kann den gleichen MD5 String haben wie die aktuelle Debian Iso Cd3. Die Wahrscheinlichkeit ist sicher gering, aber gegeben. Und auf Grund das MD5 nicht eindeutig ist, kann man es auch nicht "entschlüsseln". Man kann nur wie bei jeder Summe einzelnde Summanden herausbekommen.

Und wenn wer an die Hashes in der DB kommt ist Polen sowieso offen.

Und auch im Cookie sollte das Passwort nicht gespeichert werden, auch nicht in Form eines MD5 Strings oder vielleicht noch 3 Buchstaben nach Rechts Codierung. Wenn man sowas macht, sollte man sich nicht wundern wenn die eigene Seite irgendwann lustige Daten ausgibt oder einem Defacement unterzogen wurde.

 

[dave_]

irgend einen wert, der den user identifiziert muss man aber im cookie speichern, wenn man einen dauerhaften login (wie zb hier auf tutorials.de) erstellen will

nur nur die id oder username reicht nicht, dass wäre zu unsicher

bei einem meiner projekte wird bei jedem login ein temporäres passwort erstellt, und im cookie gespeichert, dass ist meinermeinung nach relativ sicher

 

[LLCoolDannY]

Hier das ist doch besser, oder?

<?php
$var = "TEST";
srand((double)microtime()*10);
$f = rand(2, 10);
for($i=0;$i<$f;$i++){
$var = md5($var);
}
echo $var;
?>

 

[Wolfsbein]

Original geschrieben von LLCoolDannY
Hier das ist doch besser, oder?
...

Lies dir den kompletten Thread noch einmal durch. Dann überlegst du warum dein Code _nicht_ besser ist und sagst es uns .

 

[loki2002]

Einen MD5() - 128 bit hash zu knacken, dürfte einiges an Zeit kosten = ...aber wer mit 128 bit nicht auskommt kann es auch gerne mal mit 160 bit versuchen .. sprich SHA_1();

 

[JohannesR]

Wie sollte der potentielle Angreifer denn an die Passwordhashes kommen?
Ich gehe mal einfach davon aus, dass Du sie ihm ja nicht verraten wirst, oder?
Ich glaube wir können das leidige Thema eigentlich beenden, weil für jemanden, der die Sicherheit von MD5 in frage stellt, MD5 mit sicherheit ausreicht.