[Delphi/MD5Hash] Passwort zurückhashen

Bexx

Verrückte Erfinderin bei Daniel Düsentrieb
Huhu,

noch eine kurze Frage, habe ich die Möglichkeit in Delphi ein gehashtes PW zurückzuhashen?
Ich muss in einer DB die Zugangsdaten auf mehreren Server-Clients synchron halten. Ändert sich das eine, muss das andere ebenfalls wieder geändert werden. Die API von Server 1 schickt mir das PW über die getLoginData aber nur als Hash zurück, ich brauche nach Vorgabe aber Klartext. Diese Transparenz ist in meinem UseCase auch so gewollt.

Gibts da was?
 

Bratkartoffel

gebratene Kartoffel
Premium-User
Hi,

kurz gesagt: Nein, zumindest nicht ohne sehr sehr viel Aufwand.

Ein Hash ist eine Einweg-Funktion, sprich nur von Klartext -> Hash. Du kannst es nicht zurückrechnen, nur Kollisionen finden indem du der Reihe nach per Bruteforce verschiedene Zeichenketten hashst und mit der gegebebenen md5-Summe vergleichst.
Hier kann es aber auch passieren, dass zwei völlig unterschiedliche Zeichenketten die gleiche md5-Summe bilden, hier ein Beispiel.

Übrigens genau aus dem Grunde sollte man MD5 auf keinen Fall mehr zu Sicherheitszwecken (wie Passwörter) verwenden!

Grüße,
BK
 
Zuletzt bearbeitet:

Bexx

Verrückte Erfinderin bei Daniel Düsentrieb
Dankeschön für die Erklärung.
BruteForce kann leider keine Lösung sein, da ich eine eindeutige Entschlüsselung brauchen würde... Bleibt nix anderes übrig, als die API-Menschen mal anzuschreiben und nach einem solideren Workaround zu suchen :/

Schönen Tag und danke nochmal
 

Bratkartoffel

gebratene Kartoffel
Premium-User
Hi,

nun ja, kommt darauf an, wie die das Passwort intern speichern. Klartext sollte imho nie eine Option sein, von daher ist das in deinem Use-Case auch nicht gerade optimal.

Grüße,
BK
 

Bexx

Verrückte Erfinderin bei Daniel Düsentrieb
Wenn ich dir jetzt noch sage, dass bei uns und bei unseren Kunden FTP noch großflächig eingesetzt wird, wirste die Hände überm Kopf zusammenschlagen :D
 

Bratkartoffel

gebratene Kartoffel
Premium-User
Wenn ich dir jetzt noch sage, dass bei uns und bei unseren Kunden FTP noch großflächig eingesetzt wird, wirste die Hände überm Kopf zusammenschlagen :D

Och, FTP ist gar nicht soooo schlimm, solange es mit SSL/TLS gesichert ist ;)
Habe das bei meinen Webseiten auch noch im Einsatz wenn andere daran mitarbeiten. Will denen nicht unbedingt SSH Zugriff auf den Server geben für SFTP.

Grüße,
BK
 

Bexx

Verrückte Erfinderin bei Daniel Düsentrieb
Das [berühmte Redetalent] Zai Yu schlief am helllichten Tage. Der Meister sprach [daraufhin]: “Morsches Holz kann man nicht mehr schnitzen, eine Wand aus Dung kann man nicht anstreichen: [Genauso] kann ich auch diesen Yu nicht mehr ermahnen.” Der Meister fuhr fort: “Anfangs war ich den Menschen gegenüber so eingestellt, dass ich mir ihre Worte anhörte und dann auf ihre Taten vertraute. Heute nun bin ich den Menschen gegenüber so, dass ich mir ihre Worte anhöre und zugleich ihre Taten beobachte. Erst dieser Yu ließ mich das ändern.”
 

Neue Beiträge