md5 sicher? passwortschutz

[clemo]

hi leute ich habe den gedanken gehabt die passwörter eines loginberreichs md5 zu sichern (in DB)
ist das sicher ichin hab in einem forum gelesen.. als dies wer fragte gab es folgende antwort: "alleine für den Gedanke gehörst du geschlagen!" wieso kommt aber in diesem forum nicht raus ) ;

kennt wer sicher methoden oder ist md5 eh absulut unzurücksetzwar oder unzurückverschlüsselbar oder wie das auch immer heißt

lg
clemo

 

[Asipak4You]

mach dir am besten selbst ein bild.

Message-Digest Algorithm 5 – Wikipedia

ich jedenfalls nutze md5() gerne um passwörter zu speichern

 

[sysop]

fast alle foren nutzen md5 um passwörter zu verschlüsseln. was sollte unsicher daran sein. wenn wer rein will, macht er das selten über passwort-cracking mehr über fehlerhaften code.

 

[clemo]

ok aber..

gut ich habe ein phpbb forum
und mal aus sicherheitsgründen phpbb forum passwortckrack gesucht bei google
dann habe ich einen 1-seiten langen quellcode gefunden den ich auf meine seitze hätte stellen können und dann ausführen
ausgabe wäre gewesen
user mail passowort
user mail passwort von allen userenr die im forum reg. sind allso ist es doch möglich mittels PHP code md5() zu entschlüsseln da in den commentaren so sprüche functioniert voll super usw standen!

 

[sysop]

nein, muss nicht sein.

wenn ich zugang zu deinem forum bekomme (als z.b. auf deine datenbank) dann kann ich die userdaten auch auslesen. dazu muss ich nur eine schwachstelle in der mysql datenbank finden und ausnutzen oder den phpcode deiner forensoftware hat einen schwachstelle. das sagt über die stärke einer md5 verschlüsselung nichts aus !

dass da md5 ENTschlüsselt wird, halte ich für sehr, sehr, sehr unwahrscheinlich.

setz deinen crcker mal auf dieses recht einfache wort an:

7e4ef92d1472fa1a2d41b2d3c1d2b77a

 

[Joli]

nein, muss nicht sein.

wenn ich zugang zu deinem forum bekomme (als z.b. auf deine datenbank) dann kann ich die userdaten auch auslesen. dazu muss ich nur eine schwachstelle in der mysql datenbank finden und ausnutzen oder den phpcode deiner forensoftware hat einen schwachstelle. das sagt über die stärke einer md5 verschlüsselung nichts aus !

dass da md5 ENTschlüsselt wird, halte ich für sehr, sehr, sehr unwahrscheinlich.

setz deinen crcker mal auf dieses recht einfache wort an:

7e4ef92d1472fa1a2d41b2d3c1d2b77a

tralala
???

 

[sysop]

tralala
???

ja, greift also auf eine der vielen datenbanken zurück.

md5cracker.org | The Cracking Engine for MD5-Hashes

dort finden das in der sekunde ca 10 datenbanken
nun mach es damit:

2cc5b248b946fbf7e86f6a547183cfc8

wenn da nicht "desoxyribonukleisäure" rauskommt, dann klappt dein crcker nicht !

 

[Joli]

ja, greift also auf eine der vielen datenbanken zurück.

md5cracker.org | The Cracking Engine for MD5-Hashes

dort finden das in der sekunde ca 10 datenbanken
nun mach es damit:

2cc5b248b946fbf7e86f6a547183cfc8

wenn da nicht "desoxyribonukleisäure" rauskommt, dann klappt dein crcker nicht !

habs auch über so eine ähnliche Seite "entschlüsselt";);)

 

[sysop]

dann hast du die vorgangsweise ja verstanden.
irgend wer sammeln md5 hashes in einer datenbank und wertet nur per vergleich aus.

 

[Efchen]

Dann nimm doch statt md5 lieber crypt. Das lässt sich nicht entschlüsseln und das Ergebnis der Verschlüsselung ist jedesmal anders. Das ist auch die Verschlüsselung, die Apache bei htaccess verwendet.

 

[sysop]

Dann nimm doch statt md5 lieber crypt. Das lässt sich nicht entschlüsseln und das Ergebnis der Verschlüsselung ist jedesmal anders. Das ist auch die Verschlüsselung, die Apache bei htaccess verwendet.

:lol::lol:

ein login wird dann lustig

ach ja,
mit

 crypt($text,"My");

(dem parameter "MY" oder was immer man auch verwenden möchte) kann man dafür sorgen, dass immer die gleiche methode angewand wird, das passwort ist also nachvollziehbar. nachteil, das passwort ist immer maximal 8 zeichen lang

 

[Efchen]

Nun, ich bin kein Verschlüsselungsexperte, kann Deine Belustigung aber auch nicht verstehen. crypt hat sich bei der Verschlüsselung von Unix-Passwörtern seit Jahrzehnten bewährt, diese lassen sich nicht entschlüsseln, nur ausprobieren und das Ergebnis ist jedesmal ein anderes.
Wie das alles nun mathematisch zu erklären ist, geht über mein Verständnis hinaus. Ich kann nur sagen, wie es ist. Natürlich gibt es auch Passwortcracker dafür (Crack), aber die Arbeiten auf Basis eines Lexikons und probieren diese Begriffe alle aus, abwechselnd mit Groß-/Kleinschreibung, hinten angestellten Zahlen usw. Dafür brauchts dann natürlich auch entsprechende Rechenpower.

 

[splasch]

Nun einige machen das mit mehrfachen hash oder verschlüsselungs Methoden.
So lang nicht bekannt ist wie du bei der Umrechnung vorgehst ist es relative sicher und schwer zurück zu rechnen.

Die einfachste aber eben nicht so sicher ist es md5 2 mal anzuwenden wodurch ganz andere ergebnisse rauskommen zb. md5(md5($text))

Alternative kann man beginnen zu kombieneren die einzelenen Methoden.
md5/crypt zb. crypt(md5($text),"My")

Weiter kann man auch noch Zufallwerte verwenden um den hash gegen rückrechnen zu sicheren. Dabei wird der Zufallwert in den Hash mit einbezogen sowie auch hinten drangehängt damit ein abgleich später auch wieder möglich ist.
zb. $Zufall wird mit Zufallgenerator aus eine Zeichenfolge generiert.
md5($text.$zufall).":".$zufall;

Natürlich kann man nun auch wieder mit den anderen Methoden kombineren die frage ist halt immer wieviel Performenc man dadurch opfern möchte.
zb. zufall
crypt(md5($text.$zufall),$zufall).":".$zufall;

Mfg Splasch