wie sicher ist md5?

Bubu · Beitrag von **Bubu** » 31.08.2004 15:40

Hallo,

ich war immer der Meinung, dass die Verschlüsselung per md5 wie auch im phpbb eine ziemlich sichere Sache ist.

Jetzt hat mir jemand erzählt, dass es angeblich recht einfach sei, im phpbb die Passwörter auszulesen.

Ich glaube das nicht. aber was sagt Ihr dazu?

MfG

Bubu

StarShop · Beitrag von **StarShop** » 31.08.2004 15:58

Naja, leicht bestimmt nicht.

Interessant ist dieser Artikel:

http://www.heise.de/newsticker/meldung/50148

StarShop · Beitrag von **StarShop** » 31.08.2004 16:02

hm, vielleicht doch leichter als gedacht:

http://md5crk.com/

Man kann wohl das Passwort nicht auslesen, aber einen String fidnen, der verschlüsselt dieselbe Zeichenfolge ergibt und das in wenigen Stunden.

Bubu · Beitrag von **Bubu** » 31.08.2004 16:14

Danke schon mal so weit! nur mehr davon

im Fall phpbb: für das Finden der gleichen Zeichenfolge muss man aber dann auch erstmal die Zeichenfolge aus der Datenbank rausholen, oder?
und da kommt ja nun auch nicht jeder ohne Weiteres ran?!?

larsneo · Beitrag von **larsneo** » 31.08.2004 21:15

und da kommt ja nun auch nicht jeder ohne Weiteres ran?!?

bis zur version 2.0.8 kommt da jeder dran

interessant bleibt noch die frage, ob die kollisionen in md5 via bruteforce oder aber analytisch gefunden wurden - im letzteren fall sähe es wirklich ziemlich dunkel aus... für sha-1 will übrigens rijmen (einer der aes entwickler) auch eine 'powerfull attack' gefunden haben - näheres dazu gibt es aber wohl (zum glück) noch nicht...

<ironie>...und eigentlich bedeutet die md5-kollisionsgeschichte ja *nur*, dass es bald möglich sein wird, sich mit zwei verschiedenen kennworten anzumelden die jeweils gegenüber dem hinterlegten crypt validieren

</ironie>

Bubu · Beitrag von **Bubu** » 31.08.2004 23:59

larsneo hat geschrieben:bis zur version 2.0.8 kommt da jeder dran

bis einschließlich der Version 2.08? also mit ner 2.08 steht das ganze offen wie ein Scheunentor?

wie das? wie funktioniert das bzw woran liegt es und wie könnte man das verhindern?

larsneo · Beitrag von **larsneo** » 01.09.2004 08:03

wie funktioniert das bzw woran liegt es

durch einen bug in der privmsg.php der in verbindung mit mysql4 und der dortigen union syntax eine sql-injection erlaubt

wie könnte man das verhindern?

durch einen update auf 2.0.10 (die 2.0.9 hat einen ähnlich schweren bug der unter gewissen umständen das löschen von fremden postings erlaubt)

Bubu · Beitrag von **Bubu** » 01.09.2004 11:38

das ist doch der Bug, bei dem man den Punkt in der Syntax entfernen muss, oder?

der wurde hier aber schon gepostet.

oder ist da noch ein anderer?

larsneo · Beitrag von **larsneo** » 01.09.2004 11:53

natürlich wurde der bug bereits behandelt - schliesslich ist derzeit die 2.0.10 aktuell. wie aber bereits gesagt hat auch die 2.0.9 so ihre lücken, so dass man definitiv die 2.0.10 sourcen einsetzen sollte, damit die seite wirklich sicher ist (und sich nicht durch das nachziehen von ein paar snippets in sicherheit vermutet)...