Generelle Frage zu Passwörtern

[MX998]

Hallo,
die Userpasswörter werden ja in der Datenbank verschlüsselt gespeichert. Nicht dass ihr denkt ich möchte da dran, mich würde nur interessieren ob es überhaupt möglich ist die wieder zu entschlüsseln, denn diesen Verdacht habe ich (lange Geschichte)

Also eigentlich eine JA/NEIN Atwort, denn ich muss auch nicht wissen wie und nochwas: falls es möglich ist, ist das auch bei vbulletin so oder benutzen die was anderes?

[thoha]

darüber hab ich mir auch schon mal Gedanken gemacht.

Wenn man sich in einem phpBB-Forum anmeldet, wird das Passwort ja verschlüsselt in der DB gespeichert. Wenn sich jedoch der User einloogen will, muss das phpBB das verschlüsselte PW ja wieder "zurückgeschlüsselt" werden. Wie schafft es das phpBB? Oder mach ich generell eine falsche Überlegung?

[Dr.Death]

Hier ist die Antwort:

MD5-Verschlüsselung: Bei der MD5-Verschlüsselung handelt es sich um eine Einweg-Verschlüsselung. Dabei wird ein Text beliebiger Länge in einen 128-bit-Hash-Wert umgewandelt. Der Hash-Wert ist dabei für den ursprünglichen Text kennzeichnend, in dem es nahezu unmöglich ist, zwei Ausgangswerte zu finden, die den selben Hash-Wert erzeugen. Auch lässt der Hash-Wert keinen Rückschluss auf den ursprünglichen Wert zu. phpBB nutzt MD5 zur Verschlüsselung von Passwörtern und speichert den Hash-Wert als 32-stelligen Hexadezimalwert ab. Somit kann der Administrator das Passwort nicht als Klartext auslesen. Weitere Informationen zu MD5 gibt's (für die ganz harten) in RFC 1321.

Gefunden hier: http://www.phpbb.de/doku/doku2.php?mode=themes_name

[ggfan]

Die Passwörter werden nicht verschlüßelt. phpbb verwendet die PHP-Funktion md5(), die aus einer Zeichenkette einen 32-stelligen Hash bildet(errechnete Zeichenkette aus Buchstaben und Zahlen). Für jedes Wort gibt es dann auch sollte es dann genau einen Hash geben(Was bei md5 zwar nicht gegeben ist, weshalb man auch statt md5 crypt() oder sha1() bevorzugen könnte).
Wenn jetzt jemand beim Login das Passwort angegibt, wird dieses mit md5() in einen Hash umgewandelt und dann mit dem HAsh in der Datenbank verglichen(gleiche Wörter ergeben immer den gleichen Hash).
Eine Funktion zum Rückverschlüßeln gibt es nicht. Die einzige Möglichkeit ist es mit einer Brutforceattacke solange verschiedene Passörter durchzuprobieren, bis man das richtige gefunden hat.

Edit, da war jemand schneller ^^

[Tobi91]

Die Passwörter werden nicht verschlüßelt.

Klar werden die Verschlüsselt. Warum denkste heißt das "MD5-Verschlüsselung"?

Wenn sie nicht verschlüsselt werden, werden sie einfach so in die DB geschrieben...

-Tobi91

[thoha]

Wenn jetzt jemand beim Login das Passwort angegibt, wird dieses mit md5() in einen Hash umgewandelt und dann mit dem HAsh in der Datenbank verglichen(gleiche Wörter ergeben immer den gleichen Hash).

Ah so ist das. Ich habe "geglaubt" dass das phpBB den MD5-hash aus der DB nimmt und wieder rückverschlüsselt. Da hab ich wohl falsch gelegen.

[tost]

Ja...

Nur kann man als Admin die Verschlüsselung ganz einfach ausschalten, dazu gibts aber hier sonst keine Infos mehr..

Bei guten Passwörtern ist eine BruteForce Attacke jedoch ziemlich zwecklos, da die Chancen (bei a-z; A-Z ; 1-9 und oder Sonderzeichen) sich ja so enorm vergrößern..

[HdZ]

Ah so ist das. Ich habe "geglaubt" dass das phpBB den MD5-hash aus der DB nimmt und wieder rückverschlüsselt. Da hab ich wohl falsch gelegen.

Keine ordentliche Software, egal ob Forum, CMS, BS oder sonstwas tut Passwörter o. ä. entschlüsseln. Es wird immer das was der Benutzer eingibt verschlüsselt und mit dem gespeicherten abgeglichen.
Stell Dir vor, es würde so sein wie Du es sagst, dann könnte man ja u. U. das Passwort auslesen und könnte sich dann mit dem echten Passwort anmelden und braucht kein "Hacking".