phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

MD5 ist UNSICHER !

https://www.phpbb.de/community/viewtopic.php?t=131607

Seite 1 von 1

MD5 ist UNSICHER !

Verfasst: 20.09.2006 17:21
von heliwasp
Wann wird endlich ein Update von PHPBB angeboten, welches Passwörter nicht mehr im MD5 Hash speichern. Dieser HASH gilt heute als definitiv untauglich.

Warum? MD5 Hashes werden heute innert kürzester Zeit und auf einfachste Weise mittels sog. Rainbow Tables geknackt. Online Dienste wie die von Astalavista.net erlauben heute, solche Hashes zu 99% in kürzester Zeit (<3h) zu knacken. Und das kinderleicht....

Wie lange dauert es noch, bis PHPBB ein sicheres Verfahren benutzt? SHA-1 wäre ein Ersatz für MD5.

Ich denke vielen Leuten ist nicht bewusst wie nutzlos diese MD5 Verschlüsselung ist und gehen sehr unvorsichtig mit Passwörter um.

In Hoffnung auf baldige Updates/Patches...
heliwasp

Verfasst: 20.09.2006 18:38
von cback
Naja mal ehrlich, um diese Tables nutzen zu können musst Du schon an die PW Hashes rankommen sprich, Du brauchst Datenbankzugriff und dann kannste auch den Hash auf einen beliebigen Wert zurücksetzen. ;) Der Original PW Hash wird ja zum glück nicht an Clientrechner gesendet. Keine Verschlüsselung bietet absoluten Schutz. Wenn die Verbreitung von SHA zunimmt wird es da sicher auch ähnliche Arten geben diese gezielt aufzubekommen.

Verfasst: 20.09.2006 19:05
von Zyancali
heliwasp hat geschrieben: Ich denke vielen Leuten ist nicht bewusst wie nutzlos diese MD5 Verschlüsselung ist und gehen sehr unvorsichtig mit Passwörter um.
Man man man, also hier übertreibt jemand...

Md5 reicht im Moment vollkommen und besser als keine Verschlüsselung ist es auch.
Es hält immerhin so manche Leute hier ab, die Passwörter ihrer User auszuspionieren.
Außerdem sind die Windowspasswörter auch unsicher und lassen sich auch
per Rainbowtables knacken - selbst probiert :-)

Also erst mal cool down 8-)

Verfasst: 20.09.2006 23:53
von Dennis63
Vorab1: Wir hier sind die deutsche Supportseite für das phpBB. Aber entwickelt wird das phpBB hier: www.phpbb.com . Also mußt Du Dich mit Deiner Bitte an die Entwickler wednen.

Vorab2: Die Unsicherheit von md5() macht ein phpBB nicht unsicher.


Klar kann man ein md5-Hash knacken. Aber das bringt auch wenig. Wie oben schon geschrieben, kommt man nur mit DB-Zugriff an den Hash. Und mit Zugriff kann man das PW so oder so ändern.
Man muss für die Sicherheit auch kein SHA1 verwenden. Zum einen ist das schon genau so geknackt, zum anderen tut es ein "gesalzenes" md5 auch.

Und zu guter Letzt ist das phpBB2 mehr oder weniger im Entwicklungsstop. Die Entwickler konzentrieren sich auf das künftige phpBB3.

Grüße
Dennis
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de