phpBB.de

Die Informationen sind falsch !

MD5 ist keinesfalls eine Verschlüsselung und man sollte sich auch nicht darauf verlassen. Wenn man mysql benutzt sollte man für Passwörter lieber ENCRYPT() nehmen.

MD5 ist nur eine Prüfsumme... also bei jedem Aufruf von MD5 gibt es immer das gleiche Ergebnis so das man keine hackertools braucht um ein einfaches passwort rauszufinden.. ein md5 wörterbuch oder einfachstes script das einen Vergleich macht reicht.

Verschlüsselungsfunktionen verwenden noch ein "Salt" wodurch sie sicherer werden.

Sie sind nicht falsch, lediglich etwas oberflächlich.

BTW, Verschlüsselungsalgorithmen benutzen einen "seed" (=Samen), kein Salz

BTW, Danke für den Hinweis!

Ich will ja nicht besserwisserisch erscheinen aber seed ist die Zufallszahl in random funktionen... Salt ist schon richtig bei crypt() oder encrypt() funktionen


Mysql Handbuch:

ENCRYPT(str[,salt])
Encrypt str using the Unix crypt() system call. The salt argument should be a string with two characters. (As of MySQL Version 3.22.16, salt may be longer than two characters.):
mysql> SELECT ENCRYPT("hello");
-> 'VxuFAJXVARROc'
If crypt() is not available on your system, ENCRYPT() always returns NULL. ENCRYPT() ignores all but the first 8 characters of str, at least on some systems. This will be determined by the behaviour of the underlying crypt() system call.

Hmm... Öfter mal was neues. Habe bisher bei solchen Dingen immer nur von "seed" gelesen... Salz mach irgendwie keinen Sinn, es sei denn ´man Übersetzt mit "Streusalz"

Wie auch immer, wir verstehen uns immerhin, auch wenn wir verschiedene Wörter benutzen

dafire hat geschrieben:MD5 ist nur eine Prüfsumme... also bei jedem Aufruf von MD5 gibt es immer das gleiche Ergebnis so das man keine hackertools braucht um ein einfaches passwort rauszufinden.. ein md5 wörterbuch oder einfachstes script das einen Vergleich macht reicht.

MD5 ist ein hash und keine normale Prüfsumme (CRC, CRC32), genau wie bei DES, Blowfish oder sonstigen Verfahren wird eine one-way-encryption vorgenommen, die immer das gleiche Ergebnis liefert.
Deshalb soll man ja auch 'mindestens' 8 Zeichen (Sonderzeichen gepaart mit Groß-Kleinschreibung und Zahlen) verwenden. Dann kommt 1. kein Wörterbuch hinterher, und Brute Force würde viel zu lange dauern.

Wollte nur mal eben meinen Senf zu md5 abgeben.

Es ist übrigens keine Schwachstelle der Verschlüsselungsroutine (in welcher Form auch immer), wenn Benutzer auf gedankenreiche Passwörter wie 12345 oder 0815 kommen...

Gruß, Philipp

Ich hab mal kurz gerechnet. Ein MD5-Hash hat 128 bit, d.h. es gibt Theoretisch
340.282.366.920.938.463.463.374.607.431.768.211.455 verschiedene Ergebnisse. Wenn das Passwort entsprechend lang ist (bei 3 Zeichen input kann man beim output natürlich nicht viel erwarten), kommst du also mit einem "md5 wörterbuch oder einfachstes script" nicht weit.

ich denke wenn man 6 Zeichen benutzt wird es schon recht schwer das herauszufinden...

Und wie itst sagte ist das Tut. oberflächig, aber es sollte ja eigentlich nur mal die ganzen Fragen á la "Was ist md5, wzu brauch ich das, wie entschlüssele ich das...." beantworten.

Dwing hat geschrieben: Und wie itst sagte ist das Tut. oberflächig, aber es sollte ja eigentlich nur mal die ganzen Fragen á la "Was ist md5, wzu brauch ich das, wie entschlüssele ich das...." beantworten.

denke ich auch. Um verständlich zu bleiben muß man eben fakten auslassen, anders geht es oft nicht. Wär in einem forum wie diesem eine 100% korrekte dokumenation zu md5 erwartet dem kann man nun wirklich nicht mehr helfen. Zusowas gibt es haufenweise doku und quellcodes im netz, in die man sich dann eben einarbeiten muß wenn man es gena wissen will.

Mfg
Jens

Es ging mir nur darum klarzustellen das es eigentlich keine Verschlüsselung ist sondern nur eine art Prüfsumme. Sicher kann man es für Passwörter verwenden, vor allem wenn normal eh keiner an den String kommt. Es ist mehr eine Verschleiherung.

Man koennte einfach eine sql tabelle machen mit
wort - md5string
wo man alle zahlen-buchstabenkombinationen bis 8 zeichen z.b. reinpackt ... das sind sicher ne ganze menge aber ich bin sicher eine sql abfrage nach dem string bringt in 90% der fälle das ergebnis und es sind seeeeehr viel weniger möglichkeiten
(324518553658426726783156020576256)

Ich werd mal probieren wie lange so eine abfrage bei mir dauert...