Hi zusammen,
Ich wollte mal nach dem Sinn von Verschlüsselungen wie MD5 Hashes fragen...
Wenn man zB. bei einem Loginprogramm mit MD5 verschlüsselt und das so an nen MySQL-Server sendet und speichert kann ja jeder der den Hash abfängt ein Bisschen probieren, bis da was sinnvolles kommt...meist ist es ja MD5 oder MD5 und verschachtelt nochmal oder so...Userpassworte sind ja meist klar erkennbar (Name-der-Mutter+Hausnummer oder irgendwas, was man sofort als Klartext wiedererkennt).

Wozu dann verschlüsseln? Man müsste ja mindestens 2 verschiedene verschlüsselungsmethoden anwenden, damits schwieriger wird.

Gruss Flash1232

Oder man verwendet gleich SHA1, evtl. mit Salt.

btw, MD5 ist nur begrenzt eine Verschlüsselung, eher eine Eintwegfunktion. Denn es geht nur in eine Richtung, aber nicht mehr zurück.

naja mit nem MD5 Decryptor geht alles wieder zurück...kann ja jeder Depp so machen

Das sind Rainbowtables.

Ja aber damit geht's ja wieder zurück zum Klartext..?

Die Tables geben den Klartext aber auch nur zurück, wenn der Klartext mit entsprechenden Hash in der Datenbank steht.

md5decrypt.org hat beziehungen zu 23 Websites...daher sollte dies kein Problem sein

Auch die Webseiten können zum Beispiel diesen Hash nicht erraten:
3c4be81b3d6a73b7d618c418d235fb61

Original: datIsMySuperPasswort!123&&

MD5 zurück konvertieren ist nur mit einer Art Bruteforce möglich.

datIsMySuperPasswort!123&& > encrypt > 3c4be81b3d6a73b7d618c418d235fb61 > decrypt > datIsMySuperPasswort!123&&
geht doch?

dürfte eigentlich nicht gehen oder was ist das: da6aa01da24c733cc7d23cb3fdf7a7c6

Flash1232 schrieb:

datIsMySuperPasswort!123&& > encrypt > 3c4be81b3d6a73b7d618c418d235fb61 > decrypt > datIsMySuperPasswort!123&&
geht doch?

Wenn man auf deren Seite einen String verschlüsselt, wird der Hash auch in die Datenbank abgelegt. Da wirst du wohl auf der Cracker-Seite den Hash verschlüsselt haben. Dann ist es klar das der Hash dann gefunden wird. Du kannst ja nun mal einen anderen Text verschlüsseln, der auch so aufgebaut ist, aber auf einer anderen Seite wo kein Cracker dabei ist. DANN versuch mal den Text zu knacken.

da6aa01da24c733cc7d23cb3fdf7a7c6 geht nicht haste recht thefiloe
Zaziki ich habs gemerkt

Genau, denn wären die so einfach zu knacken, dann würde das auch ein extrem großes Sicherheitsrisiko darstellen.
Es geht darum: z.B. Bei Logins müssen die Passworteingaben zwangsweise über die Leitung an den Server gehen welcher ermittelt ob diese korrekt sind. Das einzige Problem dabei ist, dass jemand mit einem Sniffer wie WireShark in der Leitung sitzen kann. Wenn jedoch beim Login das eingegebene Passwort in einen Hash verwandelt wird und der Hash über die Leitung geht kann der Hacker nix damit anfangen. Anschließend auf dem Server wird eine Anfrage an die Datenbank mit dem z.b. dem Username gemacht und geschaut ob der Hash mit dem Hash vom passwort aus der Datenbank übereinstimmt.

--> Der hacker kann nix mit dem Passwort anfangen.

Nebenbei wäre ein Hash eine extrem gute Methode zum kompremieren, da du aus 10 GB einen Hash machen kannst der nur wenige Zeichen lang ist.

@thefiloe: Mööp, falsch.
Wenn dir einer mitlauscht, dann schnappt sich gleich deine Cookies. Außerdem: Den MD5 von EINER Person zu knacken bekommt man hin.

Es geht um die Speicherung. Alleine um die Speicherung. Hier ist der Punkt: Du hast 5000 User. Von jedem User das Pw zu knacken dauert lange und braucht viele Ressourcen.



Mfg.
SAR

Und was nützen Cookies? Nicht jeder Login verwendet Cookies?! Meinst du ein Spiele-Login verwendet Cookies? Da geht nen Request an den Server mit Username und Passworthash. Und möglich ja aber nur sehr schwer.

90% aller Logins laufen über Cookies. (Auf Websites bezogen)
Bei Spielen ist es jedes Mal ein anderes System - kommt auf den Hersteller drauf an.
Und sehr schwer ist nicht mehr. Es gibt immer mehr Brutforcer die mit der GPU arbeiten und innerhalb von 12h hat man die billigen Dinger geknackt. Billig ist für mich: "!HeyIchbinSAR-71!Peace!" - Stinknormales Brutforce, keine Wordlist.

Und ich lese grad folgendes:

Nebenbei wäre ein Hash eine extrem gute Methode zum kompremieren, da du aus 10 GB einen Hash machen kannst der nur wenige Zeichen lang ist.

Wenns so einfach wäre. :P
Mit MD5 kann man nicht komprimieren, sondern nur eine Prüfsumme errechnen lassen.
Du kannst die binären 1sen einer Datei zählen und 1 oder 0 für grade und ungrade ausgeben - ist auch ne Prüfsumme. Aber damit kannst du den Ursprung nicht wieder herstellen.



Mfg.
SAR

SAR-71 schrieb:

90% aller Logins laufen über Cookies

Wie solls denn sonst gehen? Eine Session ist prinzipiell auch in einem Cookie abgespeichert und ich kann mich ja nicht bei jeder Navigation neu einloggen

Deswegen ja. :D


Mfg.
SAR

SAR-71 schrieb:

Billig ist für mich: "!HeyIchbinSAR-71!Peace!"

23 Zeichen. Zeichenmenge: 72 (26*2 (Aa) + 10 Ziffern + 10 Sonderzeichen)
Komplexität: 72^23. Abgerundet sind das 5*10^42.

Annahmen:
1. Die Berechnung eines MD5 Hash kann mit dem Äquivalent EINER Fließkommaoperation berechnet werden (eigentlich nicht möglich!)
2. Den kann man kaufen: heise.de/ct/meldung/4096-Kern-…ops-pro-Watt-1475188.html

Es folgt:
70 GFlops -> 7 * 10^10 Operation benötigen 1 Ws. Wir brauchen also rund 10^32 Wattsekunden. Das sind rund 3*10^29 Wh. Also 3*10^15 PetaWh. OK .. FALLS ich mich nicht verrechnet habe

Anyway: DIE Stromrechnung haut einen garantiert vom Hocker.