kostenloser Webspace werbefrei: lima-city


md5 rückgängig machen?

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    michelbach

    Kostenloser Webspace von michelbach, auf Homepage erstellen warten

    michelbach hat kostenlosen Webspace.

    Kann ich irgendwie aus md5 wieder einen normalen Text machen?
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. t*****b

    MD5 ist keine Verschlüsselung, sondern ein Hash. Haseh kann man nicht entschlüsseln, da sie nur in eine Richtung funktionieren. Du musst es dir so vorstellen: Wenn du von einer 10 GB-Datei einen MD5-Hash erzeugst, hast du trotzdem einen 128Bit-Hashwert. Und aus so ein paar Bit, lassen sich keine 10GB wieder herstellen ;)
  4. Jaein.
    MD5 ist so angelegt, dass das eigentlich nicht funktioniert, aber wenn du mal nach md5-cracker suchst, wirst du Programme/Webseiten finden, die über Vergleiche mit einer riesigen Datenbank sehr viele md5-Hashs wieder in Plaintext übersetzen können.
  5. f*************e

    MD5 Ist ein Hash Algorithmus.
    Sprich Da Das Passwort nie Verschlüsselt wird gibt es auch nichts zu Entschlüsseln.
  6. t*****b


    Jaein.
    MD5 ist so angelegt, dass das eigentlich nicht funktioniert, aber wenn du mal nach md5-cracker suchst, wirst du Programme/Webseiten finden, die über Vergleiche mit einer riesigen Datenbank sehr viele md5-Hashs wieder in Plaintext übersetzen können.


    Diese \"Cracker\" machen aber nicht den Algorythmus rückgängig, sondern suchen in Rainbowtables, in denen Werte und dazugehörige Hashwerte gespeichert sind, nach dem eingegebenen Hashwert. Darum ist dies keine Entschlüsselung. Also kann man es nicht entschlüsseln (jedoch vergleichen).


  7. Jaein.
    MD5 ist so angelegt, dass das eigentlich nicht funktioniert, aber wenn du mal nach md5-cracker suchst, wirst du Programme/Webseiten finden, die über Vergleiche mit einer riesigen Datenbank sehr viele md5-Hashs wieder in Plaintext übersetzen können.


    Diese \"Cracker\" machen aber nicht den Algorythmus rückgängig, sondern suchen in Rainbowtables, in denen Werte und dazugehörige Hashwerte gespeichert sind, nach dem eingegebenen Hashwert. Darum ist dies keine Entschlüsselung. Also kann man es nicht entschlüsseln (jedoch vergleichen).

    That\'s what I said...
  8. Autor dieses Themas

    michelbach

    Kostenloser Webspace von michelbach, auf Homepage erstellen warten

    michelbach hat kostenlosen Webspace.

    OK, aber wenn jemand von euch DS-Lan kennt, dann sind dort viele vollkommen unleserliche php-dateien. Warum funktiooniert das?
  9. m******s

    DS-LAN ist verschlüsselt. D.h. du brauchst ein Passwort, um die PHP-Dateien zu lesen. Das hat allerdings absolut nix mit MD5 zu tun. Und ist höchstwahrcheinlich auch nicht legal.
  10. Autor dieses Themas

    michelbach

    Kostenloser Webspace von michelbach, auf Homepage erstellen warten

    michelbach hat kostenlosen Webspace.

    Wieso nicht legal? DS-Lan haben schon mehrere Millionen Leuto auf der ganzen Welt! Allein in Deutschland fast eine halbe Million! Wenn das nicht auffliegen würde, dann weis ich auch nicht! Auserdem fällt mich nichts ein, was es illegal machen sollte.
  11. m******s

    Wieso nicht legal?


    Wer seinen Code verschlüsselt, will nicht, dass man ihn lesen kann. Du kannst dir also sehr sicher sein, dass er nicht will, dass du darauf zugreifst, und das ist sein gutes Recht.

    DS-Lan haben schon mehrere Millionen Leuto auf der ganzen Welt! Allein in Deutschland fast eine halbe Million! Wenn das nicht auffliegen würde, dann weis ich auch nicht!


    Na und? Es ist aber verboten, in diesem Forum nach illegalen Dingen zu fragen, und nebenbei ziemlich dämlich.

    Auserdem fällt mich nichts ein, was es illegal machen sollte.


    http://www.gesetze-im-internet.de/stgb/__202a.html
    § 202a Ausspähen von Daten
    (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
    (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.


    http://www.gesetze-im-internet.de/stgb/__202c.html
    § 202c Vorbereiten des Ausspähens und Abfangens von Daten
    (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

    1.
    Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
    2.
    Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

    herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
    (2) § 149 Abs. 2 und 3 gilt entsprechend.


    http://www.gesetze-im-internet.de/stgb/__303a.html
    § 303a Datenveränderung
    (1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
    (2) Der Versuch ist strafbar.
    (3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.


    Und das könnte auch interessant sein:
    http://www.gesetze-im-internet.de/urhg/index.html

    Also, für mich ist das eindeutig illegal, was du vorhast. Ich halte es für möglich, die Daten zu entschlüsseln, wenn man sich genügend mit dem Problem beschäftigt. Ich würd aber an deiner Stelle nicht im Forum fragen, wie man das Gesetzt zu brechen hat. Vor allem, da §202c StGB ziemlich deutlich sagt, dass jeder, der dir hilft, sich selbst strafbar macht. Die 5 Gulden sollten das Jahr Knast nicht wert sein.

    Beitrag geändert: 29.6.2008 21:45:17 von merovius
  12. Autor dieses Themas

    michelbach

    Kostenloser Webspace von michelbach, auf Homepage erstellen warten

    michelbach hat kostenlosen Webspace.

    Ich will das nicht, um Programmtexte zu verschlüsseln, sondern nur für Passwörter von Usern, und damit ein Möglichkeit, das wieder rückgängig zu machen. Dann schreibe ich einfach selber einen verschlüsseler.
  13. m******s

    Wenn du Hashs zum speichern benutzen willst, macht man dass ganz anders.

    Bei der Registrierung wird das der md5-Hash gespeichert.
    Wenn der User sich dann anmeldet, wird von dem eingegebenen Passwort der md5-Hash berechnet und mit dem Wert aus der Datenbank verglichen.

    Auch dort wird also nichts rückgängig gemacht, das ist ja der Sinn vom gehashten speichern. Es wird einfach vom selben String zweimal der Hash berechnet und vergliehcen, wenn das Passwort übereinstimmt, trifft das auch auf den Hash zu.

    [edit] Bin übrigens davon ausgegangen, dass du etas illegales vorhast, weil du als Beispiel für das, was du vorhast, DS-LAN angeführt hast. Das hat mit dem, was du wirklich vor hast allerdings null zu tun, wie gesagt ;)

    Beitrag geändert: 29.6.2008 22:51:41 von merovius
  14. s***h


    Ich will das nicht, um Programmtexte zu verschlüsseln, sondern nur für Passwörter von Usern, und damit ein Möglichkeit, das wieder rückgängig zu machen. Dann schreibe ich einfach selber einen verschlüsseler.


    Warum willst du es denn dann überhaupt verschlüsseln???
    Bzw. Warum willst du es entschlüsseln?

    Der Sinn von den \"verschlüsselten\" Passwörtern ist (md5) ja, dass man sie nicht mehr entschlüsseln kann...


    Beitrag geändert: 29.6.2008 23:16:27 von sesch
  15. t*****b

    Passwort speichern:
    Passwort -> md5-Hash daraus generieren -> Datenbank

    Login:
    Eingegebenes Passwort -> wieder md5-Hash -> Vergleich mit md5-Hash aus Datenbank (wenn beide gleich, Login erfolgreich ansonsten falsches Passwort)

    Passwort vergessen:
    Zufälliges Passwort generieren -> md5-Hash in DB schreiben -> dem User per Mail zusenden

    Kannste doch alles machen, so funktioniert das im Groben, ohne, dass man das Passwort jemals entschlüsseln muss.
  16. Nun, dann weiß ich ja schonmal bei wem ich mich NIE auf einer Seite anmelde.

    Auch ich finde: einfach nur Unsinn.


    @mervious: danke für deine Erklärungen. Du hast dein Gutes Karma echt verdient ;)
  17. live-with-gangsters

    Kostenloser Webspace von live-with-gangsters, auf Homepage erstellen warten

    live-with-gangsters hat kostenlosen Webspace.

    Das ist ja blöd, wenn man das verschlüsselte Passwort nicht rückgängig machen kann. Ich mach bei mir wol doch lieber keine Passwort-vergessen-Funktion.

    Beitrag geändert: 1.7.2008 13:20:27 von live-with-gangsters
  18. t*****b


    Nun, dann weiß ich ja schonmal bei wem ich mich NIE auf einer Seite anmelde.

    Auch ich finde: einfach nur Unsinn.


    Meinst du meinen Post? Das ist die übliche Vorgehensweise. Somit hat man ein Passwort in der Datenbank, dass sich nicht entschlüsseln lassen kann (solange man bestimmte Kriterien verwendet, damit das Passwort in keiner Rainbowtabelle drin steht). Sollte jemand aus irgendwechen Gründen die eigentlich nicht vorkommen sollten an die Datenbank gelangen, kann er sich dann trotzdem nicht einloggen.
    Bei der Passwort-Vergessen-Funktion kann man natürlich nicht jedes beliebige Passwort zusenden lassen, sondern nur das zur E-Mail-Adresse passende.
    So funktioniert das auch bei jedem PHPBB und 99% der Internetdiensten. Und was ist daran Unsinn?
  19. ...Kollisionsabfragen, md5 werte aus einer DB werden mit
    dem eingebenen Wort verglichen welches vorher natürlich auch md5 verschlüsselt wurde.

    siehe www.md5-base.de.tt ^^


  20. Nun, dann weiß ich ja schonmal bei wem ich mich NIE auf einer Seite anmelde.

    Auch ich finde: einfach nur Unsinn.


    Meinst du meinen Post? Das ist die übliche Vorgehensweise. Somit hat man ein Passwort in der Datenbank, dass sich nicht entschlüsseln lassen kann (solange man bestimmte Kriterien verwendet, damit das Passwort in keiner Rainbowtabelle drin steht). Sollte jemand aus irgendwechen Gründen die eigentlich nicht vorkommen sollten an die Datenbank gelangen, kann er sich dann trotzdem nicht einloggen.
    Bei der Passwort-Vergessen-Funktion kann man natürlich nicht jedes beliebige Passwort zusenden lassen, sondern nur das zur E-Mail-Adresse passende.
    So funktioniert das auch bei jedem PHPBB und 99% der Internetdiensten. Und was ist daran Unsinn?

    Es ist deshalb Unsinn, da du vergessen hast den Hash zu salzen.
    http://de.wikipedia.org/wiki/Salt_(Kryptologie)
  21. m******s

    Hab schon überlegt, damit anzufangen, mit dem salzen, war mir aber nicht sicher, ob das mittlerwiele schon zum üblichen Vorgehen zählt, oder noch unter akute Paranoia fällt. ^^
  22. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!