MD5 verschlüsseelung
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
analyse
angriff
attacke
bestimmt niemand
buchstabe
byte
chance
funktion
http
info
jagen
jemand
kollision
methode
minute
nachricht
reden
text
verwenden
zitat
-
Wie sicher ist eigl. eine MD5 Verschlüsselung?
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Es ist eigentliche keine Verschlüsselung, denn wenn du alle Daten auf deinem PC verschlüsseln würdest, bekämest du einen 32-Zeichen hash, genau gleich wie wenn du 1 Buchstaben verschlüsselst.
/besserwisser aus
Du kannst es nicht rückgängig machen, trotzdem es einige Seiten gibt, die es mit \"brute force\" (also alle kombinationen durchprobieren) knacken können. Gegen 2 mal übereinander MD5 verschlüsseln kann aber ECHT niemand etwas machen.
Wenn der Quantencomputer raus ist sieht das schon ein bisschen anders aus. -
übereinander MD5 verschlüsseln kann aber
Hast du nicht gerade gesagt dass md5 keine Verschlüsselung sondern ein Checksum-Verfahren ist?
Außerdem gibt es außer Brute Force noch Directory Attack, Rainbow Tables und Analyse-Angriffe.
Mein Pentium D schafft wenn ich nur einen Kern verwende 1 - 4 MIXALPHA-NUMERIC unter einer Sekunde, 5 in 3 Minuten, 6 in ~ 10 Minuten und 7 in 10 Tagen. Danach setze ich nur noch RBT ein.
Also mache dir selbst ein Bild. -
Also wenn du md5 noch suicherer machenwillst schrieb dir selbst ne verschlüsselungsverfahren.
Ich hab eins geschireben da kommt ein 512 bit-schlüssel raus. -
Ich mag Md5 verschlüsselte Datenbanken (phpkit ftw!)
Wenn du nen ungesalzenen Hash benutzt, kannst du die Verschlüsselung gleich vergessen. Mit Rainbowtables, die es ja für vieles gibt, hat man die ursprüngliche Zeichenkette(sofern ausreichend klein, wie Passwörter zB) in Sekundenschnelle.
Cel -
(phpkit ftw!)
Du stehst wohl auch auf Sicherheitslücken.
Ein bekannter von mir meinte MD5 sollte man nach möglichkeit nicht mehr verwenden es wird wohl in nächster zeit geknackt werden, kann das soweit jemand bestätigen?
Nö.
soweit ich weiß ist md5 schon eine kollision gefunden worden.
in sha1 ist man gerade daran
zur info sha1 ist ein 40 stelliger hash.
mfg
Kollisionen gibt es doch eh immer, solange der Hash seine Länge beibehält. Aber die Chance ist so gering, dass es doch heutzutage eigendlich reichen sollte. -
Ein bekannter von mir meinte MD5 sollte man nach möglichkeit nicht mehr verwenden es wird wohl in nächster zeit geknackt werden, kann das soweit jemand bestätigen?
Nö.
soweit ich weiß ist md5 schon eine kollision gefunden worden.
in sha1 ist man gerade daran
zur info sha1 ist ein 40 stelliger hash.
mfg
Kollisionen gibt es doch eh immer, solange der Hash seine Länge beibehält. Aber die Chance ist so gering, dass es doch heutzutage eigendlich reichen sollte.
Also MD5 und SHA1 sind sozusagen schon geknackt worden, je nach Nachricht/Text haben es jetzt Wissentschaftler(weiß nicht ob es Informatiker oder Mathematiker waren) gepackt, einen beliebigen Text ungefähr in der Mitte einzufügen. -
Ach so?
Weiß nur dass 14 Durchgänge oder so anfällig sind.
Weiß nicht ob bei md5 alle Buchstaben voneinander abhängig sind. Wenn nicht dann wäre das eventuell per Watermark-Attack durchführbar. Oder weil du das Zitat mit reingenommen hast per Analyse-Angriff, dann könnte man aber auch bei Brute Force von \"geknackt\" reden. -
lol4me schrieb:
Ach so?
Weiß nur dass 14 Durchgänge oder so anfällig sind.
Weiß nicht ob bei md5 alle Buchstaben voneinander abhängig sind. Wenn nicht dann wäre das eventuell per Watermark-Attack durchführbar. Oder weil du das Zitat mit reingenommen hast per Analyse-Angriff, dann könnte man aber auch bei Brute Force von \\\'geknackt\\\' reden.
Ich weiß auf jeden Fall noch, dass es kein Brute-Force-Angriff auf das Verfahren war. -
Ich habe es auf meinem PC mal ausprobiert er würde über 10.000 Tage brauchen.
-
Also ma so als gobe Info hilft Wikipedia ma wieder:
http://de.wikipedia.org/wiki/MD5#Die_Analyse-Methode
Wie man lesen kann, haben sie es bis jetzt nur für Nachrichten mit einer Länge von genau 1024Bit gepackt und das auch nicht allgemein, sondern nur in bestimmten Fällen.. -
Was hab ich in meinem 1. Post hier geschrieben?
*NACHDENKEN*
Also:
Gegen 2 mal übereinander MD5 verschlüsseln kann aber ECHT niemand etwas machen.
Naja es ist halt nicht verschlüsseln, aber:
Du generierst den hash von deinem Text (Passwort?), und von dem Hash generierst du nochmals einen. Das knackt bestimmt NIEMAND, ausserdem: wer sollte einen solchen hash knacken wollen, wer\'s könnte würde ganz andere Dinge damit tun als auf limacity \"herumzugurken\".
Ich zitiere nochmals Wikipedia:
Kollisionen finden heißt, man kennt ein M (Text) und sucht ein M\' (Kollision), so dass hash(M) = hash(M\') (dies wäre eine Fälschung). Wenn man nur den Hashwert hat, ist es weiterhin schwierig, eine Kollision für den Hash zu finden (dies wäre eine zufällige Kollision)...
Deswegen besteht keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden, diese Kollisionen sind eher eine Gefahr für digitale Signaturen.
Zu bemerken gubt es, dass jeder hash UNENDLICH viele Bedeutungen haben kann, denn der Hash ist ja 32 byte lang und man kan längeres als 32 byte zu einem Hash machen.
Fazit: Die \"Entschlüsselung\" grenzt an die Unmöglichkeit und basiert auf Zufallstreffern, wenn du 2 mal \"verschlüsselst\" knackt das N I E M A N D!
Und noch was: Den Quantencomputer gibt es, das ist keine Erfindung von mir, man konnte sogar schon 1 Sekunde lang einen stabilen Betrieb aufrecht erhalten.
:http://de.wikipedia.org/wiki/Quantencomputer
Beitrag geändert: 27.2.2008 17:32:38 von misc -
Du generierst den hash von deinem Text (Passwort?), und von dem Hash generierst du nochmals einen. Das knackt bestimmt NIEMAND
Bei Bruteforce und Dictionary Attacken kannst du den Hash auch 5000 mal durch die Funktion jagen, das einzige was das bringt ist ein enorm hoher Serveraufwand. Wenn der Hacker jedoch an die Passwörter kommt, ist es so jedoch sicherer.
Hier auf der Seite steht noch viel interessantes über das Thema:
http://php-einfach.de/improved_hash_algorithm.php
Beitrag geändert: 27.2.2008 23:31:56 von monsta89 -
MD5 ist eine Einweg-Funktion, es gibt also keine Umkehrfunktion, weshalb man von einem Hash nicht den ursprünglichen Wert herausbekommen kann.
Angriffstechniken wie Rainbow Tables oder ähnliches sind Methoden, den ursprünglichen Wert durch Probieren herauszufinden.
Hierbei sind die Möglichkeiten zum Herausfinden aber natürlich auch auf die enthaltenen Einträge beschränkt. Somit sind natürlich leichte Passwörter auch schneller und einfacher herauszubekommen und mit einer höheren Wahrscheinlichkeit verbunden, dass sie enthalten sind.
Methoden zur Verbesserung der Sicherheit wie Salted Hash oder auch der Improved Hash Algorithm bilden hierbei einfach wieder den Hash von einem Hash etc, natürlich unter Verwendung der speziellen Charakteristiken (zB bei Salted Hash einen Salt während der Anwendung einzubauen, bspw md5(md5(salt).md5(password)) ).
Dadurch wird zwar die Sicherheit erhöht, aber natürlich wäre es wie bei einem normalen Hash auch möglich, urspüngliche Werte herauszufinden, was aber logischer Weise auch mit extrem erhöhtem Speicherverbrauch und auch Dauer verbunden wäre.
Da es mit den heutigen PCs überaus lange dauern würde, solche Hashs zu \"entschlüsseln\", kann man diese Methode auch getrost anwenden. Eine einfache Anwendung von MD5 wäre jedoch nicht allzu sicher und auch nicht anzuraten. Gerade weil man auch davon ausgehen muss, dass viele Anwender (bzw. sogar eher die meisten) kein allzu sicheres Passwort benutzen. Ein Angreifer könnte so sicherlich in relativ kurzer Zeit viele Passwörter herausbekommen und je nach Art der Umgebung entsprechend Schaden anrichten.
Von dem her, überleg dir eine geeignete Variante mit Salt oder auch beschäftige dich etwas mit dem von monsta89 erwähnten Improved Hash Algorithm, des es dort auch frei als Download geben sollte, sofern ich mich recht erinnere.
-
Du generierst den hash von deinem Text (Passwort?), und von dem Hash generierst du nochmals einen. Das knackt bestimmt NIEMAND
Bei Bruteforce und Dictionary Attacken kannst du den Hash auch 5000 mal durch die Funktion jagen, das einzige was das bringt ist ein enorm hoher Serveraufwand. Wenn der Hacker jedoch an die Passwörter kommt, ist es so jedoch sicherer.
Hier auf der Seite steht noch viel interessantes über das Thema:
http://php-einfach.de/improved_hash_algorithm.php
Beitrag geändert: 27.2.2008 23:31:56 von monsta89
Na EBEN! Das habe ich ja eben gemeint, dass man aus dem Hash nochmal einen Hash generiert. Lesen heisst das Zauberwörtchen.
MD5 ist ja NUR zum Schutz vor Hackern die an das Passwort kommen. -
Ich wollte nur mal anmerken, dass es keinen Sinn gibt Md5(Md5($string)) laufen zu lassen. Ganz im Gegenteil.
Durch das Verfahren steigert sich die Chance auf Kollisionen. Sie steigert sich, soweit ich mich recht erinnere exponentiell mit jedem mal mit dem gleichen verfahren und zu einem gewissen prozentsatz mit anderen. Aber steigern tut sich sich eigentlich jedes mal. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage