Darth_Yoda Geschrieben 4. Oktober 2010 Geschrieben 4. Oktober 2010 Hallo, was bringt mir eigntl MD5, wenn das jeder easy mit nem online cracker entschlüsseln kann? Was nimmt man am besten als verschlüsselung für die Paswörter seiner Datenbank? Oder gibts da überhaupt was anderes?^^ Mfg Zitieren
flashpixx Geschrieben 4. Oktober 2010 Geschrieben 4. Oktober 2010 MD5 ist keine Verschlüsselung sondern eine Hashfunktion ? Wikipedia Man kann aus einem Hash nicht den Originalwert zurückrechnen Zitieren
Darth_Yoda Geschrieben 4. Oktober 2010 Autor Geschrieben 4. Oktober 2010 MD5 ist keine Verschlüsselung sondern eine Hashfunktion ? Wikipedia Man kann aus einem Hash nicht den Originalwert zurückrechnen Kühle Geschichte Bruder. 1. Heisst es verschlüsseln / hashen 2. Kann man den Originalwert zurückrechnen 3. Brauch ich richtige Antworten. Ty gold Zitieren
NerdonRails Geschrieben 4. Oktober 2010 Geschrieben 4. Oktober 2010 Kühle Geschichte Bruder. 1. Heisst es verschlüsseln / hashen Keine Ahnung was das bedeuten soll, aber ich werf mal folgende Bemerkung in den Raum: Encryption != Hashing 2. Kann man den Originalwert zurückrechnen Zurückrechnen kann man bei Hashes nicht. Das einzige was man machen kann ist, Kollisionen zu erzeugen die den gleichen Hashwert liefern wie der original-wert. Mitglieder der SHA-2 Familie (SHA-224, SHA-256, SHA-384, SHA-512) sind bislang kollisionsfrei und gelten als sicher. 3. Brauch ich richtige Antworten. Passwörter verschlüsseln ist gelinde gesagt bull****, da es hier auf jeden Fall einen Weg gibt, die Daten zurückzurechnen (wenn auch mit gigantischem Aufwand), weiterhin muss man auch wieder im zweifel statische Keys im Code hinterlegen, damit man wieder entschlüsseln kann => nicht sicher. Gängige Praxis ist die Bildung eines Hashes unter zuhilfe nahme eines Salts. Zitieren
grueni Geschrieben 4. Oktober 2010 Geschrieben 4. Oktober 2010 Ich vermisse bei diesem Thread jeglichen Bezug zu .NET -> verschoben Zitieren
Darth_Yoda Geschrieben 4. Oktober 2010 Autor Geschrieben 4. Oktober 2010 Zurückrechnen kann man bei Hashes nicht. Das einzige was man machen kann ist, Kollisionen zu erzeugen die den gleichen Hashwert liefern wie der original-wert. Klar kannst du MD5 zurückrechnen... md5cracker.org | The Cracking Engine for MD5-Hashes (/care ob ich jetzt für den Link Ban bekomm oder net) Sagen wir es einmal ganz explizit: "Du hast ein ASP.NET Framework mit Datenbankanbindung (Userverwaltung) Wie speicherst du die PWs deiner User in der Datenbank? Doch nicht etwa einfach Blank oder....?" Ich vermisse bei diesem Thread jeglichen Bezug zu .NET -> verschoben Jo geht hier zwar um die System.Security.Cryptography die ne namespace von .NET sind aber egal..... Zitieren
Thanks-and-Goodbye Geschrieben 4. Oktober 2010 Geschrieben 4. Oktober 2010 Jo geht hier zwar um die System.Security.Cryptography die ne namespace von .NET sind aber egal..... Hast du davon irgendetwas in deiner Ausgangsfrage erwähnt? Zitieren
flashpixx Geschrieben 4. Oktober 2010 Geschrieben 4. Oktober 2010 Klar kannst du MD5 zurückrechnen... Nein z.B. kannst Du diesen MD5 nicht mit dem genannten Tool zurückrechnen: 6b265b56a4f36a85c67cd14ab21741f8 Es ist technisch unmöglich aus einem Hash den Originalwert zurück zu rechnen. Man kann mit probabilistischen Verfahren wie z.B. Rainbow Table ? Wikipedia Hashes analysieren und eben versuchen eine Kollision zu erreichen, d.h. man erhält für zwei unterschiedliche Eingaben der Hashfunktion identische Hashes. Du kannst Dir selbst einmal ausrechnen wie hoch die Wahrscheinlichkeit ist, dass Du so etwas herausfinden kannst Zitieren
Klotzkopp Geschrieben 5. Oktober 2010 Geschrieben 5. Oktober 2010 Klar kannst du MD5 zurückrechnen... Ich versuche es mal so zu formulieren, dass du es verstehst. Du kannst aus einem Hash nicht den Originalwert berechnen. Es ist mathematisch unmöglich. Je öfter du hier behauptest, dass es doch geht, desto mehr zeigst du, dass du keine Ahnung hast. Was geht, ist irgendeinen Originalwert zu bestimmen, der denselben Hash hat. Das nennt man eine Kollision, und sie ist bei Hashes unvermeidlich. Und das ist es, was auf der verlinkten Seite mit MD5 gemacht wird. Kein "Cracken" oder "Entschlüsseln". Du solltest nicht alles für fachlich korrekt halten, was du auf solchen Seiten liest. Zitieren
NerdonRails Geschrieben 5. Oktober 2010 Geschrieben 5. Oktober 2010 Sagen wir es einmal ganz explizit: "Du hast ein ASP.NET Framework mit Datenbankanbindung (Userverwaltung) Wie speicherst du die PWs deiner User in der Datenbank? Doch nicht etwa einfach Blank oder....?" Gar nicht, Passwörter werden mit Hilfe eines Salts gehashed. Der Hash wird gespeichert und bei der Authentifizierung wird der Hash aus dem übergebenen Passwort + dem gespeichertem Salt gebildet und mit dem gespeicherten Hash verglichen. Passwörter irgendwo in einer Datenbank speichern, und sei es verschlüsselt, ist meiner Meinung nach ein eindeutiges Indiz das Wissen fehlt. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.