4. Passwörter verschlüsseln???

Passwörter verschlüsseln???

  • W

    Ihr bringt mich ganz raus... is es jetzt sicher oder nich???

    cya WirrWar2850.

    0
  • H

    Wenn man den Hash hat und weiß, dass das Passwort damit einmal verschlüsselt wurde, hat man ganz klar einen Vorteil. Denn man versucht jetzt nicht mehr Brute Force gegen den Server (gegen den Login), sondern gegen den Hash. Ist ein paar Hundert mal schneller.

    Man berechnet einfach zu allen möglichen Wörter den MD5 Hash und vergleicht ihn mit dem erhaltenen. Wenn man einen gefunden hat, hat man ein Passwort (muss nicht das gleiche sein, aber da später ja nur MD5 Hashes verglichen werden, reicht das aus).

    Von daher wäre ein doppeltes anweden des Hashes schon ein Vorteil, wenn der Angreifer dies nicht weiß (er sucht ein ein Passwort, welches durch einmaliges anwenden des MD5 den Hash erzeugt. Mit dem Passwort kann er sich aber nicht einloggen).

    Allerdings ist Sicherheit durch verbergen der Implementation recht schwach.

    0
  • W

    Naja.... aber ich denke, mal, das wird reichen, bis sich eine bessere Lösung finden lässt.

    Thx & cya WirrWar2850.

    0
  • M

    Hier könnt ihr euch Kollisionen zu euren MD5-Hashes berechnen lassen. Zu beachten ist dabei, dass es sich hierbei um die Time-Memory Trade-Off-Methode handelt und nicht um verteiltes Rechnen. Falls es einem zu lange dauert, auf die Berechnung seines eigenen Hashes zu warten, kann man die Tables dort auch für 25$ käuflich erwerben 🙂

    http://passcracking.com/Good_values_list.asp

    0
  • U

    Wenn jemand zugriff auf die Datenbank eines Servers hat dann hat er auch Zugriff auf die Webseiten welche das Login steuern. Somit weiß er wieoft MD5 durchlaufen wurde.

    @WirrWar2850
    Nimm MD5 und sorge dafür das niemand an die DB kommt.

    MySQL wird Millionenfach verwendet und verwendet Md5.

    0
  • H

    Wer Zugriff auf die DB hat, hat nicht unbedingt Zugriff auf die Skripte. Die DB ist ja praktisch auch nur durch Passwort geschützt (außer, man lässt nur lokale Anmeldung zu, dann müsste derjenige ein Script auf dem Rechner ausführen können).

    Und wer Zugriff auf die Scripte hat, kann diese meist auch verändern und dann ist es sowieso vorbei, dann wird einfach der Login vorgang entfehrnt 🙂

    PS: Ich würde meine Passwörter trotzdem nicht doppelt mit MD5 hashen...

    0
  • D

    anonymus schrieb:

    Najo,
    dann solltest du dir das hier mal durchlesen 🤡

    http://www.heise.de/newsticker/meldung/56507

    Mag sein, aber SHA1 ist dennoch sicherer als MD5.

    Ansonsten eben SHA256 :p Sobald es in PHP implementiert wurde...

    0
  • W

    Also ich werds mit MD5 versuchen... scheint gut genug zu sein... ich denk nicht, dass Tausende von Hackern nachher Schlange stehen um die Site zu hacken 😉 ...

    Thx & cya WirrWar2850.

    0
  • D

    Argh, SHA1! Meine Güte. Wenn du ein neues projekt anfängst, lohnt es sich nicht, erst mit MD5 zu beginnen.

    0
  • W

    Warum eigentlich nicht beides??? Man kann ja erst mit SHA1 und das verschlüsselte dann mit MD5 nochmal hashen???

    MfG WirrWar2850.

    0
  • S

    Und was würde das bringen?

    0
  • W

    vielleicht is es nachher schwerer nen richtiges Passwort zu berechnen... Weil der Angreifer nach berechnung des MD5 Hash Codes zwar nen SHA1 Code hat, aber kein Passwort...

    MfG WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    vielleicht is es nachher schwerer nen richtiges Passwort zu berechnen... Weil der Angreifer nach berechnung des MD5 Hash Codes zwar nen SHA1 Code hat, aber kein Passwort...

    *PLONG*

    0
  • W

    sry... hab schon vieles gelesen, aber kein *PLONG* 😕 ...
    Kannste das bitte nochmal verdeutlichen 💡 ???

    cya WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    Kannste das bitte nochmal verdeutlichen 💡 ???

    Wenn md5(md5('password'))
    bloedsinn ist, dann ist md5(sha1('password')) kein bisschen besser.

    0
  • W

    OK... ich glaub dir... aber wie stehts eigentlich mit ner ganz anderen Methode??? Wenn man jetzt zufällig SHA1 oder MD5 benutzt und dit Technik dann in der DB gespeichert wird, dann kann man diese bei der Benutzung wieder auslesen und das Passwort vergleichen, dann muss der Angreifer wenn er Pech hat beides versuchen...

    cya WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    OK... ich glaub dir... aber wie stehts eigentlich mit ner ganz anderen Methode??? Wenn man jetzt zufällig SHA1 oder MD5 benutzt und dit Technik dann in der DB gespeichert wird, dann kann man diese bei der Benutzung wieder auslesen und das Passwort vergleichen, dann muss der Angreifer wenn er Pech hat beides versuchen...

    waere theoretisch moeglich nur wie Unix-Tom schon gesagt hat: bruteforce angriffe unterbindet man anders.

    das verschluesseln des passwortes geschieht lediglich zu datenschutz zwecken. so dass nicht jeder, der die DB lesen kann auch alle passwoerter kennt.

    0
  • W

    Naja... mal sehen.

    Thx WirrWar2850.

    0
  • A

    warum das passwort erst grossartig entschluesseln? wenn er zugriff auf die db hat setzt er einfach n neuen hashwert ein. da braucht er ned lange rumraetseln. und wer berechtigt db-zugriff hat kann die passowerter auch lesen oder?
    (meine meinung: warum passworter ueberhaupt verschluesseln?)

    0
  • S

    archivar schrieb:

    warum das passwort erst grossartig entschluesseln? wenn er zugriff auf die db hat setzt er einfach n neuen hashwert ein. da braucht er ned lange rumraetseln. und wer berechtigt db-zugriff hat kann die passowerter auch lesen oder?
    (meine meinung: warum passworter ueberhaupt verschluesseln?)

    schön wär's, aber nicht unbedingt. Es gibt Benutzer, die nur Leserechte auf die Tabellen haben und wenn der Angreifer so einen Zugriff hat, dann kann es nur lesen aber nicht schreiben.

    0
Anmelden zum Antworten