Passwörter verschlüsseln???
-
Um mal etwas einzuwerfen:
Es wurde bereits eine Kollision in MD5 gefunden. Das bedeutet natürlich nicht, dass es unsicher wird, aber es ist ins Wanken geraten. Es ist deswegen empfehlenswert, wenn möglich auf SHA1 umzusteigern. Ist ebenfalls in PHP implementiert und genauso einfach zu nutzen.
-
Dasd schrieb:
Um mal etwas einzuwerfen:
Es wurde bereits eine Kollision in MD5 gefunden. Das bedeutet natürlich nicht, dass es unsicher wird, aber es ist ins Wanken geraten. Es ist deswegen empfehlenswert, wenn möglich auf SHA1 umzusteigern. Ist ebenfalls in PHP implementiert und genauso einfach zu nutzen.
Die Fähigkeit, lesen zu können erweist sich in manchen Situationen klar als Vorteil
(nicht böse gemeint 
)Aber wie ist denn eure Meinung zu der Sicherheit beim doppelten Hashen mit MD5 im Fall, dass der Angreifer Zugriff auf den gespeicherten Hash erlangt hat?
-
masterofx32 schrieb:
Die Fähigkeit, lesen zu können erweist sich in manchen Situationen klar als Vorteil
(nicht böse gemeint )Bräuchte man dafür nicht Augen?
Ich wollte lediglich nocheinmal in aller Eindringlichkeit darauf hinweisen bevor sich WirrWar2850 auf MD5 stürzt.
masterofx32 schrieb:
Aber wie ist denn eure Meinung zu der Sicherheit beim doppelten Hashen mit MD5 im Fall, dass der Angreifer Zugriff auf den gespeicherten Hash erlangt hat?
Welchen von den beiden jetzt? Zwischen den beiden Hashvorgängen?
Prinzipiell bin ich der Meinung, dass sich durch ein doppeltes Hashen nichts verändert. Weder die Anzahl der Hashes noch die Anzahl der Kollisionen, die ein- und denselben Hash erzeugen. Selbst der Meinung, dass unsichere Passwörter (weil zu kurz oder was auch immer) dadurch besser werden, kann ich mich nicht abschließen. MD5 ist eine Funktion, eine mathematische Abbildung, die aus ein- und demselben Input ein- und denselben Output erzeugt. Passwörter werden dadurch nicht sicherer...
-
Dasd schrieb:
Um mal etwas einzuwerfen:
Es wurde bereits eine Kollision in MD5 gefunden. Das bedeutet natürlich nicht, dass es unsicher wird, aber es ist ins Wanken geraten. Es ist deswegen empfehlenswert, wenn möglich auf SHA1 umzusteigern. Ist ebenfalls in PHP implementiert und genauso einfach zu nutzen.
Najo,
dann solltest du dir das hier mal durchlesen
-
Dasd schrieb:
Welchen von den beiden jetzt? Zwischen den beiden Hashvorgängen?
Nein, der Angreifer hat natürlich nur den End-Doppelhash, der in der Datenbank gespeichert ist. Würde er eine Kollision für diesen Hash berechnen, so bräuchte er noch eine weitere Kollision, um sich damit einloggen zu können. Wenn der Angreifer weiß, dass MD5 2 mal angewendet wurde, wäre dies natürlich nicht der Fall und es würde ein einfacher Durchgang genügen.
-
Ihr bringt mich ganz raus... is es jetzt sicher oder nich???
cya WirrWar2850.
-
Wenn man den Hash hat und weiß, dass das Passwort damit einmal verschlüsselt wurde, hat man ganz klar einen Vorteil. Denn man versucht jetzt nicht mehr Brute Force gegen den Server (gegen den Login), sondern gegen den Hash. Ist ein paar Hundert mal schneller.
Man berechnet einfach zu allen möglichen Wörter den MD5 Hash und vergleicht ihn mit dem erhaltenen. Wenn man einen gefunden hat, hat man ein Passwort (muss nicht das gleiche sein, aber da später ja nur MD5 Hashes verglichen werden, reicht das aus).
Von daher wäre ein doppeltes anweden des Hashes schon ein Vorteil, wenn der Angreifer dies nicht weiß (er sucht ein ein Passwort, welches durch einmaliges anwenden des MD5 den Hash erzeugt. Mit dem Passwort kann er sich aber nicht einloggen).
Allerdings ist Sicherheit durch verbergen der Implementation recht schwach.
-
Naja.... aber ich denke, mal, das wird reichen, bis sich eine bessere Lösung finden lässt.
Thx & cya WirrWar2850.
-
Hier könnt ihr euch Kollisionen zu euren MD5-Hashes berechnen lassen. Zu beachten ist dabei, dass es sich hierbei um die Time-Memory Trade-Off-Methode handelt und nicht um verteiltes Rechnen. Falls es einem zu lange dauert, auf die Berechnung seines eigenen Hashes zu warten, kann man die Tables dort auch für 25$ käuflich erwerben
-
Wenn jemand zugriff auf die Datenbank eines Servers hat dann hat er auch Zugriff auf die Webseiten welche das Login steuern. Somit weiß er wieoft MD5 durchlaufen wurde.
@WirrWar2850
Nimm MD5 und sorge dafür das niemand an die DB kommt.MySQL wird Millionenfach verwendet und verwendet Md5.
-
Wer Zugriff auf die DB hat, hat nicht unbedingt Zugriff auf die Skripte. Die DB ist ja praktisch auch nur durch Passwort geschützt (außer, man lässt nur lokale Anmeldung zu, dann müsste derjenige ein Script auf dem Rechner ausführen können).
Und wer Zugriff auf die Scripte hat, kann diese meist auch verändern und dann ist es sowieso vorbei, dann wird einfach der Login vorgang entfehrnt
PS: Ich würde meine Passwörter trotzdem nicht doppelt mit MD5 hashen...
-
anonymus schrieb:
Najo,
dann solltest du dir das hier mal durchlesenMag sein, aber SHA1 ist dennoch sicherer als MD5.
Ansonsten eben SHA256 :p Sobald es in PHP implementiert wurde...
-
Also ich werds mit MD5 versuchen... scheint gut genug zu sein... ich denk nicht, dass Tausende von Hackern nachher Schlange stehen um die Site zu hacken
...Thx & cya WirrWar2850.
-
Argh, SHA1! Meine Güte. Wenn du ein neues projekt anfängst, lohnt es sich nicht, erst mit MD5 zu beginnen.
-
Warum eigentlich nicht beides??? Man kann ja erst mit SHA1 und das verschlüsselte dann mit MD5 nochmal hashen???
MfG WirrWar2850.
-
Und was würde das bringen?
-
vielleicht is es nachher schwerer nen richtiges Passwort zu berechnen... Weil der Angreifer nach berechnung des MD5 Hash Codes zwar nen SHA1 Code hat, aber kein Passwort...
MfG WirrWar2850.
-
WirrWar2850 schrieb:
vielleicht is es nachher schwerer nen richtiges Passwort zu berechnen... Weil der Angreifer nach berechnung des MD5 Hash Codes zwar nen SHA1 Code hat, aber kein Passwort...
*PLONG*
-
sry... hab schon vieles gelesen, aber kein *PLONG*
...
Kannste das bitte nochmal verdeutlichen
???cya WirrWar2850.
-
WirrWar2850 schrieb:
Kannste das bitte nochmal verdeutlichen
???Wenn md5(md5('password'))
bloedsinn ist, dann ist md5(sha1('password')) kein bisschen besser.