Wie sicher ist ein MD5 Hash codiertes Passwort?

Wie schützt man sich vor Malware und Angriffen aus dem Internet? Wie schützt man sich vor Datenverlust? Diese Themen und alles damit verwandte gehört hier hin.

Moderatoren: King of the road, sejuma, Adlerauge, Friedel

Wie sicher ist ein MD5 Hash codiertes Passwort?

Beitragvon Markus am 21.07.2010, 21:12

Hallo alle zusammen...

Schuselig wie ich manchmal so bin, habe ich in einem anderen (PHP) Forum einen etwas dämlichen Fehler gemacht auf den ich dann per PN von meinem dortigen "Master-Teacher" hingewiesen wurde!!

Ich habe einen fertigen Quellcode gepostet in dem ein MD5 verschlüsseltes Passwort enthalten war!!

Dumm oder bequem wie man manchmal so ist, war das mein persönliches "Masterpasswort", dass ich i.d.R. für alles was öfter im Gebrauch ist verwende... :roll:

Nun kam die Info, dass man ein solche Pwd. in recht kurzer Zeit entschlüsseln könnte :eek: und jetzt habe ich sicherheitshalber erst mal ALLE Passwörter erneuert!!! Da kommt ne ganze Menge zusammen... Sämtliche Foren, E-Mail Accounts, Datenbank- und Serverzugänge, Online-Banking, soziale Netzwerke...usw...usw... Eine Lehre fürs Leben! :lol:

Jetzt die Frage:
Wie sicher ist ein MD5 Hash verschlüsseltes Passwort? Und wie lange könnte es dauern ein solchen Passwort zu entschlüsseln???

Gefahr besteht ja jetzt nicht mehr wirklich da neue UNTERSCHIEDLICHE Passwörter und der neue MD5 Schlüssel liegt in einer PHP-Datei auf dem Server!! Also frage ich aus reinem Interesse denn ich habe einen Selbstversuch mit dem veröffentlichten Schlüssel über http://md5cracker.org gestartet und da konnte das Pwd. von 10 verschiedenen Programmen nicht entschlüsselt werden!!! Liegt das evtl. daran, dass es kein Wort war sonder eine Kette aus verschiedenen Buchstaben in Groß- und Kleinschrift!?
Benutzeravatar
Markus
gehört zum Inventar
gehört zum Inventar
 
Beiträge: 621
Registriert: 10.01.2007, 18:07
Wohnort: Solingen

Diese Werbung wird von Google bereitgestellt. Wenn du ein Werbebanner anklickst, wird die Zielseite normalerweise statt meiner Homepage angezeigt. Wenn du sie lieber in einem neuen Fenster oder in einem neuen Tab sehen willst, kannst du in den meisen Browsern die Shift- bzw. die Strg-Taste gedrückt halten, während du die Werbung anklickst.

Re: Wie sicher ist ein MD5 Hash codiertes Passwort?

Beitragvon Friedel am 22.07.2010, 06:48

Ob das noch sicher genug ist, hängt natürlich hauptsächlich davon ab, was damit geschützt werden soll. Ein Programm, das es Passwort errechnet, das zu einem gegebenen MD5-Hash passt, läuft ja selbsttätig. Man muss nichts dazu tun. Man kann den Rechner also während der Frühstückspase damit belasten. Wenn das nicht reicht, auch nachts, am Wochenende oder über die Ferien. Ein geeignetes Programm sollte so ein Passwort, wenn es nicht zu lang ist, in der Regel in wenigen Stunden knacken können. Dass du kein einfaches Passwort genommen hast, erschwert das knacken zwar etwas, aber nicht sehr. Es gibt normalerweise viele Passwörter, die den selben Hash erzeugen. Wenn man eins dieser Passwörter gefunden hast, bekommt man damit Zugang, denn es wird nicht das Passwort, sondern der Hash überprüft.

Du solltest nie ein Passwort für alles mögliche verwenden. Nur bei Passwörtern, die keine wirkliche Zugangsbeschränkungsfunktion haben, ist sowas sinnvoll.

mfg Friedel
★ ★ ★ Ich beantworte grundsätzlich keine Supportanfragen per Email oder PN. ★ ★ ★
Benutzeravatar
Friedel
Administrator
Administrator
 
Beiträge: 4753
Registriert: 15.11.2004, 01:39
Wohnort: Weingarten/Pfalz

Re: Wie sicher ist ein MD5 Hash codiertes Passwort?

Beitragvon Markus am 22.07.2010, 09:09

Es gibt normalerweise viele Passwörter, die den selben Hash erzeugen. Wenn man eins dieser Passwörter gefunden hast, bekommt man damit Zugang, denn es wird nicht das Passwort, sondern der Hash überprüft.


Das ist ja sehr interessant!!
Das bedeutet, dass in der Dekodierung eigentlich ein völlig anderes Passwort entstehen könnte mit dem man Zugang bekommen kann!? :eek: *sachen gibts*

Ich habe mit Hilfe des betreffenden Forums für die Geschichte mit den Kundenkarten, die Erstellung einer Datenbank auf der nun Kundenkonten angelegt sind, umgesetzt. Das MD5-Hash verschlüsselte Passwort war das Masterpasswort um mich als Verwalter auf alle Kundenkonten einzuloggen...

Also gut das ich es jetzt geändert habe und nun habe ich auch verschiedene und größere Passwörter die ich mir mit verschiedenen Hinweisen handschriftlich notiert habe!! Jetzt sollte soweit alles wieder i.O. sein...
:up2:
Benutzeravatar
Markus
gehört zum Inventar
gehört zum Inventar
 
Beiträge: 621
Registriert: 10.01.2007, 18:07
Wohnort: Solingen

Re: Wie sicher ist ein MD5 Hash codiertes Passwort?

Beitragvon synaptic am 02.08.2010, 13:10

sorry, dass ich dazu akut noch was schreibe ;)

also md5 kann auch mit den sogenannten rainbow-tables entschlüsselt werden oder eben mit einer dictionary-datenbank.
ich hab selber mal für eine präsentation in der schule ein md5-entschlüssler programmiert, der eben mit ner dictionary-file funktioniert (da ein hoch auf java, dass es standardmässig nur eine kleine datei lesen kann.. bei 100k einträgen war glaube ich schluss mit der dictionary-file ;)


aber back to topic: md5 kann man noch etwas "sicherer" gestalten, wenn man aus seiner datenbank einen feststehenden wert nimmt (zB registrierungsdatum oder sowas), den sogenannten salt-wert.
damit wird das klartext-pw mit dem salt erweitert, dann der md5-hash gebildet und dann is das ganze nicht so einfach rückrechenbar (aber unmöglich wirds auch nicht)
verschlüsselungstechnisch ist derzeit SHA (secure hash algorithm) wohl "sicherer" als md5, aber wenn man mit nem salt agiert, sollte es für nen forum oder nen kleinen login reichen.
verschlüsselung braucht ja nicht 100% sicher sein, es reicht, wenn die wirtschaftlichkeit nicht gegeben ist, also wenn man etwas bis monatsende sichern will, sollte das entschlüsseln selber einen tick länger dauern, damit man selbst nach herausfinden der informationen nichts mehr damit anfangen kann.
wäre ich schlauer, bräucht ich net fragen!

rechtschreibfehler sind gewollt und zusammengerechnet ergeben sie die formel, wie man schlümpfe in gold verwandelt!
synaptic
Routinier
Routinier
 
Beiträge: 77
Registriert: 27.07.2007, 13:22
Wohnort: Frankfurt


Zurück zu Viren, Malware, Sicherheit, Hacker ...

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron