Passwort wie sicher ?

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/passwort_wie_sicher_150213/page_1 - zur Vollversion wechseln!

Moesli schrieb am 01.10.2005 um 10:11

Code: PHP
<?  

$password = 'superpasswort';
$newpassword = crypt($password, "CRYPT_MD5");     

echo "original:   ",$password;  echo "<br>";  
echo "crypt:     ",$newpassword;

$string = md5($newpassword);  echo "<br>";    
echo "MD5:       ";  echo $string;          

?>

habt ihr eine ahnung wie lange man ca. braucht um ^^ diese passwortverschlüsselungsmethode mittels scritp zu entschlüsseln ?

pong schrieb am 01.10.2005 um 12:08

Eine md5 Hash? Nunja... ewig triffts ziemlich genau, solangst Bruteforce von Anfang an ausschließ

pong

COLOSSUS schrieb am 01.10.2005 um 12:12

Ohne Salt mit einer dictionary-based attack nicht allzu lange, wenn das Passwort schwach ist. Da hilft dir auch die tollste Hashfunktion nicht. Bruteforce laut einem kuerzlich veroeffentlichten jap. Paper glaube ich etwa runde 2^70 Versuche (bei MD5).

watchout schrieb am 01.10.2005 um 13:22

md5 is keine Verschlüsselung sondern ein Hash, also kannst du maximal eine Zeichenfolge bekommen die den gleichen Hash erzeugt, kannst aber nie wissen ob das die "echte" Zeichenfolge ist. Dazu musst du aber den Hash kennen - andernfalls kannst du nur mit Dictionary, oder Brute-Force ran.

semteX schrieb am 01.10.2005 um 13:30

wobei wenn ma sich 95% der passwörter anschaut braucht ma nur mal alle geburtsdaten von 1.1.01 - 31.12.99 && 01.01.1901 - 31.12.2005 und dann noch 1 - 10000000 durchlaufn lassn... wenn ma dann noch mitm dictionary drauf geht bleibt nimmer viel über... die leute machn sich viel zu wenig gedanken drüber...

add: geht natürlich nur wenn ma den hash im idealfall scho kennt. weil wenn da ein brute force schutz drauf ist wirds natürlich mühsam....

Moesli schrieb am 02.10.2005 um 13:06

Zitat von watchout
md5 is keine Verschlüsselung sondern ein Hash, also kannst du maximal eine Zeichenfolge bekommen die den gleichen Hash erzeugt, kannst aber nie wissen ob das die "echte" Zeichenfolge ist. Dazu musst du aber den Hash kennen - andernfalls kannst du nur mit Dictionary, oder Brute-Force ran.

verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,...

DJ_Cyberdance schrieb am 02.10.2005 um 13:10

Zitat von Moesli
verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,...

Egal, welcher Algorithmus verwendet wird, prinzipiell ist eine zufällig gewählte Kombination aus Groß- und Kleinbuchstaben sowie Zahlen UND Sonderzeichen am besten. Länge: Meiner persönlichen Meinung nach reichen 8 Zeichen, aber je nach Paranoia könnens auch mehr sein...

watchout schrieb am 02.10.2005 um 14:01

Zitat von Moesli
verstehe also wenn man bruteforcen würde, würde man mehrere möglichkeiten bekommen,.. also wär das sicherste PW eine sinlose ansammlung von zahlen und buchstaben,...
Naja, wenn du Pech hast bringt "a" das selbe Ergebnis wie ein 30 stellen langes kompliziertes Alphanumerisches Passwort mit Sonderzeichen und all dem... :p

tomstig schrieb am 05.10.2005 um 09:29

Wenn du dir ganz sicher sein willst, baust halt ein Anti-Brutforcing ein...

Skript gibts zb hier

mr.nice. schrieb am 05.10.2005 um 09:52

Ich kenn mich mit dem Thema zwar nicht wirklich aus, aber auf MD5 Hashes würd' ich nicht mehr setzen.

Astalavista.net (wo ich Mitglied bin) hat vorigen Sommer ein sehr interessantes PDF über MD5-Hashes veröffentlicht, zwar sehr mathematisch und ich hab nix kapiert, aber so mancher Cracker wohl schon...

watchout schrieb am 05.10.2005 um 10:55

Ich kenn das PDF nicht, und will auch garnicht wissen warum du Mitglied dort bist wenn du kein Schimmer von dem Thema hast... aber soviel kann ich sagen:

"Entschlüsseln" kann man nur einen MD5-Hash wenn man den Hash überhaupt hat (.) Das is so und lässt sich sicher nicht ändern. Zusätzlich bezieht sich dieses "Entschlüsseln" nur darauf dass man einen String erhält, der den gleichen Hash liefert, aber eben nicht der ursprüngliche String sein muss.

Verbunden mit der Tatsache, dass man auf nem Linux Rechner nur als Root überhaupt die passwd-Files lesen kann, fragt sich - wozu die noch entschlüsseln wenn man doch eh' schon root ist. Wenn ein Hacker mal so weit gekommen ist, sollte man vielleicht das root-pw von "god" auf was anderes stellen :p



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2026