MD5 Frage

Übersicht

Sonstiges

Smalltalk

	Garfield12 Betreff: MD5 Frage	Mo, Sep 27, 2010 18:03 Antworten mit Zitat
Hallo Community, ich habe eine Frage hierzu:http://de.wikipedia.org/wiki/M...gorithm_5# Und zwar verstehe ich nicht so ganz, wie MD5 Passwortsicherheit gewährleistet. Ich stelle mir das so vor: Zitat: Passwort: hallo74# Nutzer: Peter Website: XY.tld Peter gibt sein Passwort im Anmeldefeld ein, und die PHP Seite macht daraus einen Hash und überprüft diesen mit dem Hash aus der DB ist dieser Identisch, kommt er rein. Wenn nun aber ein Brute-Force Angriff läuft, geht er dann doch nach dem gleichen Prinzip vor. Warum ist MD5 dann so gut für Passwortverschlüsselung, es hilft doch eigentlich nichts. Der Brute-Forcer kommt ganz normal durch, warum aber lese ich dann in der Wikipedia etwas von Rainbow-Tables die sind doch komplett überflüssig. Ich denke mal das ich einen Denkfehler gemacht habe und würde bitten, das mich jemand aufklärt bezüglich der Sciherheit von MD5. MfG Yannik

Garfield12

Betreff: MD5 Frage

Mo, Sep 27, 2010 18:03
Antworten mit Zitat

Hallo Community,
ich habe eine Frage hierzu:http://de.wikipedia.org/wiki/M...gorithm_5#
Und zwar verstehe ich nicht so ganz, wie MD5 Passwortsicherheit gewährleistet.
Ich stelle mir das so vor:
Zitat:

Passwort: hallo74#
Nutzer: Peter
Website: XY.tld
Peter gibt sein Passwort im Anmeldefeld ein, und die PHP Seite macht daraus einen Hash und überprüft diesen mit dem Hash aus der DB ist dieser Identisch, kommt er rein.
Wenn nun aber ein Brute-Force Angriff läuft, geht er dann doch nach dem gleichen Prinzip vor.

Warum ist MD5 dann so gut für Passwortverschlüsselung, es hilft doch eigentlich nichts.
Der Brute-Forcer kommt ganz normal durch, warum aber lese ich dann in der Wikipedia etwas von Rainbow-Tables die sind doch komplett überflüssig.
Ich denke mal das ich einen Denkfehler gemacht habe und würde bitten, das mich jemand aufklärt bezüglich der Sciherheit von MD5.
MfG
Yannik

	D2006 Administrator	Mo, Sep 27, 2010 18:09 Antworten mit Zitat
Brute-Force muss natürlich unabhängig von MD5 verhindert werden. Und Rainbow-Tables nützen einem nur was, wenn man den MD5-Hash eines Passworts bereits hat. Es geht halt darum, das Benutzerpasswort nicht Klartext in der Datenbank zu speichern. Denn sollte die Datenbank einmal geknackt werden, so sind gleich alle Passwörter bekannt. Und viele benutzen ja überall die gleichen.
Intel Core i5 2500 \| 16 GB DDR3 RAM dualchannel \| ATI Radeon HD6870 (1024 MB RAM) \| Windows 7 Home Premium Intel Core 2 Duo 2.4 GHz \| 2 GB DDR3 RAM dualchannel \| Nvidia GeForce 9400M (256 MB shared RAM) \| Mac OS X Snow Leopard Intel Pentium Dual-Core 2.4 GHz \| 3 GB DDR2 RAM dualchannel \| ATI Radeon HD3850 (1024 MB RAM) \| Windows 7 Home Premium Chaos Interactive :: GoBang :: BB-Poker :: ChaosBreaker :: Hexagon :: ChaosRacer 2

D2006

Administrator

Mo, Sep 27, 2010 18:09
Antworten mit Zitat

Brute-Force muss natürlich unabhängig von MD5 verhindert werden. Und Rainbow-Tables nützen einem nur was, wenn man den MD5-Hash eines Passworts bereits hat.

Es geht halt darum, das Benutzerpasswort nicht Klartext in der Datenbank zu speichern. Denn sollte die Datenbank einmal geknackt werden, so sind gleich alle Passwörter bekannt. Und viele benutzen ja überall die gleichen.

	Hubsi	Mo, Sep 27, 2010 18:10 Antworten mit Zitat
Wenn die Website nicht entsprechend auf die Bruteforce-Attacke reagiert ist kein Algo der Welt "dauerhaft" sicher. Da bleibt es immer nur eine Frage der Zeit, bzw. des Passworts wann er einen Treffer landet.
Den ganzen Doag im Bett umanandflagga und iaz daherkema und meine Hendl`n fressn...

Hubsi

Mo, Sep 27, 2010 18:10
Antworten mit Zitat

Wenn die Website nicht entsprechend auf die Bruteforce-Attacke reagiert ist kein Algo der Welt "dauerhaft" sicher. Da bleibt es immer nur eine Frage der Zeit, bzw. des Passworts wann er einen Treffer landet.

Den ganzen Doag im Bett umanandflagga und iaz daherkema und meine Hendl`n fressn...

	Garfield12	Mo, Sep 27, 2010 18:17 Antworten mit Zitat
Achso MD5 schützt nur vor dem Fall, das die DB geknackt wird. Wenn das so ist, hab ich alles verstanden. MfG Yannik

Garfield12

Mo, Sep 27, 2010 18:17
Antworten mit Zitat

Achso MD5 schützt nur vor dem Fall, das die DB geknackt wird.
Wenn das so ist, hab ich alles verstanden.
MfG
Yannik

	Firstdeathmaker	Mo, Sep 27, 2010 19:06 Antworten mit Zitat
MD5 schützt nicht nur falls die DB gehackt wurde, sondern auch, wenn die Übertragung abgehört oder der Admin mal in die DB schauen muss. Jedenfalls weis der Angreifer dann immer noch nicht das Klartextpasswort. Vielleicht noch ein paar Hinweise für die Benutzung: Hashe am besten nicht nur das Passwort, sondern einen "Salt" Wert mit, damit 2 User mit zufällig den gleichen Passwörtern nicht den gleichen Hash haben: Datenbankeintrag: username$,saltwert%,passworthash firstdeathmaker,5382734,md5(Passwort+5382734)
www.illusion-games.de Space War 3 \| Space Race \| Galaxy on Fire \| Razoon Gewinner des BCC #57 User posted image

Firstdeathmaker

Mo, Sep 27, 2010 19:06
Antworten mit Zitat

MD5 schützt nicht nur falls die DB gehackt wurde, sondern auch, wenn die Übertragung abgehört oder der Admin mal in die DB schauen muss. Jedenfalls weis der Angreifer dann immer noch nicht das Klartextpasswort.

Vielleicht noch ein paar Hinweise für die Benutzung:

Hashe am besten nicht nur das Passwort, sondern einen "Salt" Wert mit, damit 2 User mit zufällig den gleichen Passwörtern nicht den gleichen Hash haben:

Datenbankeintrag: username$,saltwert%,passworthash

firstdeathmaker,5382734,md5(Passwort+5382734)

www.illusion-games.de
Space War 3 | Space Race | Galaxy on Fire | Razoon
Gewinner des BCC #57 User posted image