Passwörter in der DB mittels md5() verschüsseln und...

Alles, was PHP betrifft, kann hier besprochen werden.

Passwörter in der DB mittels md5() verschüsseln und...

Postby samurai » 13. May 2007 14:23

Hi,


man kann ja Passwörter schön mittels
Code: Select all
md5($passwort);
verschlüsseln, bevor man diese in die DB schreibt.

Was aber...
... wenn ein Benutzer sein Passwort vergessen hat (und es per Email automatisch zugeschickt bekommen soll).

Kann man ein mit md5() verschlüsseltes Passwort wieder entschlüsseln?
Wie geht man am besten (sichersten) mit Passwörtern in DBs um?


Danke dir für deine Hilfe!!

Gruß
samurai
samurai
 
Posts: 45
Joined: 17. July 2006 13:39

Postby Wiedmann » 13. May 2007 14:28

Kann man ein mit md5() verschlüsseltes Passwort wieder entschlüsseln?

Nein, kann man nicht, da md5() keine "Verschlüsselung" ist.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

DANKE

Postby samurai » 13. May 2007 14:37

OK,

wird denn md5() überhaupt für Passwörter benutzt?

..oder...

gibt es denn einen anderen Weg, Passwörter zu verschlüssen und dann wieder zu entschlüsseln?


THX

Big Up

lang lebe das Apache Forum!
samurai
 
Posts: 45
Joined: 17. July 2006 13:39

Postby Wiedmann » 13. May 2007 14:55

wird denn md5() überhaupt für Passwörter benutzt?

Ja.

gibt es denn einen anderen Weg, Passwörter zu verschlüssen und dann wieder zu entschlüsseln?

Bestimmt. Aber Passwörter will man ja nicht entschlüsseln (können).
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby samurai » 13. May 2007 15:12

ja ok,

aber wenn ein Benutzer sein Passwort vergisst?
... dann kann doch niemand mehr sagen, wie das Passwort lautet.

Wie lösen das die Profis?

Danke dir Wiedmann!
Last edited by samurai on 13. May 2007 15:13, edited 1 time in total.
samurai
 
Posts: 45
Joined: 17. July 2006 13:39

Postby Wiedmann » 13. May 2007 15:13

... dann kann doch niemand mehr sagen, wie das Passwort lautet.

zum Glück *g*

aber wenn ein Benutzer sein Passwort vergisst?

Dann kann er ein neues anfordern.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby martinpre » 13. May 2007 18:43

aber wenn ein Benutzer sein Passwort vergisst?

Dann kann er ein neues anfordern.[/quote]

Also du überschreibst den alten Wert mit einem Neuen.
martinpre
 
Posts: 405
Joined: 22. May 2006 16:14
Location: Nähe Tulln / Österreich

Postby Wiedmann » 13. May 2007 18:55

Also du überschreibst den alten Wert mit einem Neuen.

Logisch.

Kennst du einen (seriösen) Dienst im Internet der dies anders handhabt?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby kschroeder » 14. May 2007 07:20

Für alle die glauben, dass man md5-verschlüsselte Passwörter nicht mehr entschlüsseln kann:

http://md5.rednoize.com/

Funktioniert zwar nicht bei allen Passwörtern, aber ...

(Ich bin mir nicht sicher, aber ich denke, dahinter liegt einfach ne riesige DB mit allen zig Begriffen)
kschroeder
 
Posts: 254
Joined: 11. May 2007 13:33

Postby KingCrunch » 14. May 2007 10:05

Stimmt, ich glaubs nicht ;) Ich habe 10 Hash-Werte getestet und kein einziger hat er entschlüsseln können. Die Fehlermeldung "Hash not found" lässt auch direkt auf eine Sache schließen: Das ist ein Wörterbuch-Angriff, bloss mit den md5-Werten. Wenn man Passwörter wählt, wie es überall empfohlen wird, hat man vor so einer Seite nichts zu befürchten ;)

Insofern halte ich die Seite für eine ... Naja, is Mist. Wenn man weiß, was md5 is, wird man schnell fest stellen, dass es zwar dekodierbar ist, nicht aber mit angemessenem Aufwand.

Ausserdem muss man an den md5-Wert auch ran kommen (wenn man nicht zufällig Admin ist).
Nicht jeder Fehler ist ein Bug ...
KingCrunch
 
Posts: 1724
Joined: 26. November 2005 19:25

Postby kschroeder » 14. May 2007 10:40

Leider lassen sich "meine" User nicht davon überzeugen, sinnvolle Kennwörter zu verwenden. Die meisten der Hash-Werte, die ich versucht hab, funktionierten. Obwohl viele zumindest zusammengesetzte Wörter (Wort + Zahl ...) waren.

Da es aber nur intern fürs Intranet ist und kein großer Missbrauch zu befürchten ist, sehe ich das (noch) gelassen.
kschroeder
 
Posts: 254
Joined: 11. May 2007 13:33

Postby martinpre » 14. May 2007 14:39

Naja rein theoretisch kannst du auch eine fette tabelle anlegen die zu jedem Passwort den Hashwert hat. (siehe zB http://de.wikipedia.org/wiki/Message_Di ... bow-Tables)

Aber wie es schon dabei steht: "die Berechnung solcher Listen [ist] enorm zeitintensiv [...] und [benötigt] sehr viel Speicherplatz[...]."

Dem kann man wieder damit entgegenwirken in dem man zB Umlaute und vorallem lange Passwörter verwendet. Aber dadurch erhöht man nur die Zeitdauer der "Entschlüsselung".
martinpre
 
Posts: 405
Joined: 22. May 2006 16:14
Location: Nähe Tulln / Österreich

Postby KingCrunch » 14. May 2007 19:42

martinpre wrote:Aber wie es schon dabei steht: "die Berechnung solcher Listen [ist] enorm zeitintensiv [...] und [benötigt] sehr viel Speicherplatz[...]."

Dem kann man wieder damit entgegenwirken in dem man zB Umlaute und vorallem lange Passwörter verwendet. Aber dadurch erhöht man nur die Zeitdauer der "Entschlüsselung".
Du hast schon eine ungefähre Ahnung in welcher Größenordnung Die reden? ;)
Nicht jeder Fehler ist ein Bug ...
KingCrunch
 
Posts: 1724
Joined: 26. November 2005 19:25


Return to PHP

Who is online

Users browsing this forum: No registered users and 1 guest