Apache Friends Support Forum

[samurai]

Hi,


man kann ja Passwörter schön mittels

Code: Select all

md5($passwort);

verschlüsseln, bevor man diese in die DB schreibt.

Was aber...
... wenn ein Benutzer sein Passwort vergessen hat (und es per Email automatisch zugeschickt bekommen soll).

Kann man ein mit md5() verschlüsseltes Passwort wieder entschlüsseln?
Wie geht man am besten (sichersten) mit Passwörtern in DBs um?


Danke dir für deine Hilfe!!

Gruß
samurai

[Wiedmann]

Kann man ein mit md5() verschlüsseltes Passwort wieder entschlüsseln?

Nein, kann man nicht, da md5() keine "Verschlüsselung" ist.

[samurai]

OK,

wird denn md5() überhaupt für Passwörter benutzt?

..oder...

gibt es denn einen anderen Weg, Passwörter zu verschlüssen und dann wieder zu entschlüsseln?


THX

Big Up

lang lebe das Apache Forum!

[Wiedmann]

wird denn md5() überhaupt für Passwörter benutzt?

Ja.

gibt es denn einen anderen Weg, Passwörter zu verschlüssen und dann wieder zu entschlüsseln?

Bestimmt. Aber Passwörter will man ja nicht entschlüsseln (können).

[samurai]

ja ok,

aber wenn ein Benutzer sein Passwort vergisst?
... dann kann doch niemand mehr sagen, wie das Passwort lautet.

Wie lösen das die Profis?

Danke dir Wiedmann!

[Wiedmann]

... dann kann doch niemand mehr sagen, wie das Passwort lautet.

zum Glück *g*

aber wenn ein Benutzer sein Passwort vergisst?

Dann kann er ein neues anfordern.

[martinpre]

aber wenn ein Benutzer sein Passwort vergisst?

Dann kann er ein neues anfordern.[/quote]

Also du überschreibst den alten Wert mit einem Neuen.

[Wiedmann]

Also du überschreibst den alten Wert mit einem Neuen.

Logisch.

Kennst du einen (seriösen) Dienst im Internet der dies anders handhabt?

[kschroeder]

Für alle die glauben, dass man md5-verschlüsselte Passwörter nicht mehr entschlüsseln kann:

http://md5.rednoize.com/

Funktioniert zwar nicht bei allen Passwörtern, aber ...

(Ich bin mir nicht sicher, aber ich denke, dahinter liegt einfach ne riesige DB mit allen zig Begriffen)

[KingCrunch]

Stimmt, ich glaubs nicht Ich habe 10 Hash-Werte getestet und kein einziger hat er entschlüsseln können. Die Fehlermeldung "Hash not found" lässt auch direkt auf eine Sache schließen: Das ist ein Wörterbuch-Angriff, bloss mit den md5-Werten. Wenn man Passwörter wählt, wie es überall empfohlen wird, hat man vor so einer Seite nichts zu befürchten

Insofern halte ich die Seite für eine ... Naja, is Mist. Wenn man weiß, was md5 is, wird man schnell fest stellen, dass es zwar dekodierbar ist, nicht aber mit angemessenem Aufwand.

Ausserdem muss man an den md5-Wert auch ran kommen (wenn man nicht zufällig Admin ist).

[kschroeder]

Leider lassen sich "meine" User nicht davon überzeugen, sinnvolle Kennwörter zu verwenden. Die meisten der Hash-Werte, die ich versucht hab, funktionierten. Obwohl viele zumindest zusammengesetzte Wörter (Wort + Zahl ...) waren.

Da es aber nur intern fürs Intranet ist und kein großer Missbrauch zu befürchten ist, sehe ich das (noch) gelassen.

[martinpre]

Naja rein theoretisch kannst du auch eine fette tabelle anlegen die zu jedem Passwort den Hashwert hat. (siehe zB http://de.wikipedia.org/wiki/Message_Di ... bow-Tables)

Aber wie es schon dabei steht: "die Berechnung solcher Listen [ist] enorm zeitintensiv [...] und [benötigt] sehr viel Speicherplatz[...]."

Dem kann man wieder damit entgegenwirken in dem man zB Umlaute und vorallem lange Passwörter verwendet. Aber dadurch erhöht man nur die Zeitdauer der "Entschlüsselung".

[KingCrunch]

Aber wie es schon dabei steht: "die Berechnung solcher Listen [ist] enorm zeitintensiv [...] und [benötigt] sehr viel Speicherplatz[...]."

Dem kann man wieder damit entgegenwirken in dem man zB Umlaute und vorallem lange Passwörter verwendet. Aber dadurch erhöht man nur die Zeitdauer der "Entschlüsselung".

Du hast schon eine ungefähre Ahnung in welcher Größenordnung Die reden?