Hallo miteinander,
Ich wollte mal aus reiner Neugier fragen, was ihr denn so für Verschlüsselungsalgorythmen benutzt, da ja md5 bekanntlicherweise geknackt wurde und eine salt nicht immer Lösung darstellt. Ich glaube hier im richtigen Forum zu sein.
Gruss
Balaban_S
naja, ich bin mir mal 100% sicher, dass nen saltet md5 gehashter string nicht geknackt werden kann.
ansonsten alternativen: sha2
aber wenn es nicht salted ist gibt es immer ne möglichkeit es zu knacken
It's not a bug, it's a feature 😉
Verschoben nach Basistechnologien und allgemeine .NET-Klassen
MD5 ist übrigens keine Verschlüsselung sondern lediglich eine Hashfunktion.
Tabellen gibts dafür auch schon einige Zeit.
http://www.heise.de/security/news/meldung/50148
Allerdings beziehen sich diese Angriffe eher in Richtung digitale Signaturen.
Deine Passwörter, sofern du einen salt verwendest, sollten weiterhin sicher sein. Du kannst aber trotzdem zu SHA-256 oder SHA-512 wechseln.
Original von VizOne
Inwiefern soll denn MD5 "geknackt" sein?
Insofern, als dass man (eigentlich seltene) Kollisionen unter gewissen Umstaenden/mit etwas Aufwand erzwingen kann. Resultat:
md5sum DeinProjekt.exe
und
md5sum MeinTrojaner.exe
liefert das gleiche Ergebnis..
Pound for pound, plutonium is about as toxic as caffeine when eaten.
Original von ApfeL
aber wenn es nicht salted ist gibt es immer ne möglichkeit es zu knacken
Wtf heißt eigentlich "salted"?
Danke schonmal,
Christian
Weeks of programming can save you hours of planning
"Eine wirklich gute Idee erkennt man daran, dass ihre Verwirklichung von vornherein ausgeschlossen erscheint." (Albert Einstein)
Gefangen im magischen Viereck zwischen studieren, schreiben, lehren und Ideen umsetzen…
Blog: www.fabiandeitelhoff.de
Aha, vielen Dank!
Weeks of programming can save you hours of planning
Original von regen
Meldung vom 18.08.2004
Was hast du denn gegen das Datum?
Original von marsgk
Original von regen
Meldung vom 18.08.2004
Was hast du denn gegen das Datum?
warscheinlich, dass die meldung kalter kaffee ist und md5 nach wie vor sehr beliebt ist und eingesetzt wird.
Wenn man weiss was man tut kann man das ja auch durchaus machen. Ob ich jetzt aber im Firmenumfeld als "Signatur" von Vertraegen/Schriftverkehr eine MD5 Summe gelten lassen wuerde: Vermutlich nicht.
Pound for pound, plutonium is about as toxic as caffeine when eaten.
Der Link scheint mir abhanden gekommen zu sein.
Hatte eine wundervolle implementation eines MD5-Cracks.
Gruss
Balaban_S
Es gibt m.E. nach keinen "Crack" fuer MD5.
Es gibt zum einen ein paar Projekte die fuer einen gegebenen Hash einen der moeglichen Ausgangswerte berechnen. Zum Beispiel bieten einige Webseiten sogar an, dass man MD5 Summen einsenden kann und in langer, langer Arbeit werden die automatisch versucht auf einen (nicht unbedingt den) Ausgangswert zu fuehren. Haeufig hat man dort noch eine Datenbank mit den (einfach zu erstellenden) MD5 Pruefsummen einer Vielzahl von Dictionaries und Varianten daraus.
Diese o.a. Methode wuerde also simple MD5 Hashes von Passwoertern gefaehrden, ist aber keine einfache/schnelle Methode.
Ansonsten gibt es eben noch das angefuehrte Problem mit einer MD5 Signatur fuer Dateien. Mit einem entsprechenden theoretischen/mathematischen Hintergrund (der mir abgeht..) kann man fuer die meisten Datentypen eine Datei gleichen Namens mit gleicher Signatur generieren - indem man die moegl. Kollisionen einer Hashfunktion ausnutzt.
In den entsprechenden Papieren wird gerne von Vertraegen gesprochen, z.B. im PDF Format. Es wird gezeigt wie ein unterschriebener Vertrag, digital (mit MD5) signiert, durch eine Faelschung ersetzt wird, bei der die Originalsignatur keinen Fehler meldet. Wenn man sich das im entsprechenden Rahmen vorstellt (Nachricht an die Bank z.B.), dann moechte man vielleicht von MD5 als alleinigem Pruefmechanismus Abstand nehmen.
Pound for pound, plutonium is about as toxic as caffeine when eaten.