MD5



  • Hi,
    weiß jemand, wie Forensoftware wie z.B. phpBB, die mit dem MD5-System verschlüsselten Passwörter wieder entschlüsselt ? Es ist zwar angeblich unmöglich, aber irgendwie muß das ja geschehen, da man ja sich sein Passwort per Mail wieder zuschicken lassen kann, falls man es vergessen hat.
    Wie macht ihr das, wenn ihr nutzerbasierte Skripte erstellt ?

    Danke für die Info.


  • Mod

    md5 kann man nicht entschluesseln.

    Wenn man sein Passwort vergessen hat, dann schicken wir fuer gewoehnlich ein neues Passwort (allerdings muss bei uns der Kunde telefonisch anfragen).

    das UBB speichert die Passwoerter in Plain Text, also unverschluesselt - das ist auch die einzige Moeglichkeit wie man wieder an das original passwort kommen kann.

    du koenntest dafuer eine eigene DB machen mit nur 1er Tabelle wo passwoerter und user id steht - das waere dann relativ sicher.

    diese DB wird dann eben nur dann benutzt wenn man ein original passwort braucht - ansonsten wird immer das md5-passwort verwendet



  • Hm, phpBB speichert die Passwörter übrigens auch mit MD5, aber sie scheinen sie wohl noch irgendwo anders ohne Verschlüsselung gespeichert zu haben, nagut, danke für die Info.

    Btw, mittels BruteForce kann man die Dinger übrigens wieder entschlüsseln, aber da verschiedene Passwörter den selben MD5-Code erzeugen können, ist die Sache nicht wirklich zuverlässig und zeitaufwenidg sowieso.

    [ Dieser Beitrag wurde am 31.05.2003 um 20:49 Uhr von Michamab editiert. ]


  • Mod

    mit brute force kann man alles knacken - aber entschluesseln wuerde ich nicht dazu sagen...



  • Btw, mittels BruteForce kann man die Dinger übrigens wieder entschlüsseln, aber da verschiedene Passwörter den selben MD5-Code erzeugen können, ist die Sache nicht wirklich zuverlässig und zeitaufwenidg sowieso.

    Kann man das wirklich ?
    Soweit ich weis ist es praktisch nicht möglich einen MD5-Hash zu entschlüsseln.
    Man kann höchstens alle möglichen Zeichenkombinationen verschlüsseln und das Ergebnis vergleichen. Kollisionen sind auch eher unerwünscht und sehr selten.



  • Original erstellt von prolog:
    **
    Man kann höchstens alle möglichen Zeichenkombinationen verschlüsseln und das Ergebnis vergleichen.**

    Genau das macht Brute Force.



  • bei md5 würde das aber sehr lange mit dem bruce force verfahren dauern bzw. man bräuchte einen schnellen rechner (oder mehrere Rechner).



  • Das es sehr lange dauert ist nicht der Punkt. Tatsache ist, daß man jede Verschlüsselung knacken kann.
    Auch wenn es 100 Jahre dauern würde.



  • Genau das macht Brute Force.

    Das ist mir schon klar. 😉 Nur ist das kein entschluesseln !
    Eine Bruteforceentschluesselung wäre eine komplette Durchsuchung des Schluesselraums.



  • Man könnte symetrische verschlüsselung anwenden. damit könnte man diese passwörter verschlüsseln und auch wieder entschlüsseln, allerdings muss man da ein zur ver-/entschlüsselung ein passwort festlegen

    google mal nach symetrische verschlüsselung, blowfish, IDEA.

    aber ich denke die beste möglichkeit wäre, wenn man ein neues passwort festlegen würde, so wie es shade vorgeschlagen hat.

    Gruß mathik


Anmelden zum Antworten