MD5-codierung rückgängig?

Rockmaster · 15.04.2006, 17:29

Hi Leute ich wollte euch fragen ob es möglich ist eine MD5-codierung wieder lesbar zu machen.
Kleines Beispiel:

PHP-Code:

  <?php

$a="test";

$b= md5($a);

echo $b;

?>

Als ich den Skript hochgeladen hab kam bei die codierte version raus...
und wie kann ich das wieder decoden?
gibts dafür auch eine einfache funktion?

15.04.2006, 17:40

Zum 9745sten Mal: Nein, das geht nicht!

Gruß
phpfan

Rockmaster · 15.04.2006, 17:42

Oh...
Gibts dann ne andere wenn möglich genauso einfache verschlüsslungsart die aber auch eine ENTschlüssungsfunktion besitzt?

P:S: Wieso verwenden foren MD5 wenn das doch nicht zuentschlüsseln ist?

15.04.2006, 17:49

Wofür willst du eine Ver/Entschlüsselung? md5 hat mit einer Verschlüsselung nicht zu tun, denn wo ist der Schlüssel?

Gruß
phpfan

Rockmaster · 15.04.2006, 17:57

Weis ich nich...
aber auf jedenfall muss es einen schlüssel geben sonst würde es diese funktion ja nicht geben

naja is jetzt auch egal...
ich hab jetzt mit nem kleinen testprogramm rausgefunden warum der code unknackbar ist.

Zergling-new · 15.04.2006, 19:20

http://de.wikipedia.org/wiki/MD5

Grob erklärt ist MD5 eine Prüfsumme.

Genauso wie die Quersumme einer Zahl auch als Prüfsumme verwendet werden könnte. Aber rückwärtsrechnen könntest du nicht mehr, also auf die Originalzahl kommen. Du kannst zwar andere Zahlen finden, deren Quersumme die gleiche ist, aber MD5 ist etwas komplizierter als nur die Quersumme

2 + 3 => Quersumme => 5
23 => Quersumme => 5
2 + 1 + 2 => Quersumme => 5
...

Flor1an · 15.04.2006, 20:45

md5() verwenden Foren um Passwörter so zu "verschlüsseln" damit eben niemand sie mehr entschlüsseln und dadurch lesen kann! Beim Login wird einfach das eingegebene Passwort "verschlüsselt" und mit dem Wert der gespeichert ist verglichen! Daher reicht es aus das Passwort unwiederrufbar zu "verschlüsseln". Daher kannst du dir dein Passwort nicht zusenden lassen. Du bekommst dann ein Neues wenn du es vergessen hast.

HStev · 16.04.2006, 13:18

MD5 ist keine Verschlüsselung sondern wie hier schon gesagt wurde ein Hash mit fester Länge um einfach auf Gleichheit zu prüfen ... der Vorteil hier für die Passwortspeicherung liegt einfach darin das der Hash (fast) eindeutig ist und somit das Passwort nicht im Klartext gespeichert werden muss und der Datenschutz der User gesichert ist. Denn niemanden außer den User selbst geht das Passwort im Klartext etwas an auch den Admins des jeweiligen Dienstes nicht.
Rückverschlüsselung ist in diesen Fall nicht erwünscht wenn jemand sein Passwort vergessen hat kriegt er halt n automatisches erzeugtes Passwort.

Aber statt MD5 sollte man lieber SHA1 verwenden ... die Wahrscheinlichkeit einer Überschneidung eines Wörterbuchsangriffes ist bei SHA1 einfach geringer als bei MD5 und gleichzeitig sollte man auch eine max. Anzahl von fehlgeschlagenen Versuchen festlegen. So kann man mit 99% Sicherheit ausschliesen das sich doch mal jemand unerwünscht Zugang über diesen Weg verschafft.

ps: ich halte Dienste die einen das eigene Passwort im Klartext zusenden bei einen vergessenen Passwort sowieso für unseriös.

Corvin · 16.04.2006, 14:16

Zitat:

Zitat von Rockmaster

Oh...
Gibts dann ne andere wenn möglich genauso einfache verschlüsslungsart die aber auch eine ENTschlüssungsfunktion besitzt?

http://de2.php.net/manual/en/ref.mcrypt.php

<Daniel> · 18.04.2006, 09:50

Vllt. nochmal einfach zusammengefasst mit einem Beispiell, was MD5 ist ->

Also mit der md5() Funktion bildest du wie einige Bereits richtig gesagt haben, einen Hashwert, das ist einfach eine Prüfsumme von einem Begriff (im Falle eines PWs)

Sagen wir mal, DU bist der Betreiber eines Forums. Irgendjemand kommt in dein Forum und registriert sich (Nick, PW, E-Mail, etc.), diese Informationen werden in der Datenbank gespeichert, alles in Klartext ... AUSSER natürlich das Password.

In dem moment, wo der Mensch auf "registrieren" klickt, werden die Daten zur DB geschickt und das Password wird in diesen MD5 Hash umgewandelt und als MD5 Hash in der Datenbank gespeicher.
z.B. hast du als PW 'phpisttoll', das würde als MD5 Hash '7d6b19b7517c08f1f90439ee701986d1' lauten (MD5 Generator).

Wenn der Mensch sich dann einloggen will, gibt er ja seinen Nick und sein PW ein, beides wird geprüft, der Nick wird als Klartext geprüft und das Password wird vor der Prüfung in den MD5 Hash umgewandelt, weil es ja mit dem zuvor gespeichertem MD5 Wert in der Datenbank überprüft werden muss.

Hoffe mal das ist so verständlich ^.^

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
hilfe für richtige Codierung erwünscht	rockinchina	PHP Tipps 2005-2	21	21.09.2005 18:13
[Erledigt] Problem mit UTF-8 Codierung		PHP-Fortgeschrittene	1	30.06.2005 13:37
passwort codierung		PHP Tipps 2004	15	30.10.2004 17:20
codierung		PHP Tipps 2004	7	27.09.2004 23:39

15.04.2006, 17:29
Rockmaster Neuer Benutzer Registriert seit: 18.01.2006 Beiträge: 21	MD5-codierung rückgängig? Hi Leute ich wollte euch fragen ob es möglich ist eine MD5-codierung wieder lesbar zu machen. Kleines Beispiel: PHP-Code: `<?php $a="test"; $b= md5($a); echo $b; ?>` Als ich den Skript hochgeladen hab kam bei die codierte version raus... und wie kann ich das wieder decoden? gibts dafür auch eine einfache funktion?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

15.04.2006, 17:40
Gast Beiträge: n/a	Zum 9745sten Mal: Nein, das geht nicht! Gruß phpfan

15.04.2006, 17:42
Rockmaster Neuer Benutzer Registriert seit: 18.01.2006 Beiträge: 21	Oh... Gibts dann ne andere wenn möglich genauso einfache verschlüsslungsart die aber auch eine ENTschlüssungsfunktion besitzt? P:S: Wieso verwenden foren MD5 wenn das doch nicht zuentschlüsseln ist?

15.04.2006, 17:49
Gast Beiträge: n/a	Wofür willst du eine Ver/Entschlüsselung? md5 hat mit einer Verschlüsselung nicht zu tun, denn wo ist der Schlüssel? Gruß phpfan

15.04.2006, 17:57
Rockmaster Neuer Benutzer Registriert seit: 18.01.2006 Beiträge: 21	Weis ich nich... aber auf jedenfall muss es einen schlüssel geben sonst würde es diese funktion ja nicht geben naja is jetzt auch egal... ich hab jetzt mit nem kleinen testprogramm rausgefunden warum der code unknackbar ist.

15.04.2006, 19:20
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	http://de.wikipedia.org/wiki/MD5 Grob erklärt ist MD5 eine Prüfsumme. Genauso wie die Quersumme einer Zahl auch als Prüfsumme verwendet werden könnte. Aber rückwärtsrechnen könntest du nicht mehr, also auf die Originalzahl kommen. Du kannst zwar andere Zahlen finden, deren Quersumme die gleiche ist, aber MD5 ist etwas komplizierter als nur die Quersumme 2 + 3 => Quersumme => 5 23 => Quersumme => 5 2 + 1 + 2 => Quersumme => 5 ...

15.04.2006, 20:45
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	md5() verwenden Foren um Passwörter so zu "verschlüsseln" damit eben niemand sie mehr entschlüsseln und dadurch lesen kann! Beim Login wird einfach das eingegebene Passwort "verschlüsselt" und mit dem Wert der gespeichert ist verglichen! Daher reicht es aus das Passwort unwiederrufbar zu "verschlüsseln". Daher kannst du dir dein Passwort nicht zusenden lassen. Du bekommst dann ein Neues wenn du es vergessen hast.

16.04.2006, 13:18
HStev Erfahrener Benutzer Registriert seit: 25.04.2005 Beiträge: 1.356	MD5 ist keine Verschlüsselung sondern wie hier schon gesagt wurde ein Hash mit fester Länge um einfach auf Gleichheit zu prüfen ... der Vorteil hier für die Passwortspeicherung liegt einfach darin das der Hash (fast) eindeutig ist und somit das Passwort nicht im Klartext gespeichert werden muss und der Datenschutz der User gesichert ist. Denn niemanden außer den User selbst geht das Passwort im Klartext etwas an auch den Admins des jeweiligen Dienstes nicht. Rückverschlüsselung ist in diesen Fall nicht erwünscht wenn jemand sein Passwort vergessen hat kriegt er halt n automatisches erzeugtes Passwort. Aber statt MD5 sollte man lieber SHA1 verwenden ... die Wahrscheinlichkeit einer Überschneidung eines Wörterbuchsangriffes ist bei SHA1 einfach geringer als bei MD5 und gleichzeitig sollte man auch eine max. Anzahl von fehlgeschlagenen Versuchen festlegen. So kann man mit 99% Sicherheit ausschliesen das sich doch mal jemand unerwünscht Zugang über diesen Weg verschafft. ps: ich halte Dienste die einen das eigene Passwort im Klartext zusenden bei einen vergessenen Passwort sowieso für unseriös. __________________ Gewisse Dinge behält man besser für sich, z.B. das man gewisse Dinge für sich behält.

18.04.2006, 09:50
<Daniel> Erfahrener Benutzer Registriert seit: 03.04.2006 Beiträge: 222	Vllt. nochmal einfach zusammengefasst mit einem Beispiell, was MD5 ist -> Also mit der md5() Funktion bildest du wie einige Bereits richtig gesagt haben, einen Hashwert, das ist einfach eine Prüfsumme von einem Begriff (im Falle eines PWs) Sagen wir mal, DU bist der Betreiber eines Forums. Irgendjemand kommt in dein Forum und registriert sich (Nick, PW, E-Mail, etc.), diese Informationen werden in der Datenbank gespeichert, alles in Klartext ... AUSSER natürlich das Password. In dem moment, wo der Mensch auf "registrieren" klickt, werden die Daten zur DB geschickt und das Password wird in diesen MD5 Hash umgewandelt und als MD5 Hash in der Datenbank gespeicher. z.B. hast du als PW 'phpisttoll', das würde als MD5 Hash '7d6b19b7517c08f1f90439ee701986d1' lauten (MD5 Generator). Wenn der Mensch sich dann einloggen will, gibt er ja seinen Nick und sein PW ein, beides wird geprüft, der Nick wird als Klartext geprüft und das Password wird vor der Prüfung in den MD5 Hash umgewandelt, weil es ja mit dem zuvor gespeichertem MD5 Wert in der Datenbank überprüft werden muss. Hoffe mal das ist so verständlich ^.^