MD5 + Salt - Seite 2

nikosch · 23.11.2008, 20:00

Zitat:

also kann ich mir Salt im Prinzip sparen oder wenn ich das Passwort "salze" muss ich das Salz es mit in denHash reinschmeißen.
Hab ich das richtig verstanden?

Hast Du den Thread gelesen?

Michi26206 · 24.11.2008, 01:00

Zitat:

Zitat von Chriz

Den SALT musst du zu einem spaeteren Zeitpunkt natuerlich noch kennen.
Es reicht aber auch ein statischer SALT um die Rainbowtabellen unwirksam zu machen.

Nur ist ja klar, wer an den MD5 rankommt, ist schon so tief in deinem Server drin, dass er wahrscheinlich auch an den SALT rankommt bzw. schon hat was er moechte.

Also nicht zuviel Zeit reininvestieren

ja habe ich.

Gruß Michi26206

nikosch · 24.11.2008, 11:23

Der Salt gehört immer mit in den Hash. Dazu ist er ja da.

Michi26206 · 24.11.2008, 19:39

Hi,

ja habe ich gelesen thx.

Michi26206

Hu5eL · 24.11.2008, 23:29

vllt nochmal für die, die es nicht verstehen:
wenn der uesr als password "PriVat" wählt ist das realtiv unsicher, da nur groß und kleinschreibung, aber keine sonderzeichen und zahlen...
kann man realtiv einfach umgegehn in dem man z.b sagt

Code:

$password="%§§S41T".$password;

jetzt ist das password um 7 zeichen länger und besitzt sonderzeichen... also erraten ausgeschlossen.
natürlich muss du bei jedem login den salt den du verwendet hast wissen.

das hilft natürlich nur wenn z.b jemand an den dump deiner db kommt. beim normalen einloggen muss der salt nicht mit angegeben werden...

nikosch · 25.11.2008, 11:58

Vor allem aber läßt sich über eine Regenbogentabelle bei unbekanntem Salt nicht auf das (oder ein mögliches) Passwort schließen. Vgl.

Verschlüsselung:
md5 ('wu43&(/6SALT' . 'meinPasswort') => 19ac857fc4854c3bd9854985

Regenbogentabelle
19ac857fc4854c3bd9854985 => 08154711

Verschlüsselung:
md5 ('wu43&(/6SALT' . '08154711') != md5 ('08154711')

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Sicherer Passwort Hash	tomtaz	PHP-Fortgeschrittene	14	17.03.2008 18:13
XML-RPC2 Hash & Salt Authentifizierung	solariz	PHP-Fortgeschrittene	4	01.02.2008 21:48
Via htpasswd Passwort ändern (ohne "-b" Flag)		PHP-Fortgeschrittene	21	14.07.2005 01:28
htaccess / htuser mit php die Passwörter vercrypten???	Klaus	PHP-Fortgeschrittene	4	27.11.2004 09:55


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

24.11.2008, 11:23
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	Der Salt gehört immer mit in den Hash. Dazu ist er ja da. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

24.11.2008, 19:39
Michi26206 Neuer Benutzer Registriert seit: 23.11.2008 Beiträge: 4	Hi, ja habe ich gelesen thx. Michi26206

24.11.2008, 23:29
Hu5eL Erfahrener Benutzer Registriert seit: 26.02.2008 Beiträge: 342	vllt nochmal für die, die es nicht verstehen: wenn der uesr als password "PriVat" wählt ist das realtiv unsicher, da nur groß und kleinschreibung, aber keine sonderzeichen und zahlen... kann man realtiv einfach umgegehn in dem man z.b sagt Code: $password="%§§S41T".$password; jetzt ist das password um 7 zeichen länger und besitzt sonderzeichen... also erraten ausgeschlossen. natürlich muss du bei jedem login den salt den du verwendet hast wissen. das hilft natürlich nur wenn z.b jemand an den dump deiner db kommt. beim normalen einloggen muss der salt nicht mit angegeben werden... __________________ Under Construktion

25.11.2008, 11:58
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	Vor allem aber läßt sich über eine Regenbogentabelle bei unbekanntem Salt nicht auf das (oder ein mögliches) Passwort schließen. Vgl. Verschlüsselung: md5 ('wu43&(/6SALT' . 'meinPasswort') => 19ac857fc4854c3bd9854985 Regenbogentabelle 19ac857fc4854c3bd9854985 => 08154711 Verschlüsselung: md5 ('wu43&(/6SALT' . '08154711') != md5 ('08154711') __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --