[Erledigt] Wie sicher ist MD5?

18.06.2009, 23:15

Hallo Leute,

wie sicher ist eigentlich MD5 verschlüsselung?

Gibt es sicherere Methoden ausser ssl?

Gruß

nikosch · 18.06.2009, 23:21

Wie doll nach Apfel schmeckt eine Birne?

Wolla · 18.06.2009, 23:52

Manko10 · 19.06.2009, 00:06

MD5 ist unsicher, SHA1 ist mittlerweile unsicher. Demnächst soll SHA3 kommen, das wird auch mit steigender Rechenleistung unsicher werden und SSL ist so sicher wie der generierte Schlüssel.

robo47 · 19.06.2009, 06:28

Und um es nicht zu vergessen: md5 ist KEINE VERSCHLÜSSELUNG.
Mit md5 bildet man einen Hashwert den man nicht eindeutig wieder umwandeln kann.

Flor1an · 19.06.2009, 09:38

Wie nikosch schon sagt, du kannst md5 nicht mit Sicherheit vergleichen. Eher mit Integrität. Und dafür sollte es ausreichend sein, so schnell treten Kollisionen nicht auf. Die Frage ist auch immer wofür du es verwenden willst. Für die meisten Anwendungsfälle sollte es ausreichen.

Wolla · 19.06.2009, 12:10

Wie schon an anderer Stelle oft ausgeführt, ist md5-Hashing sicherer als die dollste Verschlüsselung.

Im worst case bekommt ein Angreifer die komplette Userdatei mit Passworten und dazu die Scripte in die Hände, die mit dieser Datei arbeiten. In den Scripten muss die Methode zum Entschlüsseln der Daten abgebildet sein. Der komplette Schutz ist also durch den Diebstahl ausgehebelt, die Daten können einfach entschlüsselt werden.

Wenn die Passwörter hingeben mit statischem und dynamischen Salt gehasht werden, dann können Sie auch nach Bekanntwerden der Salt-Methode nicht mit trivialen Mitteln in Klartext zurückverwandelt werden.

Squall · 19.06.2009, 13:52

Zitat:

Zitat von Wolla

Wenn die Passwörter hingeben mit statischem und dynamischen Salt gehasht werden, dann können Sie auch nach Bekanntwerden der Salt-Methode nicht mit trivialen Mitteln in Klartext zurückverwandelt werden.

Mich würde mal interessieren was du mit dynamischen Salt meinst? stelle mir das gerade vor das der salt z.b. aus dem timestamp plus irgendwas besteht, wobei für mich die frage dann aufkommt woher du wissen willst welches pw mit welchen salt gehasht wurde?

robo47 · 19.06.2009, 14:00

in den salt kann z.b. das anmelde-datum des users mit einfließen, seine emailadresse oder sonst eines der Felder was eine pflichtangabe ist

Jens Clasen · 19.06.2009, 14:01

Du musst als dynamischen Salt schon was nehmen, was Du kennst. Der zugehörige Username oder auch die ID wäre sowas.

Gruß Jens

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

18.06.2009, 23:15
WEBDUS Gast Beiträge: n/a	[Erledigt] Wie sicher ist MD5? Hallo Leute, wie sicher ist eigentlich MD5 verschlüsselung? Gibt es sicherere Methoden ausser ssl? Gruß


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

18.06.2009, 23:21
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Wie doll nach Apfel schmeckt eine Birne? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

18.06.2009, 23:52
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Rainbow Table – Wikipedia

19.06.2009, 00:06
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	MD5 ist unsicher, SHA1 ist mittlerweile unsicher. Demnächst soll SHA3 kommen, das wird auch mit steigender Rechenleistung unsicher werden und SSL ist so sicher wie der generierte Schlüssel. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

19.06.2009, 06:28
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	Und um es nicht zu vergessen: md5 ist KEINE VERSCHLÜSSELUNG. Mit md5 bildet man einen Hashwert den man nicht eindeutig wieder umwandeln kann. __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

19.06.2009, 09:38
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Wie nikosch schon sagt, du kannst md5 nicht mit Sicherheit vergleichen. Eher mit Integrität. Und dafür sollte es ausreichend sein, so schnell treten Kollisionen nicht auf. Die Frage ist auch immer wofür du es verwenden willst. Für die meisten Anwendungsfälle sollte es ausreichen.

19.06.2009, 12:10
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Wie schon an anderer Stelle oft ausgeführt, ist md5-Hashing sicherer als die dollste Verschlüsselung. Im worst case bekommt ein Angreifer die komplette Userdatei mit Passworten und dazu die Scripte in die Hände, die mit dieser Datei arbeiten. In den Scripten muss die Methode zum Entschlüsseln der Daten abgebildet sein. Der komplette Schutz ist also durch den Diebstahl ausgehebelt, die Daten können einfach entschlüsselt werden. Wenn die Passwörter hingeben mit statischem und dynamischen Salt gehasht werden, dann können Sie auch nach Bekanntwerden der Salt-Methode nicht mit trivialen Mitteln in Klartext zurückverwandelt werden.

19.06.2009, 14:00
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	in den salt kann z.b. das anmelde-datum des users mit einfließen, seine emailadresse oder sonst eines der Felder was eine pflichtangabe ist __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

19.06.2009, 14:01
Jens Clasen Erfahrener Benutzer Registriert seit: 19.06.2009 Beiträge: 837 PHP-Kenntnisse: Fortgeschritten	Du musst als dynamischen Salt schon was nehmen, was Du kennst. Der zugehörige Username oder auch die ID wäre sowas. Gruß Jens