Ankündigung

Einklappen
Keine Ankündigung bisher.

md5 verschlüsselung knacken?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • md5 verschlüsselung knacken?

    ich habe mir gerade sagen lassen dass man paaswörter, die mit md5 verschlüsselt wurden mit hilfe von bestimmten programmen und biesschen zeit entschlüsseln kann. wie viel ist an der sache dran? ich kann mir das zwar nicht vorstellen, kann mich aber auch irren.
    Gruß
    David

  • #2
    Wenn man etwas über die Unsicherheit von Hashmethoden wie md5 oder sha1/256/... liest, geht es bisher immer darum, dass Angriffe mit weniger (zeitlichem) Aufwand als Bruteforce ermöglicht werden. Aber auch dafür benötigt man den md5 Hash als Vergleichswert. Sofern dieser also nicht öffentlich gemacht werden muss, sollte auch dieser nach Möglichkeit geschützt werden.
    Es gibt Datenbanken für md5 Hashes. Die meisten davon entweder für Wörter bis 5/6/x Zeichen (Passwörter kürzer 6 Zeichen sind also bestenfalls lachhaft) bzw die natürlichen Worte einer Sprache (also nicht ein "normales" Wort aus dem Duden wählen). nippon_72_sumo halte ich zB für ziemlich sicher.

    Kommentar


    • #3
      Re: md5 verschlüsselung knacken?

      Zitat von Bonaparte
      die mit md5 verschlüsselt wurden
      Erstmal, zum eine millionenstenmale: md5 bildet einen HASH keine Verschlüsselung.

      Also kann ein MD5-String nicht entschlüsselt werden, es gibt aber durchaus Programme, die nach der Bruteforce-Methode ein Passwort nach dem anderen Hashen und gegenchecken, aber das ist extrem zeitaufwendig, ab 5 Zeichen (a-z A-Z 0-9) dauert es es schon ewig, und wenn in dem Passwort noch ein ASCII Zeichen drinne ist, kannst du es fast vergessen
      Diese Erweiterung ist EXPERIMENTELL.
      [...]
      Seien Sie gewarnt und verwenden Sie diese Erweiterung auf eigenes Risiko..

      Kommentar


      • #4
        Bei md5 gibt es 2^128 mögliche Hashwerte oder 10^38 Hashwerte.

        Jeder davon nimmt 16 Byte (oder 128 Bit), das sind also 5,4× 10^39 Byte oder 4.95176016 × 10^27 Terabyte. Das ist eine Zahl mit 28 Stellen!!

        Dazu kommt noch der String der auch im durchschnitt wieder 16 Byte wegnimmt, das wären dann 9.90352031 × 10^27 Terabyte

        Außerdem neue Computer schaffen ca. 15 bis 20 Mio. Keys/Sek bei Brute Force, die Erstellung würde extrem viel länger dauern, denn bei Brute Force muss er die Hashs nur überprüfen, jetzt muss er noch den Hash+String in die Datei schreiben und natürlich vorher überprüfen ob es den Hash schon gibt.

        Egal sagen wir, wir schreiben dennoch 15 Mio Keys/Sek dann würde es 7.19352205 × 10^23 Jahre dauern dieses File zu schreiben.

        Das wäre 5.13823003 × 10^13 mal länger als es das Universum (ca. 14 Mrd. Jahre) gibt.

        Noch mal zur Speichermenge:

        In einem Gramm DNA könnte man den Inhalt von 1 Bio. CD's speichern, also 7 * 10^14 MB.

        Diese DNA Festplatte müsste 1.48351339 × 10^19 Gramm oder 1.48351339 × 10^16 kg wiegen.

        P.S. Falls ich Fehler in den Berechnungen gemacht habe bitte Melden. Kann momentan nur per Google rechnen
        Das Leben ist ein scheiß Spiel, aber die Grafik ist einfach geil

        Kommentar


        • #5
          Diese Berechnungen sind vielleicht prinzipiell richtig, aber in zweierlei Hinsicht am Thema vorbei:

          Erstens ist die Berechnung der Grösse des Suchraumes nicht genug, man muss auch dessen Komplexität mit einbeziehen, und die ist nunmal nicht maximal (dann entspräche sie der Grösse). Wer richtig Ahnung von Kryptographie hat braucht nicht den gesamten Suchraum abzugrasen.

          Zweitens wird eine Brute-Force Attacke hier nicht gegen die Komplexität des Hash-Raumes durchgeführt, sondern gegen die Komplexität des Passwortes selbst.

          Vierstellige Passwörter sind bei md5() schneller geknackt als getippt, dafür gibts Datenbanken (weswegen echte Passwortverschlüsselungen mit Salt arbeiten), und die allermeisten Passwörter mit weniger als 6 oder 7 Stellen sind per Brute-Force in endlicher Zeit zu knacken, wenn man mal den Hashwert in den Fingern hat. Für normale Anwendungen sollte man mindestens 8-stellige Passwörter nehmen, für sichere nochmal zwei drauf.
          mod = master of disaster

          Kommentar

          Lädt...
          X