Ankündigung

Einklappen
Keine Ankündigung bisher.

geht md5() rückwärts?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • geht md5() rückwärts?

    Ist vielleicht ne ganz blöde Frage, aber ich habe Daten in meiner Datenbank als md5()-Hashwert abgelegt und muss sie jetzt im Klartext wieder auslesen. Geht das überhaupt, und wenn ja, wie?
    LG Vionna


  • #2
    Hallo,

    Leider geht das nicht, aber du kannst wenn du ein login hast, das passwort mit md5() holen und zwar wenn du die überprüfung des Passwortes eines benutzers machst, machst du einfach
    PHP-Code:
    md5($_POST['passwort']); 
    glaube dass das geht, kann aber nichts versprechen^^

    Kommentar


    • #3
      Danke, ich hab schon befürchtet, dass es nicht einfach ist. Die Passwortprüfung hatte ich mit dem Hashwert, wie in deinem Posting angegeben, ausprobiert. Sie gibt aber einen Hashwert des Hashwertes zurück. Ich lasse in meinem Script zur Passwortüberprüfung auch nur beide Hashwerte vergleichen, das geht auch. Aber leider kann ich keinen Klartext herausholen. Ich werde dann mal was anderes erfinden, um ans Klartext Passwort zu kommen.

      Kommentar


      • #4
        Um an das Klartext Passwort heranzukommen bleiben dir nur 2 Möglichkeiten, BruteForce oder RainbowTables.

        Kommentar


        • #5
          Es gibt auch keinen einzigen vernünftigen Grund, ans unverschlüsselte Passwort zu kommen!
          Und das das nicht geht, ist nicht leider so, wie Black-Devil schreibt, sondern das ist vernünftig so.
          Gruss
          L

          Kommentar


          • #6
            full ack!

            *10 Zeichen auffüllen*

            Kommentar


            • #7
              Hi Leute, wenn der Benutzer sein Passwort vergessen hat, möchte ich es ihm doch ermöglichen, sein Passwort z. B. via Mail zugeschickt zu bekommen. Ich habe in der Benutzerdatenbank nur das verschlüsselte Passwort gespeichert und will eigentlich vermeiden, dort auch noch das Klartext PW zu lagern. Es kann also doch Gründe für unverschlüsselte PW geben, zumal ich als Verantwortliche die PW nicht an dritte weitergeben werde.
              Vionna

              Kommentar


              • #8
                Du hast das Prinzip von md5() nicht ganz verstanden. Es geht ja gerade darum, dass man _nicht_ an das Klartext PW kommen soll.

                Wenn der Benutzer sein PW vergessen hat, sollte im Normalfall nur helfen, ein neues zu setzten (entweder von Ihm oder automatisch genieriert).

                Wenn du möchtest, dass die Passwörter zurück gesendet werden können, musst du Sie als Klartext speichern oder mit einer Verschlüsselungsmethode.

                md5 ist _keine_ Verschlüsselsungsmethode, sondern erzeugt einen Hash wert des PWs

                Kommentar


                • #9
                  Erzeuge ein neues Passwort. Das kann der Benutzer bei Bedarf ändern.

                  Kommentar


                  • #10
                    OK, OK, OK ich habs verstanden. Vielen Dank für eure Mühe, ich weiß jetzt dass ich mir was anderes überlegen muss.

                    Bis zur nächsten "blöden Frage"
                    LG Vionna

                    Kommentar


                    • #11
                      Zitat von vionna_velvet Beitrag anzeigen
                      Bis zur nächsten "blöden Frage"
                      Ich denke nicht, dass das eine blöde Frage ist, auf den ersten Blick ist sie sogar naheliegend.
                      Ich finde nur, dass es nicht gerade Vertrauen erweckend ist, wenn ein Passwort irgendwo im Klartext abgespeichert wird. Ich glaube dir ja, dass du es nicht weitergibst. Aber belegen kannst du es nicht. Auch wenn es sich vielleicht nicht um eine Seite mit hochsensiblen Daten handelt, ist es problematisch, da sehr viele Leute das gleiche Passwort für verschiedenste Zwecke benutzen.
                      Gruss
                      L

                      Kommentar


                      • #12
                        Zitat von lazydog
                        Ich finde nur, dass es nicht gerade Vertrauen erweckend ist, wenn ein Passwort irgendwo im Klartext abgespeichert wird. Ich glaube dir ja, dass du es nicht weitergibst. Aber belegen kannst du es nicht.
                        Von außen sehen, ob das Passwort im Klartext oder nur ein Hash gespeichert wirst, kann Du nur, wenn der Hashwert immer -ab Passworterstellung- schon beim Client erzeugt wird. Würdest Du es gemerken haben, wenn hier im Forum die md5hash JS-Funktion von vBulletin abgeschaltet worden wäre?

                        Kommentar


                        • #13
                          @David
                          Das ist mir schon klar. Seriöse Seiten weisen aber bei der Anmeldung darauf hin, dass das Passwort nicht eingesehen werden kann. Ob es dann wirklich so ist, ist dann nochmals eine andere frage.
                          Gruss
                          L

                          Kommentar


                          • #14
                            Mit md5 kann man einen Hash konstanter Länge von beliebig grossen Dateien erzeugen. Das dient nicht nur für so kurze Sachen wie Passworte. Damit sollte klar sein, dass das gar nicht gehen kann.

                            Ein Hash ist typischerweise nicht automatisch Kollisions-sicher. Auch nicht bei Texten, die kürzer sind als der Hash. Das bedeutet auch, dass es keine eindeutige Umwandlung geben kann.

                            Die Regenerierbarkeit eines Passworts ist übrigens kein Stück besser oder sicherer, als es gleich in Klartext abzulegen. Das sollte man also nie tun.

                            Kommentar

                            Lädt...
                            X