Archiv verlassen und diese Seite im Standarddesign anzeigen : MD5-verschlüsselten String entschlüsseln
govou
2003-05-12, 16:28:25
Mal sone Frage:
Wie kann man einen mit der MD5-Methose verschlüsselten String wieder entschlüsseln?
Hmmm, MD5 ist eigentlich kein Verschlüsselungsverfahren, sondern ein Algorithmus zur Berechnung einer Prüfsumme.
Mit anderen Worten: Es steckt keinerlei Nutzinformation in einem MD5 Hash, man kann lediglich durch Vergleich (sehr sicher) feststellen, ob eine Datei verändert wurde.
Google sacht: http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html
JTHawK
2003-05-13, 09:29:53
Originally posted by Mr.B
Mal sone Frage:
Wie kann man einen mit der MD5-Methose verschlüsselten String wieder entschlüsseln?
NEIN KANN MAN NICHT - DEFINITIV
-=O.C.B=-
2003-05-15, 00:19:16
Originally posted by JTHawK
NEIN KANN MAN NICHT - DEFINITIV
Das, und noch dazu in Grossschrift, würde ich nicht behaupten
wollen...http://www.securityfocus.com/search
Aqualon
2003-05-15, 07:43:10
"Entschlüsseln" im Sinne davon, dass man danach den der Prüfsumme zugrundeliegenden Wert bekommt kann man einen MD5-Wert nicht. Aber man kann per BruteForce solange Zeichenkombinationen ausprobieren, bis eine denselben MD5-Wert hat wie der ursprüngliche Wert.
Sollte also ein Passwort z.B. 'Testuser012315passzxri863' lauten und man bekommt den MD5-Wert davon, muss man solange per Bruteforce rumprobieren bis man auf eine Zeichenkombination kommt, die denselben MD5-Wert hat wie 'Testuser012315passzxri863' und da MD5 aus max. 32^16 Zeichen besteht kann das auch eine andere Zeichenfolge sein ausser der ursprünglich verwendeten.
Es ist also möglich einen MD5-Passwortschutz zu überlisten, aber auf die genaue Grundlage des vorliegenden MD5-Wertes kann man nicht kommen.
JTHawK
2003-05-15, 09:36:54
Originally posted by -=O.C.B=-
Das, und noch dazu in Grossschrift, würde ich nicht behaupten
wollen...http://www.securityfocus.com/search
siehe aqualon ..
mit bruteforce kann man alles knacken .. aber eben nicht entschlüsseln ..
denn du müsstest es immer und immer wieder machen .. und wie lange DAS für nur EINMAL dauert will ich garnicht wissen ..
naja, sollte aber nach x trys geblockt werden....
-=O.C.B=-
2003-05-15, 20:23:47
Originally posted by Aqualon
Es ist also möglich einen MD5-Passwortschutz zu überlisten, aber auf die genaue Grundlage des vorliegenden MD5-Wertes kann man nicht kommen.
Yapp, da hab ich mich verrannt...;)
Bruteforce muss nicht mal sein:
http://slashdot.org/articles/02/12/09/0411224.shtml?tid=172
oder auch
Zitat:
Brute force is the least efficient attack against MD5, the next best thing
is a 'birthday attack' which is based on the idea that in a group of 23
random people there's a probability of 50% that 2 share the same birthday.
Therefore, if x represents given inputs to MD5 and y represents its
possible outputs there are x(x-1)/2 pairs of inputs. For each pair there's
a probability of 1/y. There's a 50% probability that a matching pair will
be found in y/2 pairs. There's a good chance of this occuring if n is
greater than the root of y.
-=O.C.B=-
2003-05-15, 20:24:20
Originally posted by JTHawK
siehe aqualon ..
mit bruteforce kann man alles knacken .. aber eben nicht entschlüsseln ..
denn du müsstest es immer und immer wieder machen .. und wie lange DAS für nur EINMAL dauert will ich garnicht wissen ..
s. mein anderes Reply...Und nicht für ungut...;)
Aqualon
2003-05-15, 21:57:59
Originally posted by Wudu
naja, sollte aber nach x trys geblockt werden....
Das ist klar und ich glaub auch kaum, dass ne Bruteforce-Attacke auf nen Webserver Sinn macht, wenn man pro Wert einige Sekunden warten muss ;D
Das macht nur Sinn, wenn man das offline auf nem schnellen Rechner durchführt.
Wobei bei ordentlicher Programmierung der "Hacker" den MD5-Wert gar nicht so einfach zu Gesicht bekommen sollte.
Woher wisst ihr alle so genau, was Mr. B genau machen will? ???
Aqualon
2003-05-17, 13:07:10
Originally posted by ..,-
Woher wisst ihr alle so genau, was Mr. B genau machen will? ???
Ein Passwort mit MD5 zu verschlüsseln ist ne einfache Methode um Passwörter einigermaßen gesichert in einer Datenbank abzulegen. Dann reicht es nicht mehr sich Zugriff zur Datenbank zu verschaffen, sondern man muss auch noch den MD5 Wert knacken (wobei das eh keiner machen wird, wenn er eh schon Zugriff auf die Datenbank hat)
Der einzige Sinn ist da normalerweise, dass der Datenbankadmin die Passwörter nicht gleich auf den ersten Blick auslesen kann. Aber ne wirkliche Sicherheit bietet das natürlich auch nicht.
Die 2. Möglichkeit MD5-Werte zu verwenden ist es Dateien damit zu signieren, um überprüfen zu können, ob sie nachträglich geändert worden sind (z.B. durch ein Virus).
Und da "Entschlüsseln" bei nem MD5-Wert eh nicht geht (siehe mein Post oben), geht es meist zu 99%iger Sicherheit nur darum ein Passwort knacken zu wollen (ohne Mr.B jetzt dadurch nahetreten zu wollen ;))
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.