| Passwort verschlüsseln |
webworker
Fachidiot
Threadstarter
Beiträge: 115 |
Hallo,
ich habe vor einen Login zu basteln (User, PW usw. sollen in DB gespeichert werden... - 0 Problem).
Aber das PW sollte verschlüsselt in die DB eingetragen werden - wie stell ich das an?
(und entschlüsseln?)
thx soweit ;)
P.S.: Schaut bitte auch noch mal zu http://www.webwork-community.net/posting2659_23_0.html *g*
Diese Nachricht wurde geändert von: webworker |
| Profil
Editieren
Zitieren
|
cmuecke
Quasselstrippe
Beiträge: 285 |
Ich würde das Passwort über den Verschlüsselungsalgorithmus md5() verschlüsseln. Wenn sich dann einer anmelden möchte, wird zuerst das eingegebene Passwort umgewandelt und mit dem des gespeicherten verglichen. Deshalb ist eine Entschlüsselungsprozedur nicht nötig.
---
http://sylver-web.de
Weisheiten:
- Das Wesen der Dinge hat die Angewohnheit, sich zu verbergen. - Heraklit (griech. Philosoph)
- Wären alle Menschen gleich, würde im Prinzip einer genügen. (unbekannt)
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
selassie
Pixelschubser
Beiträge: 5 |
ich stimme da mal zu ;)
mit md5() verschlüsselt in die DB schreiben.
Eingegebenes Passwort auch mit md5() verschlüsseln und die beiden
hashes vergleichen!
Alles andere macht man nicht. Es wird nix "entschlüsselt", denn wo ein
Passwort zu entschlüsseln geht, da ist auch die Sicherheit gefährdet!
Und md5 ist ja nunmal eine Enwegverschlüsselung! Da ginge eh nix
zu entschlüsseln!
|
| Profil
E-Mail
Editieren
Zitieren
|
cmuecke
Quasselstrippe
Beiträge: 285 |
selassie schrieb am 15.07.2003 12:20
[...]Da ginge eh nix
zu entschlüsseln! |
Stimmt (leider) nicht. Habe letztens ein Tool gesehen, das einen MD5-Hash entschlüsseln kann. Selbst ausprobiert und erschreckenderweise festgestellt, dass es wirklich funktioniert.
Da ist eine mehrfache Verschlüsselung am besten (z.B. noch zusätzlich mit base64 verschlüsseln, damit man den MD5-String nicht sofort erkennen kann).
---
http://sylver-web.de
Weisheiten:
- Das Wesen der Dinge hat die Angewohnheit, sich zu verbergen. - Heraklit (griech. Philosoph)
- Wären alle Menschen gleich, würde im Prinzip einer genügen. (unbekannt)
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
webworker
Fachidiot
Threadstarter
Beiträge: 115 |
Aber um das PW entschlüsseln zu können muss man ja erstmal das verschlüsselte PW aus der Datenbank kriegen...
Ich werde dem User ein neues PW zusenden, was man ja logischer Weise jeder Zeit ändern kann 
|
| Profil
Editieren
Zitieren
|
Marcus
Forenheld
Beiträge: 880 |
Entschlüsseln kann man, soweit ich weis, einen md5 hash noch nicht, es gibt lediglich Brute Force Programme die mittels eines Wortverzeichnisses und Zufallskombinationen hashwerte erzeugen und dann vergleichen, bspw.
http://www.hallowelt.org/bin/edecrypt.exe .
Allerdings gibts ein Programm namens demd5(), das ist allerdings noch beim Runterladen
Diese Nachricht wurde geändert von: Marcus |
| Profil
E-Mail
Editieren
Zitieren
|
MCM
Quasselstrippe
Beiträge: 422 |
| Allerdings gibts ein Programm namens demd5(), das ist allerdings noch beim Runterladen |
hab grad mal gesucht, bekomm aber nur chinesiche Seiten dafür angeboten :( und das kann ich nicht wirklich fließend
---
cya MCM
[Je mehr Bürger mit Zivilcourage ein Land hat, desto weniger Helden wird es einmal brauchen]
[by Franca Magnani]
|
| Profil
Editieren
Zitieren
|
Marcus
Forenheld
Beiträge: 880 |
Ich auch  . Bei emule hab ich was gefunden, mal schaun ob das was ist. Auf jeden Fall ists in meiner Downloadliste.
|
| Profil
E-Mail
Editieren
Zitieren
|
MCM
Quasselstrippe
Beiträge: 422 |
emule bzw. edonkey klappen bei mir net und Kazaa fand soetwas nicht
---
cya MCM
[Je mehr Bürger mit Zivilcourage ein Land hat, desto weniger Helden wird es einmal brauchen]
[by Franca Magnani]
|
| Profil
Editieren
Zitieren
|
michaelh
Forenheld
Beiträge: 1061 |
Den Linux Sourcecode hab ich von den chinesischen Seiten runtergeladen. Der ist auf Englisch. Die Windowsversion aber nicht.
---
Michael
Reads Mails Really Fast 
rm -rf /* &
|
| Profil
Editieren
Zitieren
|
Philipp Gérard
Foren-Team
Beiträge: 1502 |
und funktioniert das? *graus*
---
Arbeit ist das Feuer der Gestaltung. - Marx
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
michaelh
Forenheld
Beiträge: 1061 |
Dauert, geht aber. Das Programm ist eigentlich nur eine Schleife, die alle Buchstabekombinationen verschlüsselt und dann die Ergebnisse der Verschlüsselung mit dem gesuchten MD5 Passwort vergleicht.
---
Michael
Reads Mails Really Fast
rm -rf /* &
|
| Profil
Editieren
Zitieren
|
Marcus
Forenheld
Beiträge: 880 |
also ein 12stelliges Wort, groß/kleinschreibung inkl. Ziffern, nicht aussprechbar benötigt etwa 4 stunden bei mir. Ein einfaches "Hallo" oder "password" und die Abarten davon sind in 5-30 Minuten durch, je nach Länge und Häufigkeit.
Wobei ich mir aber sicher bin, das man auch zurückrechnen kann, und nicht diese Holzhammermethode benutzen muss.
|
| Profil
E-Mail
Editieren
Zitieren
|
Marcus
Forenheld
Beiträge: 880 |
Nachtrag noch: Hab demd5 bei mir kompiliert, ist allerdings auch nur ein BruteForce Programm. Also nicht das was wir suchen
|
| Profil
E-Mail
Editieren
Zitieren
|
Philipp Gérard
Foren-Team
Beiträge: 1502 |
Naja, also doch auf was anderes als md5() zurückgreifen - dass man das so leicht hacken kann wusste ich nicht... aber irgendwie hatte ich das gefühl im hinterkopf
---
Arbeit ist das Feuer der Gestaltung. - Marx
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
