1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mozilla: Datenbank mit Passwörtern…

MD5-Hashes?

  1. Thema

Neues Thema Ansicht wechseln


  1. MD5-Hashes?

    Autor: nil 28.12.10 - 19:27

    Wer verwendet noch immer MD5 ohne Salt? SHA1 + salt, und schon sind die Kennwörter geraume Zeit sicher genug.

  2. Re: MD5-Hashes?

    Autor: Ext3h 28.12.10 - 21:29

    Zu Ende lesen bitte... Das war ein uralter Datenbankdump, bereits sei 2009 wird mit SHA512 und zufälligem Salt gearbeitet.

  3. Re: MD5-Hashes?

    Autor: hmjam 29.12.10 - 07:53

    Hm, das will mir noch nicht so recht in den Kopf - zufälliges Salz.... Wie kann man dann die PWs evaluieren?
    Also, das ist schon ne ernstgemeinte Frage, ist nicht mein Gebiet.

  4. Re: MD5-Hashes?

    Autor: Erklär-Bääääär 29.12.10 - 08:00

    hmjam schrieb:
    --------------------------------------------------------------------------------
    > Hm, das will mir noch nicht so recht in den Kopf - zufälliges Salz.... Wie
    > kann man dann die PWs evaluieren?
    > Also, das ist schon ne ernstgemeinte Frage, ist nicht mein Gebiet.


    Zitat: "...in Form von SHA-512-Hashes mit einem nutzerspezifischen Zufallswert..."

    dh es wird zb der hash des registrierungsdatum vom nutzer genommen

    also aus 12.05.2007 wird zb mit sha1: 8616cc5c6b513b46626ed4129c23813f42595d5f

    dies kannst du mit dem sha512-passwort verknüpfen und erneut mit sha512 kodieren

    somit haben zwei user mit dem gleichen passwort unterschiedliche hash-werte

  5. Re: MD5-Hashes?

    Autor: hmjam 29.12.10 - 08:54

    Ja, so ist mir das einleuchtend, aber ohne den Zusatz 'nutzerspezifischen' war mir das nicht erklärlich, wie man dann das,mit einem Zufallswert gesalzene PW vergleichen können sollen könnten tun dingenskirchen.

    Mit anderen Worten, der "Zufallswert" ist eher eine Pseudozufallswert und doch irgendwo her zu leiten!? Aber dann würde das ganze Dingens ja doch überhaupt nix bringen, oder!?

  6. Re: MD5-Hashes?

    Autor: Erklär-Bääääär 29.12.10 - 09:11

    einen wirklichen zufallswert gibt es nicht denn sonst könnte man nicht das passwort nach einer eingabe überprüpfen.

  7. Re: MD5-Hashes?

    Autor: MarekP. 29.12.10 - 09:17

    Ich frage mich wie man clientseitig den MD5 übertragen will (nach der Passwort eingabe..denn der kennt das Registrierdatum ja gar nicht) so müsste also der MD5 des PW übertragen werden ..ausser man hängt einen festen String dahinter anstelle des Datums.
    oder?

  8. Re: MD5-Hashes?

    Autor: Erklär-Bääääär 29.12.10 - 09:31

    MarekP. schrieb:
    --------------------------------------------------------------------------------
    > Ich frage mich wie man clientseitig den MD5 übertragen will (nach der
    > Passwort eingabe..denn der kennt das Registrierdatum ja gar nicht) so
    > müsste also der MD5 des PW übertragen werden ..ausser man hängt einen
    > festen String dahinter anstelle des Datums.
    > oder?

    beim login wird benutzername und passwort übergeben

    mit dem benutzername kannst du dan passwort-hash und das registrierdatum aus der datenbank abfragen


    nun genierierst du aus dem eingegebenen passwort + dem registrierdatum einen hash und vergleichst den mit dem passwort-hash aus der datenbank

    wenn beides übereinstimmt ist der user eingeloggt , wenn es nicht gleich ist kommt eine fehlermeldung

  9. Re: MD5-Hashes?

    Autor: MarekP. 29.12.10 - 09:35

    Das Passwort übertragen halte ich ja für keine gute Idee.. aber klar dann würde es gehen.. aber der Preis wäre mir zu hoch.
    Einzig wenn man aus dem MD5 des PW und dem MD5 des Registrierdatums einen weitern MD5 bildet würde es funktionieren, wobei man dann auch den MD5 des PW direkt übertragen muss (was immerhin besser als das PW im Klartext ist)

  10. Re: MD5-Hashes?

    Autor: Loolig 29.12.10 - 09:39

    Ich hab mal einfach den MD5 des Usernamens ans PW gehängt.. das geht zumindest dann auch schon auf Clientseite..

  11. Re: MD5-Hashes?

    Autor: Erklär-Bääääär 29.12.10 - 09:40

    MarekP. schrieb:
    --------------------------------------------------------------------------------
    > Das Passwort übertragen halte ich ja für keine gute Idee.. aber klar dann
    > würde es gehen.. aber der Preis wäre mir zu hoch.
    > Einzig wenn man aus dem MD5 des PW und dem MD5 des Registrierdatums einen
    > weitern MD5 bildet würde es funktionieren, wobei man dann auch den MD5 des
    > PW direkt übertragen muss (was immerhin besser als das PW im Klartext ist)


    du musst immer das passwort übertragen?!
    wie willst du sonst das passwort vom loginformular zum server bekommen?! das funktioniert auf JEDER seite so

    du kannst ja einfach den server per HTTPS absichern - dann erfolgt die übertragung verschlüsselt. das hat aber nichts mit dem login zu tun

  12. Re: MD5-Hashes?

    Autor: Erklär-Bääääär 29.12.10 - 09:41

    Loolig schrieb:
    --------------------------------------------------------------------------------
    > Ich hab mal einfach den MD5 des Usernamens ans PW gehängt.. das geht
    > zumindest dann auch schon auf Clientseite..


    den md5 generierst du auf dem server nicht auf dem client.

  13. Re: MD5-Hashes?

    Autor: Loolig 29.12.10 - 11:03

    Nein muss ich nicht, ich erzeuge auf Client Seite einen MD5 vom Passwort und vergleiche es mit dem MD5 auf Server seite. Das PW wird nirgends gespeichert!

  14. Re: MD5-Hashes?

    Autor: Loolig 29.12.10 - 11:04

    Kann man machen, muss man aber nicht.. :)

  15. Re: MD5-Hashes?

    Autor: Erklär-Bääääär 29.12.10 - 11:35

    Loolig schrieb:
    --------------------------------------------------------------------------------
    > Nein muss ich nicht, ich erzeuge auf Client Seite einen MD5 vom Passwort
    > und vergleiche es mit dem MD5 auf Server seite. Das PW wird nirgends
    > gespeichert!


    siehe mein ersten post. du speicherst das passwort auch nicht sondern es wird gehashet und dann mit dem hash-wert in der DB verglichen. es wird also NIE das passwort im klartext gespeichert

  16. Re: MD5-Hashes?

    Autor: meganothing 29.12.10 - 17:40

    Mal zum Hintergrund von Salts: Diese sind dazu da, relativ billig Angriffe auf das Passwort über vorberechnete Tabellen (sogenannte Rainbow-Tables/Regenbogentabellen, siehe Wikipedia) zu verhindern.

    Wichtig dabei, ein Salt muss nicht geheim sein (das ist bereits das Passwort selbst), er muss nur relativ zufällig sein und irgendwo beim gehashten Passwort mitgespeichert werden. Entweder also aus dem Usernamen oder anderen festen Accountdaten errechenbar oder sogar beim Passwort mitgespeichert werden.

    Z.b. steht bei Unix-Passwörtern der Salt unverschlüsselt direkt beim Passworthash. Er dient wirklich nur dazu, daß bei Rainbow-Attacken eben nicht nur eine vorausberechnete Tabelle ausreicht, sondern man pro Salt-Wert eine weitere anlegen müsste.

  17. Re: MD5-Hashes?

    Autor: w13531 29.12.10 - 18:00

    Ok, wie wärs damit:
    1. Der Server Überträgt eine Session-Pseudozufallszahl an den Client(Server merkt sich die Zahl)
    2. Der Client Hasht das PW und die Zahl
    sha256(sha256($PW) . sha256($rnd_seed))
    3. Dieser Wert wird Übertragen und mit dem PW Hash + Seed auf Serverseite verglichen

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Kräuter Mix GmbH', Abtswind, Wiesentheid
  2. BRZ Deutschland GmbH, Nürnberg
  3. über duerenhoff GmbH, Hamburg
  4. Dataport, Halle (Saale), Magdeburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 33€ (Bestpreis!)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Künast-Urteil: Warum Pädophilen-Trulla ein zulässiger Kommentar sein kann
Künast-Urteil
Warum "Pädophilen-Trulla" ein zulässiger Kommentar sein kann

Die Grünen-Politikerin Renate Künast muss weiterhin wüste Beschimpfungen auf Facebook hinnehmen. Wie begründet das Berliner Kammergericht seine Entscheidung?
Eine Analyse von Friedhelm Greis

  1. Micro-LED Facebook kooperiert mit Plessey für AR-Headset
  2. Kammergericht Berlin Weitere Beleidigungen gegen Künast sind strafbar
  3. Coronavirus Vorerst geringere Videoqualität bei Facebook und Instagram

Coronakrise: Welche Hilfen IT-Freelancer bekommen
Coronakrise
Welche Hilfen IT-Freelancer bekommen

Das Hilfspaket des Bundes in Milliardenhöhe sieht kaum Leistungen vor, mit denen IT-Freelancer etwas anfangen können. Den Bitkom empört das nicht.
Ein Bericht von Gerd Mischler

  1. IT-Chefs aus Indien Mehr als nur ein Klischee
  2. Jobporträt Softwaretester "Ein gesunder Pessimismus hilft"
  3. Frauen in der IT Software-Entwicklung ist nicht nur Männersache

Lkw-Steuerung: Der ferngesteuerte Lastwagen
Lkw-Steuerung
Der ferngesteuerte Lastwagen

Noch steuern den automatisierten Lastwagen T-Pod Entwickler, die Lkw-Fahren gelernt haben. Jetzt wird erstmals der umgekehrte Fall getestet - um das System kommerziell zu machen.
Ein Bericht von Werner Pluta

  1. Starsky Robotics Woran ein Startup für autonome Lkw gescheitert ist
  2. Neue Prioritäten Daimler setzt beim autonomen Fahren zuerst auf Lkw
  3. Autonomes Fahren AutoX und Fiat planen autonome Taxis in China