nicht angemeldet
Wie sicher ist MD5?
Hallo,
ich benutze die MD5-Verschlüsselung, um über die URL Daten zur Authentifizierung zu übermitteln.
Aber wie sicher ist das ganze? Ich habe zwar gelesen, dass MD5 eine Einweg-Verschlüsselung ist (also nicht entschlüsselt werden kann), aber stimmt das auch wirklich? Gibt es sicher keine Tools, die ein Entschlüsseln ermöglichen?
Danke im Voraus.
cu
-
hallo Alexander,
Aber wie sicher ist das ganze?
MD5: Sehr sicher. Deine spezielle Methode: keine Ahnung, die kenne ich nicht.
Ich habe zwar gelesen, dass MD5 eine Einweg-Verschlüsselung ist (also nicht entschlüsselt werden kann), aber stimmt das auch wirklich?
Ja.
Gibt es sicher keine Tools, die ein Entschlüsseln ermöglichen?
Es gibt Tools, aber die probieren halt einen Wert nach dem anderen aus, bis sie den richtigen finden. Das nennt sich "Brute Force". Dagegen ist kein Verschlüsselungsalgorithmus gefeit. Es gibt bei MD5 jedoch keine einfachere Möglichkeit, an die Daten zu kommen.
Hier kannst Du nachlesen, wie lange ein Brute-Force-Angriff dauern kann: http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/index.htm#a5
Viele Grüße,
Christian-
Dass BruteForce immer funktioniert, ist klar. In meinem Fall ist das aber egal.
Mir geht es nur darum, dass niemand die übertragenen Daten im Klartext sehen kann, was nach euren Postings definitiv nicht möglich ist.
Danke für eure Hilfe!
cu-
Hallo
Mir geht es nur darum, dass niemand die übertragenen Daten im Klartext sehen kann, was nach euren Postings definitiv nicht möglich ist.
_Während_ der Übertragung liegen die Daten aber noch im Klartext vor,
falls du einen serverseitigen Algorythmus zum Verschlüsseln benutzt.Tschö, Auge
-
_Während_ der Übertragung liegen die Daten aber noch im Klartext vor,
falls du einen serverseitigen Algorythmus zum Verschlüsseln benutzt.Tschö, Auge
Wie meinst du das? Der Key wird schon auf dem Server generiert und dann auf der Seite in verschlüsselter Form an einen Link angehängt (ziel.php?key=verschluesseltercode). Von den Informationen im Klartext dürfte der Benutzer doch gar nichts mitbekommen, da alles serverseitig verarbeitet wird und der Code nur verschlüsselt an den Browser gesendet wird.
-
Hi,
Wie meinst du das?
Auge ging vermutlich von Formulardaten aus, die natürlich vom Client zum Server unverschlüsselt versendet werden. Nicht nur in diesem Fall, sondern allgemein bei der Übertragung sensibler Daten, ist allgemein eine SSL-Schicht empfehlenswert.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hallo
Auge ging vermutlich von Formulardaten aus, die natürlich vom Client zum Server unverschlüsselt versendet werden.
genau! Deshalb ja auch der zweite Halbsatz ab "falls ...".
Tschö, Auge
-
Hallo
genau! Deshalb ja auch der zweite Halbsatz ab "falls ...".
... bei Eingabe durch den Benutzer. (Das hätte es wohl schlüssig erklärt) :-)
Tschö, Auge
-
Es erfolgt keine Eingabe durch den Benutzer.
MD5 ist also mehr als ausreichend für das, was ich vorhabe.Nochmal danke!
-
Moin!
Es erfolgt keine Eingabe durch den Benutzer.
MD5 ist also mehr als ausreichend für das, was ich vorhabe.Das würde ich nicht sagen. Ich würde sogar erstmal vom Gegenteil ausgehen!
Kannst du mal deutlich darlegen, was die MD5-Codierung des URL-Parameters bringen soll? Welche Information wird codiert? Wo kommt sie her? Wo geht sie hin?
Es macht in der Regel wenig Sinn, irgendwelche Nutzdaten MD5-codiert zu übergeben, weil man ja an die eigentlichen Daten nicht mehr herankommt. Wenn man aber nicht mehr herankommt, dann kann man MD5-Codes eigentlich nur dafür verwenden, irgendwo Zugang zu erhalten, wo die Allgemeinheit keinen Zugang erhält. Bedenke in diesem Zusammenhang eines: Die Übermittlung vom Browser zum Server ist grundsätzlich unverschlüsselt. Wenn du also meinst, ein Passwort MD5-codiert in die URL packen zu müssen, bringt dir das eigentlich fast nichts. Denn es ist weiterhin nur Klartext - im Prinzip einfach ein etwas längeres Passwort, dafür aber mit weniger verwendeten Zeichen (nämlich nur Hexzahlen).
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
-
-
-
-
-
-
-
-
-
Hi,
Ich habe zwar gelesen, dass MD5 eine Einweg-Verschlüsselung ist (also nicht entschlüsselt werden kann), aber stimmt das auch wirklich?
ja.
Gibt es sicher keine Tools, die ein Entschlüsseln ermöglichen?
Natürlich - die gibt es immer. Das Verfahren heißt Brute Force, hat beliebig hohen Aufwand und lässt sich _nie_ ausschließen.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
ich benutze die MD5-Verschlüsselung, um über die URL Daten zur Authentifizierung zu übermitteln.
Nur ergänzenderweise: MD5 ist keine Verschlüsselung im Wortsinn, sondern eine Prüfsumme. Eine Verschlüsselung lässt sich wieder entschlüsseln, eine Prüfsumme hingegen enthält keinerlei Originaldaten mehr - das ist der eigentliche Witz an dieser Form von "Verschlüsselung". Noch schlimmer: Verschiedenste Daten können dieselbe Prüfsumme besitzen.
Die einzige Angriffsmöglichkeit wäre also, ein Passwort zu finden, das dieselbe Prüfsumme erzeugt (die bereits angesprochene Brute-Force-Attacke), das ist aber bei der Zahlenmenge an einzelnen Prüfsummenwerten etwas zeitaufwendig.
Eine passendes Passwort rückwärts aus einer Prüfsumme zu konstruieren ist wohl nicht möglich.Den MD5-Standard findest Du unter http://www.faqs.org/rfcs/rfc1321.html.
Gruß,
soenk.e