Hash Algorithms

D

DerEisige

Erfahrenes Mitglied
Hallo leute ich bin’s mal wider

Ich hab bis jetzt einen MD5 Hash Algorithmus benutzt.
Und vor kurzem hab ich mal was über Hash Algorithmus gelesen und da habe ich erfahren das MD5 total veraltet ist und auch nicht mehr sicher, nun suche ich einen aktuellen und sicheren Hash Algorithms um Passwörter Verschlüsseln und so.

Nun such ich einen aktuellen und sicheren Hash Algorithmus.
 
Zuletzt bearbeitet:
Ich will ja nun nicht lügen, aber wie soll hash sicher sein?
Gehashte dinge kann man nicht mehr zurück verwandeln.
Es gibt allerdings seiten in denen du z.b. passwörter eintragen kannst.
Diese werden dann in hash umgewandelt und abgespeichert, der nächste der dann den hash eingibt (der das oder ein ähnliches wort) beinhaltet, kriegt als rückgabe wert das entschlüsselte passwort zurück.
Bei Passwörtern wie E21Sf4S5fdaer2 oder sowas wäre es aber recht ungewöhnlich wenn dies in solch einer Tabelle steht.

Und warum sollte es bei anderen Hash-Algorithmen anders sein? Du könntesst den gegeben hash natürlich nochmal hashen um die Wahrscheinlichkeit geringer zu halten - das kombiniert mit einer kleinen veränderung (z.b. änderst alle a in b um usw.)

Von einem absolut sicheren habe ich persöhnlich noch nichts gehört, würde mich allerdins auch interessieren, ob es sowas gibt. Ansonsten gebe es natürlich auch noch sha1 aber ob das Besserung bringt.
Zusätzlich kannst du ja auch hinter dem passwort etwas anhängen wie tesfsdfhksbghiusdjbslkgbdsjfksdbf,ksfd und dies dann in hash umwandeln. Der jenige bräuchte dann ein passwort:
meintestpasswordtesfsdfhksbghiusdjbslkgbdsjfksdbf,ksfd dekodiert, und das wäre wahrscheinlich nicht allzueinfach.
Mit der Funktion hash kannst du natürlich noch weitere hash-algorithem verwenden.


Also ich persöhnlich kenne keinen besseren Hash-Algorithmus.


Achja, hab hier im forum noch was gefunden, dort war von mcrypt die Rede, vll das nochmal ansehen.
 
Zuletzt bearbeitet:
Wie der Vorgänger erwähnt hat. Um den sogenanten Rainbowtabellen aus dem Weg zu gehen nimmt man einen Salt, dh hängt etwas an das Passwort dran, etwas dass der User nicht zu gesicht bekommt.
Dieser Salt sollter aber nicht konstant sein, sonder sich bei jedem User per Zufall generieren und dann mitsamt der restlichen Daten gespeichert werden.
 
[phpf]md5[/phpf] ist grundsätzlich nicht mehr zu empfehlen. Man sollte zumindest [phpf]sha1[/phpf] benutzen um Kollisionsmöglichkeiten zu verringern.
 
Felix Jacobi hat gesagt.:
[phpf]md5[/phpf] ist grundsätzlich nicht mehr zu empfehlen. Man sollte zumindest [phpf]sha1[/phpf] benutzen um Kollisionsmöglichkeiten zu verringern.
Zum Vergrößern anklicken....

Sry für den kurzen Beitrag, aber wieso eigentlich?:confused:

Hmm hab nur was darüber gefunden, dass es zu 20% sicherer ist vor diesen "Rainbow"tabellen gefunden zu werden.
 
Zuletzt bearbeitet:
Message-Digest Algorithm 5 - Sicherheitsüberlegungen

Wie du siehst reicht ein mittelmäßiger PC aus um in 35 Minuten eine Kollision zu finden. Nun kannst du dir ausrechnen wie lange man mit ein wenig modernerer Hardware oder sogar Rechenzeit bei einem größeren Server braucht.

Vergleichen wir das mit SHA-1, eine Funktion die auch bei jedem PHP dabei ist, bei denen die Möglichkeit bisher nur auf 2^63 reduziert wurde und noch keine Kollisionen gefunden... Das ist nur eine Frage der Zeit... Aber in der Regel haben diese Forsche Zugriff leistungsfähigere Maschinen als der Hacker von nebenan ;)
 
Interessant, aber versteh es dennoch nicht alles.
Selbst wenn man collisionen daraus erschaffen könnte - wenn man ein password 2 mal durch einen hash jagt, muss man, um das orignal password oder ein gültiges zu bekommen, mindestens den RICHTIGEN Hash bekommen - und keinen der gleich "gehasht wird"
denn selbst wenn ein hash "c3add7b94781ee70ec7c817c79f7b7bd" sowohl durch den eintrag "testest" und "3c00a95f54a854a47a5a9af97bbc9bab" muss man dennoch den 2. Wert "decodieren", der erste hilft einen auch hier nicht viel.
Also ist Kollision kein wirkliches Thema.
Ausserdem steht da ja auch recht deutlich das MD5 für passwörter noch immer geeignet ist?
 
Nun ich Verschlüssle das Passwort schon 2- mal und henge einen individuellen wert beim 2-mal Verschlüssln an.

Aber was haltet ihr von SHA-512 in der Beschreibung gingt er nicht schlecht aber was denkt ihr von ihm.
 
Wenn man Zugriff auf SHA-512 hat, kann man es ruhig nutzen.

Und im grundsätzlichen gehe ich hier NICHT von BruteForce Angriffen aus! Wenn ein Skript BruteForce Angriffe zu lässt, dann ist nicht der Hashalgorithmus das Problem...

Und warum nicht das Bessere nutzen, wenn es so minimale Änderungen sind wie in diesem Fall hier?

Bei einer bereits bestehenden Community wäre das natürlich nochmal etwas anderes... Da könnte man sich aus anderen Profildaten einen zusätzlichen Hash basteln.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück