Sicherheit bei md5 ()

[zer0]

1. Doppelt zu hashen ist Unsinn, wenn ich damit gleiche Hashes vermeiden will. Denn zwei gleiche Hashes noch einmal gehashed ergibt wieder zwei gleiche Hashes. Logisch, oder? Man kann damit vielleicht Hacker verwirren, die einfaches Hashing erwarten. Aber bei Open-Source-Produkten kann man das ja leicht rausfinden.

Aber durch das doppellte hashen bleibt das Passwort selbst bei einem Angriff unbekannt. Wenn jemand zufälligerweise die DB ausliest und die Hashs hat, kann er diese Hashs in den Rainbow Tables suchen, aber mit sehr sehr hoher Wahrscheinlichkeit wird er nicht finden. Den der Hash ist ja das gehaschte Passwort, und das ist nicht enthalten.

 

[Sven Mintel]

Aber durch das doppellte hashen bleibt das Passwort selbst bei einem Angriff unbekannt. Wenn jemand zufälligerweise die DB ausliest und die Hashs hat, kann er diese Hashs in den Rainbow Tables suchen, aber mit sehr sehr hoher Wahrscheinlichkeit wird er nicht finden. Den der Hash ist ja das gehaschte Passwort, und das ist nicht enthalten.

Jo, das Problem ist aber, wenn er die DB ausliest, ist er bereits im System, wie Navy erwähnte....und dann kann er nicht nur in der DB lesen, sondern auch herausfinden, wie die Anwendung den Hash produziert.

 

[zer0]

Ja, natürlich. Aber auch wenn er weiß das doppelt gehash'ed wird, wie will er diesen Hash rekonstrurieren?

 

[deepthroat]

Hi.

Ja, natürlich. Aber auch wenn er weiß das doppelt gehash'ed wird, wie will er diesen Hash rekonstrurieren?

Indem er/sie eine Rainbow Table von doppelt gehashten Passwörtern erstellt... ?

Gruß

 

[Sven Mintel]

Vielleicht hat er auch Tabellen mit doppelten Hashs?

<ooops>zu lahm </ooops>