Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

md5()

vinTage - 03/08/2005 00:35
Nieuw lid		Is dit te kraken, ja dan nee ? Ik heb gehoord van brute force ofzoiets, maar hoe werkt dit, en wat is dit precies ? Geen wildguesses aub, maar elke goeie tip hint is welkom. ps, ik hoef niets te kraken, deze vraag is na aanleiding van een chat.

45 antwoorden

Gesponsorde links

Maarten - 03/08/2005 00:36 (laatste wijziging 03/08/2005 00:44)
Erelid		Bruteforce is een willekeurige combinatie van letterkens en cijferkens zenden naar het doel, dus eigenlijk blijven proberen tot het juist is. Dit is overigens de ENIGE manier om voorbij md5() ter geraken (geraken, niet kraken), ik durf het hoofd van Joël erop te verwedden Dus het is voorlopig gewoon onkraakbaar.

Ontani - 03/08/2005 00:37
-1		Nee, absoluut niet, MD5() zet elke code om in een reeks van 32 chars, een spatie is een reeks van 32 chars. een tekst van 50000 tekens is ook een reeks van 32 chars. omdat ge maar 32 chars hebt is het mogelijk da 2 dingen dezelfde MD5() hash hebben. hierdoor is het onmogelijk een MD5() hash te kraken.

Thomas - 03/08/2005 11:12 (laatste wijziging 03/08/2005 11:13)
Moderator		Citaat: omdat ge maar 32 chars hebt is het mogelijk da 2 dingen dezelfde MD5() hash hebben. Ja, maar hashing-algorithmes zijn zo geschreven dat wanneer er maar hele kleine variaties optreden in je tekst van 50.000 karakters, de hash van zo'n tekst compleet anders is. Citaat: hierdoor is het onmogelijk een MD5() hash te kraken. Het is zeker niet onmogelijk, en ((tevens) ook) niet om de reden die jij aangeeft (je zou immers alle waarden van een md5-hash af kunnen lopen? Dat lijkt me wel een goed voorbeeld van brute-force ). Het probleem zit vaak niet in het beveiligingsmechanisme (dat meestal "bewezen" veilig is), maar met de manier waarmee met gebruikersnamen en -wachtwoorden omgesprongen wordt, de keuze van deze wachtwoorden et cetera.

Ontani - 03/08/2005 11:15
-1		MD5() is toch reverseable, alleen heeft elke hash een onneinig aantal teksten die met deze hash overeen kunnen komen, om daaruit dan nog eens het juiste wachtwoord uit te halen is nogal vrij onmogelijk, maar het is zoals je zegt, de keuze van gebruikersnamen en wachtwoorden die 'voor de hand liggend' zijn.

Thomas - 03/08/2005 11:19 (laatste wijziging 03/08/2005 11:20)
Moderator		Nee, dat kan toch niet als een tekst van 50.000 karakters in een string gepropt wordt ? Je geeft zelf al de reden aan waarom MD5 niet reversibel is . MD5 is een hashing-algoritme, geen encryptie-methode (die wèl reversibel zijn).

Ontani - 03/08/2005 11:21 (laatste wijziging 03/08/2005 11:22)
-1		dat is toch wat ik bedoel. dan is het toch ook logisch dat het niet gekraakt kan worden. (of met heel veel geluk) edit: maar wat dan nog, k weet wat je bedoeld, en het is niet simpel om uit te leggen... in m'n ogen als er iets gekraakt wordt zal het niet aan de MD5() liggen maar aan de rest van de beveiliging.

Thomas - 03/08/2005 11:26
Moderator		Vaak, maar niet altijd. Sommigen denken wellicht dat het gebruik van de magische functie md5() er ineens voor zorgt dat zaken veilig(er) / beveiligd zijn. Een verkeerd gebruik van middelen om zaken te beveiligen (vals gevoel van veiligheid) vormt altijd een groot gevaar natuurlijk .

lasdesigner - 03/08/2005 11:51
PHP beginner		Het is altijd mogelijk om te hacken, maar jek an bijv. na 3x proberen een ip ban gebruiken, gebruikt hij een ander ip dan meot je gewoon na 2 x al blokken, dan kan hij nooit ene brutoforce doen, dan heb je iets van 150000000000000000 mogelijkheden.

haytjes - 04/08/2005 13:34
JS gevorderde		http://passcracking.com/ kijkt een keer hier naar, hier kan je je md5 ingeven en wordt hij binnen zoveel dagen gekraakt. Waarom dit zo lang duurt is omdat er nog 3000 mensen voor je zit, maar als je dus zelf 3 gewone computers laat werken, heb je in geen tijd een md5 gebruteforced

Tuinstoel - 04/08/2005 13:47
PHP expert		Zou het dan beter zijn om sha1() te gebruiken, of is dat ook al te kraken?

Steven - 04/08/2005 13:52 (laatste wijziging 04/08/2005 13:57)
HTML interesse		@ Tuinstoel, wat is sha1()? Als het zoveel moeite kost om md5() te geraken zou ik er niet aan beginnen, dan doe ik liever iets anders om mijn tijd aan te verspillen. hmz, ik ga het gewoon is proberen dat sha1()

haytjes - 04/08/2005 13:56 (laatste wijziging 04/08/2005 13:58)
JS gevorderde		sha1 is ook zoals md5, alleen sneller te kraken, dacht ik @tuinstoel, het beste wat je kan doen is: $test = md5('test'); $stuk1 = substr($test,0,16); $stuk2 = substr($test,16,16); $pass = $stuk2.$stuk1; en dan niet zeggen dat je zoiets doet, 't valt niet op en 't is niet moeilijk

Tuinstoel - 04/08/2005 14:00
PHP expert		Ja klopt, gewoon een interne php constructie maken met allerlei dingen eromheen e.d.

Thomas - 04/08/2005 14:03
Moderator		Wellicht beter is het gebruiken van methoden die "doorzichtig" zijn, maar niet te kraken - 'wisseltruucs' moeten geheim gehouden worden om de veiligheid te garanderen - als je scripts schrijft die hier gebruik van maken, zijn deze niet herbruikbaar op andere sites (omdat de wisseltruuc geheim gehouden dient te worden)... Het is natuurlijk prima als adhoc oplossing, maar het is misschien beter om code te schrijven die herbruikbaar is, tenzij het wiel telkens opnieuw uitvinden je hobby is.

nemesiskoen - 04/08/2005 14:06
PHP expert		combinatie is mss het beste dan Dan kan je van die 2 substrings nog eens een and bewerking doen en dan md5 er rond gooien.

Thomas - 04/08/2005 14:08
Moderator		Dat klinkt als meer van hetzelfde . ergo: ad hoc

Tuinstoel - 04/08/2005 14:15

PHP expert

php code - Bekijk de code zonder highlighting - Klap code in

<?php
function wachtwoord($sString,$iMd5)
	{
	for($iLoop=0;$iLoop<=$iMd5;$iLoop++)
		{ $sString = md5($sString); }
	return $sString;
	}
	
echo wachtwoord('wachtwoord',5);
?>

<?php
function wachtwoord($sString,$iMd5)
	{
	for($iLoop=0;$iLoop<=$iMd5;$iLoop++)
		{ $sString = md5($sString); }
	return $sString;
	}
 
echo wachtwoord('wachtwoord',5);
?>

Hehe, ach ja vanalles kan.

haytjes - 04/08/2005 14:18
JS gevorderde		je kan ook doen $lengte = strlen(DOCUMENT_ROOT); $test = md5('test'); $lengte2 = 32-$lengte; $stuk1 = substr($test,0,$lengte); $stuk2 = substr($test,$lengte,$lengte2); $pass = $stuk2.$stuk1;

Thomas - 04/08/2005 14:22 (laatste wijziging 04/08/2005 14:28)
Moderator		Dat is allemaal op zich niet veiliger, alleen maar verwarrender . Kenmerken van een goed beveiligingsmechanisme zijn oa. eenvoud en transparantie.

nemesiskoen - 04/08/2005 15:44 (laatste wijziging 04/08/2005 15:45)
PHP expert		Citaat: ergo: ad hoc wat bedoel je hier mee? Citaat: Dus: op dit moment

haytjes - 04/08/2005 16:34
JS gevorderde		@ Ontani ik heb er ook 1 ingestoken, gister al, maar nog altijd nie gevonden. Het gaat wel traag vooruit en zitten veel voor je: 3000 Bij mij is het wel mogelijk: 8 letters en cijfers

rutgerp - 04/08/2005 18:08
HTML interesse		ik vind het wel heel raar dat md5, volgens mij stuurt hij gewoon de hash naar php.net ofzo en daar maakt hij dan een willekeurig string en dan slaat hij het op in de database en returnt hij het:?: Volgens mij kraken ze het later wel:'(

nemesiskoen - 04/08/2005 18:12
PHP expert		jij hebt precies ook geen idee over wat het gaat he? md5 is een functie die GEEN willekeurige string terug stuurt, maar een door een bepaald wiskundig algoritme gemaakte string. Hierdoor kan je hem terug vergelijken als je de originele string hebt.

zerox - 04/08/2005 18:41
Nieuw lid		Zoals al eerder in dit topic gezegt is zijn er meerdere mogelijkheden per hash. Bijvoorbeeld het wachtwoord "blablabla" kan de zelfde hash opleveren als bijvoorbeeld "ietsheelandersenmisschienookwellanger". Dus als je een programma de hash laat berekenen en er komt een wachtwoord van 8 letters en cijfers uit kun je dat wachtwoord ook gebruiken om in te loggen, omdat de site het weer omzet in een hash en dat vergelijkt met de hash in de database. Het is dus niet 100% veilig.

haytjes - 04/08/2005 20:05
JS gevorderde		maar je gaat een wachtwoord ook geen 20 tekens lang maken, meestal ligt dat tussen de 6-10 tekens

Maarten - 04/08/2005 20:13 (laatste wijziging 04/08/2005 20:14)
Erelid		Really? Mijn vorig pass was ikhebechtgeenideewelkidiootwachtwoordiknuweergauitvindenendaaromneemikdezemaarhopelijkkanhetnoginhetvakjeofikmoetweereenanderuitdenken_hetvoordeelisweldatditmoeilijkteachterhalenis

nathanael - 04/08/2005 21:08 (laatste wijziging 04/08/2005 21:18)
HTML gevorderde		:o das bijna mijn wachtwoord behalve die underscore (_) :o @haytjes: Je kan hem altijd hier weer vandaan halen

haytjes - 04/08/2005 21:11 (laatste wijziging 04/08/2005 21:13)
JS gevorderde		@ murfy, nu weet ik waarom je zoveel pulse hebt bij whatpulse [edit] vlug mijn passwoord veranderd, omdatikookzoveelpulsenwilhebbenalsmurfywantikbenjaloershebikmijnpaswoordveranderdnaarditzeerlangpaswoorddattochopgeenenkelesitewordtgeaccepteerd nu te hopen dat ik het niet vergeet

Martijn1989 - 04/08/2005 21:55
PHP ver gevorderde		md 5 is wel te hacken ... het duurt wel lang... maar opzich mogelijk... iedereen kan het, maar moet je je pc egt heel lang aan laten staan.

b4nkr0bz0r - 04/08/2005 21:59
PHP gevorderde		volgens mij hack je het niet maar doet een simpel crack proggie het...En iedereen zegt dat het zo makkelijk kan maar ze hebben er zelf volgens mij 0 ervaring mee...en als het ze is lukt is het waarschijnlijk op een site waarvan de scripter niet zo goed op de hoogte is van goed gebruik denk ik...

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten