Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > Overige

md5-hash databases

Mad_Mike - 05/03/2007 17:39 (laatste wijziging 05/03/2007 17:43)
PHP beginner		Laats was er weer iemand die tegen mij zei dat md5-hashes te kraken zouden zijn. Moest ik weer uitleggen dat het niet simpelweg terug te vertalen is, maar wel op te zoeken in een md5-hash database. een database die ik even snel vond: http://gdataonline.com/seekhash.php (Total number of cracked hashes: 412,378) Uiteindelijk is het dus mogelijk om vanuit een md5-hash een wachtwoord op te zoeken (dmv zo'n database). Maarja het opbouwen ervan kost je (pc) wel even een flink aantal jaren(??) en ze moeten eerst nog achter je md5-hash komen. Wat jullie visie hierop? Wanneer is een wachtwoord veilig genoeg (aantal karakters / cijfers / leestekens etc..?)

17 antwoorden

Gesponsorde links

gothmog - 05/03/2007 17:43 (laatste wijziging 05/03/2007 17:48)
Lid		Het is nooit veilig, dat is zo zolang het door mensen word gemaakt. Met een simpel bruteforce programma, kun je zo een md5 kraken. In 10 min. en anders wel in een maand (als het een heel moeilijk wachtwoord is). Dat programma probeert simpelweg gewoon alle combinatie's tot hij dezelfde md5 reeks krijgt. Nu denk ik dat er ooit wel een verandering komt, geen wachtwoorden meer, maar irisscan, vingerafdruk, dna-sample noem maar op... Edit: mijn wachtwoord bevat die iig niet:) Zal ook wel niet zo makkelijk zijn te kraken...

Mad_Mike - 05/03/2007 18:02
PHP beginner		Die van mij wel Tenmiste, die ik soms gebruik. De andere (voor alle echt belangrijke zaken) bevat zowel hoofd als kleine letters en cijfers pakt hij ook niet

Dark_Paul - 05/03/2007 18:10
PHP ver gevorderde		Combinaties van sha-1 en md5, nooit overal dezelfde combinatie. Als ze die gaan brute-forcen moeten ze eerst weten welke combinatie je hebt gebruikt. Als je dan als laatste een sha1 gebruikt, gaan ze sha1 zoeken, maar zoek maar eens een andere sha1/md5-hash die weer die sha1-hash oplevert. Zo kan je dus doorgaan. Ik zeg niet dat dit 100% veilig is, integendeel, maar het helpt imo al wel.

Stijn - 05/03/2007 18:12
PHP expert		Een wachtwoord is nooit veilig. Men verteld vreemde tekens maar voor een computer is dat geen vreemd teken hé. Een computer rekend in 0 en 1 , dus vraag ik me af of het nodig is om "vreemde" tekens te gebruiken. Ze zijn niet vreemd want ze worden geaccepteerd door de computer. Wij zeggen dat A-Z en 0-9 onveilige wachtwoorden zijn of minder sterk omdat ze geen "vreemde" tekens bevat. Beetje nutteloze opmerking hoor, je kan gerust een 255 tekens string maken met A-Z dat men nooit gaat vinden en je hebt ook een wachtwoord. Daar wordt wel veel mis opgevat, volgens mij. Dus die password meters zijn ook niet zo betrouwbaar.

Mad_Mike - 05/03/2007 18:16
PHP beginner		@ Dark_Paul Ja dat is idd wel een goede optie. Maar dan is het nog de vraag hoe andere sites omgaan met je wachtwoord. Als gebruiker wil je ook niet voor iedere website een ander wachtwoord hebben, tenmiste ik niet. Want stel de ene website gebruikt 'slechts' een enkele md5 beveiliging, en de andere icm sha-1. Als die van de enkele md5 gekraakt wordt heb je niets meer aan de extra beveiliging met sha-1

Stijn - 05/03/2007 18:20
PHP expert		Of je maakt er zelf één Het princiepe is niet moelijk hé. wachtwoord <=> andere tekenreeks (lees: gehasde wachtwoord)

Mad_Mike - 05/03/2007 19:39
PHP beginner		tja... dat kan natuurlijk ook

ikki007 - 05/03/2007 19:56 (laatste wijziging 05/03/2007 20:06)
PHP ver gevorderde		Als iets kan encrypten, kan die toch ook de-crypten, alleen gebruik MD5 een encryptie die nog niet gekraakt is.. Of zie ik dit verkeerd?? EDIT: Ik heb nog een site liggen met 46,533,109 cracked MD5 + SHA1 codes.. http://md5.rednoize.com/

nemesiskoen - 05/03/2007 20:09 (laatste wijziging 05/03/2007 20:11)
PHP expert		Citaat: Een wachtwoord is nooit veilig. Men verteld vreemde tekens maar voor een computer is dat geen vreemd teken hé. Een computer rekend in 0 en 1 , dus vraag ik me af of het nodig is om "vreemde" tekens te gebruiken. Ze zijn niet vreemd want ze worden geaccepteerd door de computer. Wij zeggen dat A-Z en 0-9 onveilige wachtwoorden zijn of minder sterk omdat ze geen "vreemde" tekens bevat. Beetje nutteloze opmerking hoor, je kan gerust een 255 tekens string maken met A-Z dat men nooit gaat vinden en je hebt ook een wachtwoord. Daar wordt wel veel mis opgevat, volgens mij. Een bruteforceprogramma is hier wel op gebasseerd. Hierbij zal het dus eerst logische zaken afgaan: woorden uit het woorden, en daarna letter-cijfer combinaties. En vervolgens pas 'vreemde tekens' gaan gebruiken. Dus er is wel degelijk een verschil tussen het wachtwoord 'abcdefghi' of een wachtwoord 'abc365¨%#'. Als je 'domme' (hiermee bedoel ik niet achterlijk, maar 'niet-slimme') bruteforceprogramma's hier op los laat is er inderdaad geen verschil. Wat me meestal opvalt is dat er zich nooit zorgen wordt gemaakt op de manier waarop het wachtwoord wordt verkregen. Je moet je meer zorgen maken over het feit dat iemand aan je wachtwoorden kan dan dat iemand een wachtwoord zal omdraaien. Citaat: Als iets kan encrypten, kan die toch ook de-crypten, alleen gebruik MD5 een encryptie die nog niet gekraakt is.. Voor de tigste keer: MD5 is een one-way-encryptie (= hash) methode omdat er tekens verloren gaan tijdens de encryptie. Dit is ook een one-way-decryptie: php code - Bekijk de code zonder highlighting - Klap code in <?php function oneWay($number) { return floor($number / 5); } <?php function oneWay($number) { return floor($number / 5); } Kan jij vertellen wat mijn origineel wachtwoord is als ik zeg dat de output van oneWay '5' is?

Stijn - 05/03/2007 20:14 (laatste wijziging 05/03/2007 20:14)
PHP expert		Citaat: Kan jij vertellen wat mijn origineel wachtwoord is als ik zeg dat de output van oneWay '5' is? ja! 25 of 5 / 125 of ...

ikki007 - 05/03/2007 20:15
PHP ver gevorderde		Nee omdat die afgerond is, maar ik kan wel vertellen dat het rond de 25 ligt. Maarja dat is niet precies

Gerard - 05/03/2007 20:15
Ouwe rakker		Citaat: ja! 5^x , x != 0 en 1 Het gebruik van floor zorgt ervoor dat je het niet precies kan weten.

Mad_Mike - 05/03/2007 22:01
PHP beginner		Het belangrijkste in dit hele verhaal is idd het tegengaan van het 'stelen' van je ge-hash-de wachtwoord. Vond het alleen wel 'bijzonder' dat er al vrij grote databases bestaan met daarin de hashes

Dani - 10/03/2007 00:34
PHP gevorderde		10 characters met combinatie letters, hoofdletters en cijfers en maken dat er geen enkele logica in je ww zit. en dan alle 3 maanden van wachtwoord veranderen. En je bent dan echt uiterst veilig bezig omdat er nog geen PC bestaat die zoon hash in 3 maanden kan vinden. (ik zeg wel PC en geen Blue Gene of Cray achtige toestanden) Herhaald hashen is pure onzin omdat het de kans tot gelijke hashes verhoogd!!! Dit is dus ten koste van je veiligheid. Domme string bewerkingen (voor of na de hash) zijn veiliger.

bigsmoke - 10/03/2007 12:52
PHP interesse		Maw als je een md5je hebt is het dus altijd kraakbaar (maar het kan wel even duren).

Dani - 10/03/2007 13:54
PHP gevorderde		een krachtige home PC heeft zeker een jaar nodig voor 10 char wachtwoord (letter cijfer mix). Inclusief speciale tekens kan je makkelijk een aantal jaren bezig zijn.

Ibrahim - 10/03/2007 18:37
PHP expert		En is het een "normale"/persoonlijke website, dan zou ik al helemaal geen zorgen maken. Rare nerds gaan geen moeite doen om dat te proberen te hacken.

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten