login  Naam:   Wachtwoord: 
Registreer je!
 Forum

md5-hash databases

Offline Mad_Mike - 05/03/2007 17:39 (laatste wijziging 05/03/2007 17:43)
Avatar van Mad_MikePHP beginner Laats was er weer iemand die tegen mij zei dat md5-hashes te kraken zouden zijn. Moest ik weer uitleggen dat het niet simpelweg terug te vertalen is, maar wel op te zoeken in een md5-hash database.

een database die ik even snel vond:
http://gdataonline.com/seekhash.php
(Total number of cracked hashes: 412,378)

Uiteindelijk is het dus mogelijk om vanuit een md5-hash een wachtwoord op te zoeken (dmv zo'n database). Maarja het opbouwen ervan kost je (pc) wel even een flink aantal jaren(??) en ze moeten eerst nog achter je md5-hash komen.

Wat jullie visie hierop? Wanneer is een wachtwoord veilig genoeg (aantal karakters / cijfers / leestekens etc..?)

17 antwoorden

Gesponsorde links
Offline gothmog - 05/03/2007 17:43 (laatste wijziging 05/03/2007 17:48)
Avatar van gothmog Lid Het is nooit veilig, dat is zo zolang het door mensen word gemaakt.
Met een simpel bruteforce programma, kun je zo een md5 kraken. In 10 min. en anders wel in een maand (als het een heel moeilijk wachtwoord is). Dat programma probeert simpelweg gewoon alle combinatie's tot hij dezelfde md5 reeks krijgt.

Nu denk ik dat er ooit wel een verandering komt, geen wachtwoorden meer, maar irisscan, vingerafdruk, dna-sample noem maar op...

Edit: mijn wachtwoord bevat die iig niet:)
Zal ook wel niet zo makkelijk zijn te kraken...
Offline Mad_Mike - 05/03/2007 18:02
Avatar van Mad_Mike PHP beginner Die van mij wel 
Tenmiste, die ik soms gebruik. De andere (voor alle echt belangrijke zaken) bevat zowel hoofd als kleine letters en cijfers pakt hij ook niet
Offline Dark_Paul - 05/03/2007 18:10
Avatar van Dark_Paul PHP ver gevorderde Combinaties van sha-1 en md5, nooit overal dezelfde combinatie. Als ze die gaan brute-forcen moeten ze eerst weten welke combinatie je hebt gebruikt.
Als je dan als laatste een sha1 gebruikt, gaan ze sha1 zoeken, maar zoek maar eens een andere sha1/md5-hash die weer die sha1-hash oplevert. Zo kan je dus doorgaan.
Ik zeg niet dat dit 100% veilig is, integendeel, maar het helpt imo al wel.
Offline Stijn - 05/03/2007 18:12
Avatar van Stijn PHP expert Een wachtwoord is nooit veilig. Men verteld vreemde tekens maar voor een computer is dat geen vreemd teken hé. Een computer rekend in 0 en 1 , dus vraag ik me af of het nodig is om "vreemde" tekens te gebruiken. Ze zijn niet vreemd want ze worden geaccepteerd door de computer. Wij zeggen dat A-Z en 0-9 onveilige wachtwoorden zijn of minder sterk omdat ze geen "vreemde" tekens bevat. Beetje nutteloze opmerking hoor, je kan gerust een 255 tekens string maken met A-Z dat men nooit gaat vinden en je hebt ook een wachtwoord. Daar wordt wel veel mis opgevat, volgens mij.

Dus die password meters zijn ook niet zo betrouwbaar.
Offline Mad_Mike - 05/03/2007 18:16
Avatar van Mad_Mike PHP beginner @ Dark_Paul
Ja dat is idd wel een goede optie. Maar dan is het nog de vraag hoe andere sites omgaan met je wachtwoord. Als gebruiker wil je ook niet voor iedere website een ander wachtwoord hebben, tenmiste ik niet. Want stel de ene website gebruikt 'slechts' een enkele md5 beveiliging, en de andere icm sha-1. Als die van de enkele md5 gekraakt wordt heb je niets meer aan de extra beveiliging met sha-1
Offline Stijn - 05/03/2007 18:20
Avatar van Stijn PHP expert Of je maakt er zelf één Het princiepe is niet moelijk hé.

wachtwoord <=> andere tekenreeks (lees: gehasde wachtwoord)
Offline Mad_Mike - 05/03/2007 19:39
Avatar van Mad_Mike PHP beginner tja... dat kan natuurlijk ook 
Offline ikki007 - 05/03/2007 19:56 (laatste wijziging 05/03/2007 20:06)
Avatar van ikki007 Gouden medailleGouden medaille

PHP ver gevorderde
Als iets kan encrypten, kan die toch ook de-crypten, alleen gebruik MD5 een encryptie die nog niet gekraakt is..

Of zie ik dit verkeerd??

EDIT: Ik heb nog een site liggen met 46,533,109 cracked MD5 + SHA1 codes..

http://md5.rednoize.com/
Offline nemesiskoen - 05/03/2007 20:09 (laatste wijziging 05/03/2007 20:11)
Avatar van nemesiskoen Gouden medaille

PHP expert
Citaat:
Een wachtwoord is nooit veilig. Men verteld vreemde tekens maar voor een computer is dat geen vreemd teken hé. Een computer rekend in 0 en 1 , dus vraag ik me af of het nodig is om "vreemde" tekens te gebruiken. Ze zijn niet vreemd want ze worden geaccepteerd door de computer. Wij zeggen dat A-Z en 0-9 onveilige wachtwoorden zijn of minder sterk omdat ze geen "vreemde" tekens bevat. Beetje nutteloze opmerking hoor, je kan gerust een 255 tekens string maken met A-Z dat men nooit gaat vinden en je hebt ook een wachtwoord. Daar wordt wel veel mis opgevat, volgens mij.


Een bruteforceprogramma is hier wel op gebasseerd. Hierbij zal het dus eerst logische zaken afgaan: woorden uit het woorden, en daarna letter-cijfer combinaties. En vervolgens pas 'vreemde tekens' gaan gebruiken. Dus er is wel degelijk een verschil tussen het wachtwoord 'abcdefghi' of een wachtwoord 'abc365¨%#'. Als je 'domme' (hiermee bedoel ik niet achterlijk, maar 'niet-slimme') bruteforceprogramma's hier op los laat is er inderdaad geen verschil.

Wat me meestal opvalt is dat er zich nooit zorgen wordt gemaakt op de manier waarop het wachtwoord wordt verkregen. Je moet je meer zorgen maken over het feit dat iemand aan je wachtwoorden kan dan dat iemand een wachtwoord zal omdraaien.

Citaat:
Als iets kan encrypten, kan die toch ook de-crypten, alleen gebruik MD5 een encryptie die nog niet gekraakt is..

Voor de tigste keer: MD5 is een one-way-encryptie (= hash) methode omdat er tekens verloren gaan tijdens de encryptie.

Dit is ook een one-way-decryptie:
  1. <?php
  2. function oneWay($number) {
  3. return floor($number / 5);
  4. }

Kan jij vertellen wat mijn origineel wachtwoord is als ik zeg dat de output van oneWay '5' is?
Offline Stijn - 05/03/2007 20:14 (laatste wijziging 05/03/2007 20:14)
Avatar van Stijn PHP expert
Citaat:
Kan jij vertellen wat mijn origineel wachtwoord is als ik zeg dat de output van oneWay '5' is?
ja! 25 of 5 / 125 of ... 
Offline ikki007 - 05/03/2007 20:15
Avatar van ikki007 Gouden medailleGouden medaille

PHP ver gevorderde
Nee omdat die afgerond is, maar ik kan wel vertellen dat het rond de 25 ligt. Maarja dat is niet precies 
Offline Gerard - 05/03/2007 20:15
Avatar van Gerard Ouwe rakker
Citaat:
ja! 5^x , x != 0 en 1

Het gebruik van floor zorgt ervoor dat je het niet precies kan weten.
Offline Mad_Mike - 05/03/2007 22:01
Avatar van Mad_Mike PHP beginner Het belangrijkste in dit hele verhaal is idd het tegengaan van het 'stelen' van je ge-hash-de wachtwoord.
Vond het alleen wel 'bijzonder' dat er al vrij grote databases bestaan met daarin de hashes
Offline Dani - 10/03/2007 00:34
Avatar van Dani PHP gevorderde 10 characters met combinatie letters, hoofdletters en cijfers en maken dat er geen enkele logica in je ww zit.
en dan alle 3 maanden van wachtwoord veranderen.
En je bent dan echt uiterst veilig bezig omdat er nog geen PC bestaat die zoon hash in 3 maanden kan vinden. (ik zeg wel PC en geen Blue Gene of Cray achtige toestanden)

Herhaald hashen is pure onzin omdat het de kans tot gelijke hashes verhoogd!!!
Dit is dus ten koste van je veiligheid.
Domme string bewerkingen (voor of na de hash) zijn veiliger.
Offline bigsmoke - 10/03/2007 12:52
Avatar van bigsmoke PHP interesse Maw als je een md5je hebt is het dus altijd kraakbaar (maar het kan wel even duren).
Offline Dani - 10/03/2007 13:54
Avatar van Dani PHP gevorderde een krachtige home PC heeft zeker een jaar nodig voor 10 char wachtwoord (letter cijfer mix).
Inclusief speciale tekens kan je makkelijk een aantal jaren bezig zijn.
Offline Ibrahim - 10/03/2007 18:37
Avatar van Ibrahim PHP expert En is het een "normale"/persoonlijke website, dan zou ik al helemaal geen zorgen maken. Rare nerds gaan geen moeite doen om dat te proberen te hacken.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.229s