vraag over md5
- Onderwerp starter octron
- Startdatum
- Status
flitsflitsflits
Gebruiker
- Lid geworden
- 27 aug 2008
- Berichten
- 513
Niet. Je zet eerst de md5 waarde van een variabele, het wachtwoord, in de database. Als een gebruiker dan een wachtwoord invult op de website, dan kun je de md5 over die invoer berekenen en dát vergelijk je met de waarde in de database.
flitsflitsflits
Gebruiker
- Lid geworden
- 27 aug 2008
- Berichten
- 513
dmv een brute force methode is het te kraken, net als veel andere beveiligingen.
Frats
Terugkerende gebruiker
- Lid geworden
- 22 nov 2008
- Berichten
- 4.492
Maar dat schiet niet echt op. Als je het echt secure wilt hebben kun je SHA1 of zelfs SHA256 gebruiken.
(Bruteforcen betekend gewoon alle mogelijke input afgaan net zolang tot je de goeie hebt, dat duurt een eeuwigheid bij goede hashes)
(Bruteforcen betekend gewoon alle mogelijke input afgaan net zolang tot je de goeie hebt, dat duurt een eeuwigheid bij goede hashes)
Supersnail
Terugkerende gebruiker
- Lid geworden
- 25 jul 2001
- Berichten
- 1.804
Helaas kan het tegenwoordig vrij snel door gebruik te maken van rainbow tables (Engels). Ik kon niet vinden hoeveel sneller het daarmee kan, maar ik meen weleens gelezen te hebben dat het daarmee slechts enkele uren duurt.
Frats
Terugkerende gebruiker
- Lid geworden
- 22 nov 2008
- Berichten
- 4.492
Enkele uren per password is nog steeds een behoorlijke tijd 
Meer dan genoeg tijd om alle wachtwoorden te veranderen en het gat te dichten.
Maar, true enough, als het echt belangrijke informatie is, kun je beter een sterker algoritme nemen. Er zijn er genoeg.
Meer dan genoeg tijd om alle wachtwoorden te veranderen en het gat te dichten.Maar, true enough, als het echt belangrijke informatie is, kun je beter een sterker algoritme nemen. Er zijn er genoeg.
Merk even op dat hoewel MD5 in sommige gevallen niet superveilig zou zijn, het voor een login systeem op een gemiddelde website meer dan genoeg is.
Het ontcijferen van een hashwaarde is vaak oninteressant
Wanneer een hacker in bezit zou komen van de database met wachtwoorden dan is hij waarschijnlijk ook in het bezit van de tabellen met overige informatie, en dan lijkt het me niet meer nodig om het wachtwoord te decrypten, wanneer hij specifiek iets met die website wilt uithalen. Maargoed, MD5 is een hash functie, en ik kan me niet veel situaties voorstellen waarbij je gevoelige informatie gehashed hebt opgeslagen (een hash kun je alleen nog maar gebruiken om iets te vergelijken, dus creditcard nummers opslaan voor later gebruik zit er niet in).
Bruteforcen duurt laaaaaang
Rainbow tables versnellen het proces van bruteforcen enigszins, maar dit is alleen "relatief" sneller. Wanneer er een directe bruteforce aanval wordt uitgevoerd naar je server (dan maakt het niet uit welke encryptie je gebruikt), duurt het versturen van een login-request zo lang iets dergelijks alleen efficiënt zou zijn bij een Distributed Attack. En een beveiliging inbouwen tegen flooden maakt hier ook al snel korte metten mee.
Kortom, niks om je druk over te maken. Als alles goed is komt er niemand in je database, en als dat toch gebeurt dan is het enige dat je kunt verdedigen een lijst met wachtwoorden van gebruikers van een gekraakte website. :thumb:
Het ontcijferen van een hashwaarde is vaak oninteressant
Wanneer een hacker in bezit zou komen van de database met wachtwoorden dan is hij waarschijnlijk ook in het bezit van de tabellen met overige informatie, en dan lijkt het me niet meer nodig om het wachtwoord te decrypten, wanneer hij specifiek iets met die website wilt uithalen. Maargoed, MD5 is een hash functie, en ik kan me niet veel situaties voorstellen waarbij je gevoelige informatie gehashed hebt opgeslagen (een hash kun je alleen nog maar gebruiken om iets te vergelijken, dus creditcard nummers opslaan voor later gebruik zit er niet in).
Bruteforcen duurt laaaaaang
Rainbow tables versnellen het proces van bruteforcen enigszins, maar dit is alleen "relatief" sneller. Wanneer er een directe bruteforce aanval wordt uitgevoerd naar je server (dan maakt het niet uit welke encryptie je gebruikt), duurt het versturen van een login-request zo lang iets dergelijks alleen efficiënt zou zijn bij een Distributed Attack. En een beveiliging inbouwen tegen flooden maakt hier ook al snel korte metten mee.
Kortom, niks om je druk over te maken. Als alles goed is komt er niemand in je database, en als dat toch gebeurt dan is het enige dat je kunt verdedigen een lijst met wachtwoorden van gebruikers van een gekraakte website. :thumb:
- Status
