Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Passwort und Salt

Mitglied: Michi262
Hi @ all,

ich arbeit gerade wieder an ner Page nun meine Frage:

Wie läuft das beim Verschlüsseln von Passwörtern ab? MD5 ist mir bereitsbekannt. Allerdings lese ich dann oft noch von Salt. Ich hab mir jetzt mal "ergoogelt", dass das ein Zahlenwert mit beliebig vielen Stellen ist, der einfach an das MD5 Passwort angehängt wird. Ist das richtig so?

Gruß Michi262

Content-Key: 101399

Url: https://administrator.de/contentid/101399

Ausgedruckt am: 31.07.2021 um 05:07 Uhr

Mitglied: EvilMoe
EvilMoe 10.11.2008 um 06:16:09 Uhr
Goto Top
Soweit ich das verstanden habe bracuht man Salt für eine htpasswd und hat mit md5 garnix zu tun.
Hier Infos: http://www.gaijin.at/scrphpcrypt.php
Mitglied: dog
dog 10.11.2008 um 08:34:35 Uhr
Goto Top
Ja, das ist richtig.

MD5 ist ja eine asynchrone Verschlüsselungstechnik (sprich was einmal verschlüsselt ist geht nicht wieder rückwärts) - oder auch Hash-Algorithmus genannt.
Man kann trotzdem damit Passwörter vergleichen, weil eben zweimal der selbe Ausgangswert auch zweimal das selbe Ergebnis hat.

Das hat allerdings für Passwörter einen enormen Nachteil:
In viel Arbeit sind sog. Rainbow-Tables entstanden - die ordnen jedem MD5-Wert einen Klartext-Wert zu, d.h. reine MD5-"Verschlüsselung" für Passwörter ist vollkommen unsicher, da mittlerweile innerhalb von 15 sek. "geknackt".

Ein Salt macht diese Rainbow-Tables nun unbrauchbar, da das eigentliche Passwort mit einer weiteren Kombination von Zeichen kombiniert wird und so die Wahrscheinlichkeit für einen Treffer in den Tabellen sinkt (Rainbow-Tables werden ja vom Klartext-Wert ausgehend berechnet, wenn du also dem Passwort "ABCD", dass sofort geknackt wäre "%Äé++/adkwqrfpewof" voranstellst sinkt die Wk für einen Treffer bereits enorm).
Mitglied: Dani
Dani 10.11.2008 um 08:34:50 Uhr
Goto Top
Moin,
htpasswd ist nicht erforderlich. Das Ganze ist einfach eine Kombi von MD5 und einem 2. Schlüssel. Ohne den Salt kannst du nicht mal den wahren MD5 Schlüssel auslesen und somit das Knacken noch schwerer....


Gruss,
Dani
Mitglied: Michi262
Michi262 10.11.2008 um 17:50:01 Uhr
Goto Top
Hi,

danke mal @ all also ist es mit dem alt so wie ich gesagt habe oder? Bleibt der Salt wert immer gleich oder wechselt dieser? Wenn ja hätte wer ne funktion für mich das ich das bei der Passwort abfrage auch wieder hinbekomme?

Gruß Michi262
Mitglied: 51705
51705 10.11.2008 um 21:04:51 Uhr
Goto Top
Hallo dog,

MD5 ist ja eine asynchrone Verschlüsselungstechnik (sprich was
einmal verschlüsselt ist geht nicht wieder rückwärts) -
oder auch Hash-Algorithmus genannt.

Da dein Beitrag ansonsten ziemlich gut ist, denke ich, du hast 'asynchron' mit 'einweg' (Hash) verwechselt... (asynchron könnte man ja entschlüsseln) :-) face-smile

Grüße, Steffen
Mitglied: dog
dog 10.11.2008 um 21:31:53 Uhr
Goto Top
Du hast wie immer Recht - ich glaub die Passage streichen wir ganz :) face-smile

Fachliteratur sagt:

"Ein symmetrisches Verschlüsselungsverfahren nutzt zum Verschlüsseln und Entschlüsseln denselben Schlüssel"

"Bei asymmetrischen Verschlüsselungsverfahren unterscheiden sich die Schlüssel zum Chiffrieren und Dechiffrieren[...]auch oft als Public-Key-Verfahren bezeichnet".

Einwegverschlüsselung, also Hashes haben damit nichts zu tun :) face-smile

"Eine Hashfunktion versucht unter Informationsverlust einen möglichst eindeutigen Fingerabdruck der Eingabedaten zu erstellen[...]"

Grüße

Max
Mitglied: 51705
51705 10.11.2008 um 21:54:45 Uhr
Goto Top
Hallo Michi262,

das Salz (in der Suppe) ist der nichtberechenbare Teil eines Hash, welcher so weder gleich bleibt, noch vorhersagbar ist (sein sollte).

Grüße, Steffen
Mitglied: Michi262
Michi262 12.11.2008 um 00:38:26 Uhr
Goto Top
Zitat von @51705:
Hallo Michi262,

das Salz (in der Suppe) ist der nichtberechenbare Teil eines Hash,
welcher so weder gleich bleibt, noch vorhersagbar ist (sein sollte).

Grüße, Steffen

ok. die läuft das dan bei einem login hab. Da muss ich das Passwort ja wieder vergleichen.

Gruß Michi262
Heiß diskutierte Beiträge
question
VPN-Verbindung Home Office - was sieht mein Arbeitgeber?kalakkaiVor 1 TagFrageRouter & Routing17 Kommentare

Hi zusammen, wenn ich von meinem privaten Laptop und von zu Hause aus über eine VPN-Verbindung mit dem Netzwerk meines Arbeitgebers verbunden bin, kann dann ...

info
Happy System Administrator Appreciation Day0xFFFFVor 1 TagInformationHumor (lol)7 Kommentare

Guten Morgen Byteschubser, ihr seid die superhelden der Wirtschaft! _Danke dass es euch (uns #eigenlob) gibt. Mögen Eure Systeme stets Viren- und Hackerfrei bleiben, eure ...

question
Aktuelle Informationen bezüglich Sicherheitslückenadm.mksVor 1 TagFrageBlogs7 Kommentare

Hallo Liebe Community, woher bezieht ihr die neuesten Informationen über Sicherheitslücken (im speziellen Windows Server BS)? Ich bediene mich an Seiten wie Borns IT, Frankys ...

question
Einfache Software zur Mitarbeiter ZeiterfassungJonas42Vor 1 TagFrageUtilities5 Kommentare

Hallo, ich bin auf der Suche nach einer ganz einfachen (!) kostenlosen oder günstigen Lösung, um die Anwesenheit von 5 Mitarbeitern zu erfassen. Ich denke ...

question
Outlook hängt sich auf aber nur auf einem PCconquestadorVor 1 TagFrageOutlook & Mail14 Kommentare

Hallo Community, auf einem PC hängt sich das Outlook während der Benutzung regelmäßig für wenige bis viele Sekunden auf. Genutzt wird Office 2016 Standard in ...

question
2 Netze - 2 Fritzboxen - 2 Raspis Routing?A34246622Vor 1 TagFrageRouter & Routing4 Kommentare

Hallo, wir haben: Netz A Fritzbox 192.168.1.1 + raspi 192.168.1.8 (wg 10.168.0.8) + PC 162.168.1.10 Netz B Fritzbox 192.168.3.1+ raspi 192.168.3.9 (wg 10.168.0.9) + NetzDrucker ...

question
Welche VSCode Version?TckDEVVor 1 TagFrageIDE & Editoren1 Kommentar

Guten Abend zusammen! Ich habe vor ein paar Tagen meinen PC zurückgesetzt. Aktuell bin ich dabei alle Programme wieder zu Installieren. Ich bin nun auf ...

question
LAG über 3 Funkbridges mit Mikrotik SwitchOliverSKVor 1 TagFrageMikroTik RouterOS5 Kommentare

Hallo, Ich möchte zwischen 2 Mikrotik eine LAG über 3 Ports aufbauen. Aber ich habe keine direkte physische Verbindung der Switches, sondern 3 Ubiquiti Funkbridges. ...