Passwort und Salt
Hi @ all,
ich arbeit gerade wieder an ner Page nun meine Frage:
Wie läuft das beim Verschlüsseln von Passwörtern ab? MD5 ist mir bereitsbekannt. Allerdings lese ich dann oft noch von Salt. Ich hab mir jetzt mal "ergoogelt", dass das ein Zahlenwert mit beliebig vielen Stellen ist, der einfach an das MD5 Passwort angehängt wird. Ist das richtig so?
Gruß Michi262
ich arbeit gerade wieder an ner Page nun meine Frage:
Wie läuft das beim Verschlüsseln von Passwörtern ab? MD5 ist mir bereitsbekannt. Allerdings lese ich dann oft noch von Salt. Ich hab mir jetzt mal "ergoogelt", dass das ein Zahlenwert mit beliebig vielen Stellen ist, der einfach an das MD5 Passwort angehängt wird. Ist das richtig so?
Gruß Michi262
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 101399
Url: https://administrator.de/forum/passwort-und-salt-101399.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
8 Kommentare
Neuester Kommentar
Soweit ich das verstanden habe bracuht man Salt für eine htpasswd und hat mit md5 garnix zu tun.
Hier Infos: http://www.gaijin.at/scrphpcrypt.php
Hier Infos: http://www.gaijin.at/scrphpcrypt.php
Ja, das ist richtig.
MD5 ist ja eine asynchrone Verschlüsselungstechnik (sprich was einmal verschlüsselt ist geht nicht wieder rückwärts) - oder auch Hash-Algorithmus genannt.
Man kann trotzdem damit Passwörter vergleichen, weil eben zweimal der selbe Ausgangswert auch zweimal das selbe Ergebnis hat.
Das hat allerdings für Passwörter einen enormen Nachteil:
In viel Arbeit sind sog. Rainbow-Tables entstanden - die ordnen jedem MD5-Wert einen Klartext-Wert zu, d.h. reine MD5-"Verschlüsselung" für Passwörter ist vollkommen unsicher, da mittlerweile innerhalb von 15 sek. "geknackt".
Ein Salt macht diese Rainbow-Tables nun unbrauchbar, da das eigentliche Passwort mit einer weiteren Kombination von Zeichen kombiniert wird und so die Wahrscheinlichkeit für einen Treffer in den Tabellen sinkt (Rainbow-Tables werden ja vom Klartext-Wert ausgehend berechnet, wenn du also dem Passwort "ABCD", dass sofort geknackt wäre "%Äé++/adkwqrfpewof" voranstellst sinkt die Wk für einen Treffer bereits enorm).
MD5 ist ja eine
Man kann trotzdem damit Passwörter vergleichen, weil eben zweimal der selbe Ausgangswert auch zweimal das selbe Ergebnis hat.
Das hat allerdings für Passwörter einen enormen Nachteil:
In viel Arbeit sind sog. Rainbow-Tables entstanden - die ordnen jedem MD5-Wert einen Klartext-Wert zu, d.h. reine MD5-"Verschlüsselung" für Passwörter ist vollkommen unsicher, da mittlerweile innerhalb von 15 sek. "geknackt".
Ein Salt macht diese Rainbow-Tables nun unbrauchbar, da das eigentliche Passwort mit einer weiteren Kombination von Zeichen kombiniert wird und so die Wahrscheinlichkeit für einen Treffer in den Tabellen sinkt (Rainbow-Tables werden ja vom Klartext-Wert ausgehend berechnet, wenn du also dem Passwort "ABCD", dass sofort geknackt wäre "%Äé++/adkwqrfpewof" voranstellst sinkt die Wk für einen Treffer bereits enorm).
Hallo dog,
Da dein Beitrag ansonsten ziemlich gut ist, denke ich, du hast 'asynchron' mit 'einweg' (Hash) verwechselt... (asynchron könnte man ja entschlüsseln)
Grüße, Steffen
MD5 ist ja eine asynchrone Verschlüsselungstechnik (sprich was
einmal verschlüsselt ist geht nicht wieder rückwärts) -
oder auch Hash-Algorithmus genannt.
einmal verschlüsselt ist geht nicht wieder rückwärts) -
oder auch Hash-Algorithmus genannt.
Da dein Beitrag ansonsten ziemlich gut ist, denke ich, du hast 'asynchron' mit 'einweg' (Hash) verwechselt... (asynchron könnte man ja entschlüsseln)
Grüße, Steffen
Du hast wie immer Recht - ich glaub die Passage streichen wir ganz
Fachliteratur sagt:
"Ein symmetrisches Verschlüsselungsverfahren nutzt zum Verschlüsseln und Entschlüsseln denselben Schlüssel"
"Bei asymmetrischen Verschlüsselungsverfahren unterscheiden sich die Schlüssel zum Chiffrieren und Dechiffrieren[...]auch oft als Public-Key-Verfahren bezeichnet".
Einwegverschlüsselung, also Hashes haben damit nichts zu tun
"Eine Hashfunktion versucht unter Informationsverlust einen möglichst eindeutigen Fingerabdruck der Eingabedaten zu erstellen[...]"
Grüße
Max
Fachliteratur sagt:
"Ein symmetrisches Verschlüsselungsverfahren nutzt zum Verschlüsseln und Entschlüsseln denselben Schlüssel"
"Bei asymmetrischen Verschlüsselungsverfahren unterscheiden sich die Schlüssel zum Chiffrieren und Dechiffrieren[...]auch oft als Public-Key-Verfahren bezeichnet".
Einwegverschlüsselung, also Hashes haben damit nichts zu tun
"Eine Hashfunktion versucht unter Informationsverlust einen möglichst eindeutigen Fingerabdruck der Eingabedaten zu erstellen[...]"
Grüße
Max
Hallo Michi262,
das Salz (in der Suppe) ist der nichtberechenbare Teil eines Hash, welcher so weder gleich bleibt, noch vorhersagbar ist (sein sollte).
Grüße, Steffen
das Salz (in der Suppe) ist der nichtberechenbare Teil eines Hash, welcher so weder gleich bleibt, noch vorhersagbar ist (sein sollte).
Grüße, Steffen