MD5 Hash

[Jim]

Mijn vraag is, waarom kan een MD5 Hash gecreeerd worden maar niet worden ontcijferd
Want er staat een maker op deze site en ik denk wat je kan coderen kan je ook decoderen.

[ElbertF]

Zoals ik je zojuist elders vertelde:

Omdat er informatie verloren gaat bij het coderen. Op die manier kunnen verschillende wachtwoorden op dezelfde hash uitkomen en kun je dus nooit met zekerheid zeggen wat het origineel was.

Neem bijv. het volgende algoritme:

"De letters a t/m e worden 1. De letters f t/m j worden 2."

"abdfe" wordt dan "11121". Kun jij deze uitkomst terug herleiden tot "abdfe"? Het kan ook "edcia" zijn, of "caagb" etc., je kan onmogelijk nagaan wat de invoer was. "abdfe" zal echter altijd op "11121" uitkomen, vandaar dat je dus wel kan controleren of bijv. een ingevoerd wachtwoord klopt met de hash in de database.

In theorie kun je dus ook met een ander wachtwoord inloggen, maar de kans dat je een alternatief vindt is verwaarloosbaar klein met grote hashes. Als de hash langer is dan het wachtwoord (meestal) is de kans groter dat je het originele wachtwoord raadt.

[Jim]

Bedankt voor de grote uitleg.
Maar je kan nooit terughalen wat de invoer is, dat klopt.
Alleen zoals je zelf zegt. Kan je ook inloggen met een ander wachtwoord dan van dezelfde hash dus dan is het toch te kraken als je eenmaal weet hoe hashes gecodeert worden, toch?

[ElbertF]

De enige manier om te kraken (en dat is iets anders dan omkeren), is door alle combinaties uit te proberen (wat maanden kan duren met een snelle computer) of als je de hash hebt middels een database van hashes van veelgebruikte wachtwoorden. Maar zelfs als iemand zichzelf toegang weet te verschaffen kun je dus niet met zekerheid zeggen dat dat ook het wachtwoord is dat je hebt ingesteld.

Vaak wordt inplaats van een willekeurige tekencombinatie een woordenboek doorgelopen omdat veel mensen gewoon woorden gebruiken als wachtwoord. Je kan het beste een wachtwoord nemen van minimaal acht letters, cijfers en leestekens.

[Johan]

Mijne heeft ... tekens, en bevat letters en cijfers

[ElbertF]

Dat is ook onverstandig om te zeggen, want nu zou ik alle combinaties van [..] tekens kunnen uitproberen en dat scheelt me weer vele miljarden mogelijkheden.

Voor sommige belangrijke zaken gebruik ik wachtwoorden van meer dan 30 willekeurige leestekens, lang leve de password manager. Ik heb trouwens op elke website een uniek wachtwoord, zodat krakers niet meteen overal in kunnen als ze er één weten.

[Johan]

Aangepast

Ik ook maar dan.

- ElbertF

[Johan]

Voor sommige belangrijke zaken gebruik ik wachtwoorden van meer dan 30 willekeurige leestekens,

30?

Ik heb trouwens op elke website een uniek wachtwoord, zodat krakers niet meteen overal in kunnen als ze er één weten.

Zooohee.. jij elke keer zoeken naar dat ene wachtwoord

[ElbertF]

Nee hoor, ik zit overal zo in. Soms is 't even nadenken als ik ergens een tijd niet ben geweest.

[Johan]

Nee hoor, ik zit overal zo in. Soms is 't even nadenken als ik ergens een tijd niet ben geweest.

Hehe.. zie het al voor me, jij alle wachtwoorden die je kent proberen

[ElbertF]

Ezelsbruggetjes.

[Jim]

Oke, en ik was even kwijt welke hash funcite phpBB 2 gebruikt.

[Salomon]

md5

[svenn]

volgens mij zijn er geen 30 tekens die op je toetsenbord staan laat staan leestekens, dat maakt het even makkelijk voor brute'forcers. Overigens zijn er heel wat mensen die huge indexen hebben gemaakt, dus als je een woord als paswoord hebt is het meestal in enkele uren gebroken. Gelukkig zitten de hashes in een database waarvoor je ook een paswoord nodig hebt

[mosymuis]

Overigens zijn er heel wat mensen die huge indexen hebben gemaakt, dus als je een woord als paswoord hebt is het meestal in enkele uren gebroken.

Dat klopt, mits je wachtwoord direct gecodeerd is. Moderne systemen, waaronder phpBB3, voorzien het wachtwoord van een salt (toevoeging), waardoor de tables (zoals die van rainbow) nutteloos worden. Bruteforcen is dan nog de enige optie.

Gelukkig zitten de hashes in een database waarvoor je ook een paswoord nodig hebt

Als de forumbeheerders van de boards waar je lid bent hun verantwoordelijkheid tot updaten niet tot zich nemen ligt je wachtwoord hash zo op straat.

[Jim]

md5

Oeps, haha
Ik bedoelde phpBB 3

[Salomon]

phpBB3 ook

[mosymuis]

phpBB3 ook

In de nieuwe hashing techniek van phpBB3 wordt onder andere MD5 gebruikt. Bekijk de fuctie phpbb_hash() maar eens (includes/functions.php)

[Jim]

phpBB3 ook

In de nieuwe hashing techniek van phpBB3 wordt onder andere MD5 gebruikt. Bekijk de fuctie phpbb_hash() maar eens (includes/functions.php)

En er is op de site geen WW maker voor phpBB 3

EDIT: In de code snap ik er barweinig van. Kan iemand me de phpBB 3 techniek uitleggen.

[ElbertF]

Die hebben we wel op een andere site, stuur me maar een PBtje.