Das Beispiel mit der Tür, ist doch schlecht, denn:
Im Gegensatz zu den Daten auf meinem PC, die nicht wertvoll sind, steht in meiner Wohnung mein PC der wertvoll ist.

Außerdem wie soll ein Hacker auf die Idee kommen bei mir einzubrechen? Es gibt so viele verschiedene IP-Adressen, er kann mich nicht finden.

Beim Haus ist es was anderes. Der Dieb muss nur einmal einen Spaziergang in seiner Umgebung machen, schon sieht er mögliches Diebesgut.

Ich bin überzeugt, dass ich eine Tür aber kein MD5 brauche.

Das mit bijektiv ist eine mathematische genauigkeit wie wärs mit:

Fall 1: x >= 0: x = +√y
Fall 2: x < 0: x = -√y

Es geht also, denn man kann Funktionen auch intervalweise umkehren, ableiten und integrieren.

du glaubsts einfach nicht, oder
dann kehr mir mal diese funktion um:
f(x) = x² mod x/2
sagte ich vorhger schon, es geht einfach nicht. obiges was du vollbracht hast war auch keine umkehrung...

http://www.acira.net/troll.gif

Sorry Arty aber ich glaube du hast den Sinn von Kryptographie und Datensicherheit absolut nicht verstanden.

Der Vorteil wenn ich mein Passwort mit MD5 abspeichern lasse ist folgender:

Ich habe für 2 Foren die Passwörter test_dp und test_df .. eins für die Delphi Praxis und eins fürs Delphi Forum.
Wenn der "Hacker" nun eines der Passwörter kennt kann er theoretisch das andere erraten, wenn er aber nur die beiden MD5 Strings hat, kann er solange rumcracken bis er beide hat, da es kaum möglich ist anhand des MD5 Strings das andere Passwort zu erraten...

In dem Sinne bin ich dafür den MD5 Algo auf JEDEN FALL beizubehalten... (Was auch nicht anders sein wird -g-)


Achja: Und ausserdem suchen Hacker nicht nach DIR sondern allgemein nach Rechnern wo was nettes drauf sein könnte...


Edit: Ihr braucht jetzt nicht anfangen und schauen ob die Passwörter wirklich gehen .. Das ist nurn Beispiel ^^

Ich hätte ja gerne zurückgetrollt, aber nunja... *plonk*

Und du glaubst wirklich, daß Informationen über dich nicht wertvoll sind? Dann horch dich mal um, was für ein Vermögen man mit sowas machen kann...
Dann kannst du auch sagen: "In ner Großstadt gibts so viele Häuser, da kann kein Dieb meine Wohnung finden. Aber um zu deiner Frage zurückzukommen: Genau auf dieselbe Art. Er macht nen Spaziergang durchs Netz und findet deine IP.
OK, das eine ist aber genau wie das andere zur Sicherheit da. Vielleicht war der Vergleich nicht besonders gut, aber ich hab mal was besseres.
Stell dir vor, du hast wieder ne Tür. Aber jetzt legst du den Schlüssel zu der Tür immer zB außen auf den Türrahmen. Damit hat man dann aber nun wirklich den perfekten Vergleich zum Passwort.
Was meinst du jetzt mit "mathematische Genauigkeit"? Du hattest gesagt, daß man zu jeder Funktion eine Umkehrfunktion finden kann, und das geht eben per Definition nicht! Das Beispiel, daß ich dir gegeben hatte war - wie auch gesagt - nur ein ganz einfaches. Du kannst es nicht generell "intervallweise" umkehren, denn dafür müßtest du erstmal durch probieren die jeweiligen Intervalle herausfinden. Hier ist das noch recht einfach möglich, aber jetzt bastel dir dochmal ne Funktion bei der unendlich viele x das selbe y ergeben. Dann man viel Spaß beim Ausprobieren.
Es ist immer möglich, alles zu knacken, hinter dem mathematische Logik steckt. Die Frage ist nur, wieviel Zeit dahinter steckt.

//Edit: Tagfehler verbessert

OK, ok, von mir aus Passwörter als MD5 (will es ja eh nicht verhindern), aber ich will mein Passwort (egal ob ich mich jetzt daran erinnere oder nicht) behalten; => man sollte wählen können wie es gespeichert werden soll (als MD5 oder ASCII)!
Alternativ könnte man sich eine Textdatei anlegen, wo eigene Passwörter gespeichert sind, aber wechselt man den Rechner ist die auch schon wieder weg. Kopiert man die Textdatei wird der Wartungsaufwand enorm. Deswegen Speicherung auf dem Server. Mit Erreichbarkeit über registrierte e-Mail Adresse.

Frage an die Administratoren: Wie seht ihr das? Denn falls ihr auch denkt, dass diese hohe Sicherheit unter allen Umständen sein muss und auch sicher nicht für Einzelne aufgelockert wird höre ich sofort auf die DP mit meiner Nörgelei zu belästigen.

Meflin: Y = 0 ist dein Beispiel; Die Umkehrung ist eine Relation: X = 0;
Und um ein Interval festzusellen, in dem ich eine Funktion umkehren kann muss ich doch nur Definitionslücken in der Funktion und die Monotonie feststellen.

MOD gibt nur den Rest bei einer ganzahligen Teilung zurück. Man kann sich leicht was ausdenken, das den gleichen Wert von MOD ergibt.

Egal ob es als MD5 oder ASCII gespeichert wird, du wirst es immer behalten koennen. Ich kann dir jetzt schon Daniels Antwort vorhersagen: das Passwort wird immer als MD5 gespeichert werden. Es geht nur darum, ob das Passwort im Klartext oder als MD5-Hash zum Server geschickt wird. Fuer dich als Endbenutzer aendert das nicht, du wirst wirklich nichts davon mitkriegen.
Und zur Idee, die Passwoerter in einer Textdatei auf dem Server zu speichern: vergiss es, etwas unsicheres gibt es gar nicht.

Die von dir "angekreideten" Dinge sind nur wichtig, wenn du mal dein Passwort vergisst. Mensch, schreib dir von mir aus dein Passwort auf eine Sticky-Note und klebs dir an den Rechner Ich fuer meinen Teil musste mir noch nie mein Passwort schicken lassen

Koenntest du (und alle anderen) diese Diskussion per PN fortfuehren? Das wird laecherlich

Greetz
alcaeus

Also in einem Punkt sind wir uns einig. Die Sicherheit unserer und Eurer Daten ist ein sehr wichtiges und sensibles Thema.

Serverseitig wird auf alle Fälle eines bleiben, wie es ist: Die Passworte werden ausschließlich als MD5-Hash abgespeichert. Es hat auch nie jemand darüber nachgedacht, dies zu ändern. Die Sicherheit, die MD5 hierbei bietet, ist für diesen Zweck allemal ausreichend. Es sind in diesem Thread Ideen gezeigt worden, die Sicherheit bei einer Neuanforderung eines Passwortes noch zu erhöhen - diese lasse ich mir durch den Kopf gehen und werde sie dann ggf. umsetzen. Es besteht jedoch kein akuter Handlungsbedarf.

Die mathematische Diskussion über Funktionen aller Art setzt Ihr bitte als PN fort.

Hi.

[ot] Es geht hier weder um umkehrbar, noch um eindeutig... Es geht darum, wie viele Möglichkeiten man (maximal) durchprobieren muss, um das Passwort, die Nullstelle, X, ... zu finden... In dem Fall f(x)=x^2 sind das gerade mal zwei. Da ist das egal, ob die Funktion eindeutig, oder umkehrbar ist. Nach maximal zwei, bei ASCII-Zeichen meist einem Versuch hat man das Ergebnis [/ot]

Back to Topic:

Bei MD5 sind es eindeutig zu viele Versuche und Möglichkeiten... MD5 ist sicher genug

Ich finde, das Passwort sollte keinesfalls im Klartext gespeichert werden, besser noch bereits beim Benutzer verschlüsselt werden, bevor es zum Server geschickt wird.

Für mich sieht der Ideale Passwortzuschickvorgang so aus:

1. Benutzer gibt Benutzername und E-Mailadresse ein (nicht gleich losbrüllen oder hauen, sondern bei 2. weiterlesen )

2. Wenn die eingegebene E-Mailadresse mit der in der Datenbank übereinstimmt, wird ein neues Passwort an die E-Mail-Adresse gesendet, die in der Datenbank steht.

3. Benutzer loggt sich mit neuem Passwort ein und darf nur sein Passwort ändern.

4. Benutzer loggt sich mit seinem in Schritt 3 eingestellten Passwort ein ( und ist endlich wieder mal in der DP )

Anmerkung: Ich schätze mal, die E-Mail-Adresse vergisst man nicht...

( Für den ABSOLUTEN SONDERFALL (!!!), dass ein Benutzer seine Mailadresse löscht UND sein Passwort vergisst, müsste man sich allerdings auch noch was einfallen lassen... )

@Arty: Ich stimme alcaeus zu... Schreib dir das Passwort auf nen Zettel und bewahr ihn irgendwo auf...

Ich werde es mir hinter die Ohren schreiben, damit ich es nicht mehr vergesse.
Und jetzt bin ich ja in der DP => Ende gut, Alles gut