MD5 Hash Entschüssler
 

Hallo

Soviel ich weiss, wird bei den meisten verschlüsselungsmethoden (auch MD5) ein sogenanter Hash String erstellt (korrigiert mich bitte wenn ich falsch liegen sollte)

Dieser schlüssel soll ja angeblich nur zur Kontrolle einer Übereinstimmung dienen (zb. in Foren etc..)
doch wenn dieser zur kontrolle dienen kann, müsste man das ganze doch auch umkehren können oder?

Also einen Hash to Password decoder müsste man ja reintheoretisch auch hinkriegen.


Was haltet ihr von dieser idee?

grüsschen
Claudio

Re: MD5 Hash Entschüssler
 

Nein das geht nicht. Genau so wenig wie man sagen kann von welcher Zahl das die Quersumme ist: 12

Re: MD5 Hash Entschüssler
 

aber weshalb wird dan der Hash in einem Normalen forum wie zb PHPbb zur Passwort kontrolle benutzt?

Weil so wie es scheint kann ein hash string ja nicht bei zwei unterschiedlichen wörtern identisch sein

also das gibts ja nicht:

Wort1: hello
Hash1: ioooo

Wort2: world
Hash2: ioooo

(frei erfundene hash's)


Also ich meine es kann ja nicht sein (wen der hash zur kontrolle benutzt wird) das er bei unterschiedlichen wörtern plötzlich mal das selbe ergibt

Re: MD5 Hash Entschüssler
 

Doch, genau das kann der Fall sein. Die Chance ein Wort mit einem identischen Hash zu erwischen ist jedoch sehr sehr gering. Theoretisch kann man sich mit mehreren Passworten in einem Forum beispielsweise anmelden, aber man bräuchte zu lange, um einen Hash zurückzurechnen und würde obendrein auch mehrere Lösungen erhalten.
Das Passwort ist als Hash gut geschützt, auch wenn sich jemand Zugang zur Datenbank verschaffen sollte und genau darum wird das so gemacht.

Re: MD5 Hash Entschüssler
 

Achsoo ok

Aus was besteht dan der Hash? weil Dynamisch kann er ja auch nicht sein weil ansonsten würde
bei einem forum das richtige passwort ja einmal angenommen und dan mal wieder nicht.

Re: MD5 Hash Entschüssler
 

Es handelt sich dabei um einen Algorithmus, mehr ist es nicht. Wie dieser bei MD5 aufgebaut ist, kannst du bei Wikipedia nachlesen. Dort findest du auch andere Hash-Verfahren. Möchtest du das in Delphi haben, kannst du dir die Sourcen des DEC ansehen.

Re: MD5 Hash Entschüssler
 

Also eigentlich wollte ich eben einen Hash Entschlüssler programmieren der eben aus dem Hash die möglichen wörter oder zeichen ausgibt

aber danke ich werds mir gleich mal ansehen

Re: MD5 Hash Entschüssler
 

Eine Hash-Funktion (z.B. MD5) bildet einen beliebig(!) langen Text auf eine fest vorgegebene Textlänge ab, z.B. auf 128bit = 16 Bytes.

Bei relativ kurzen Kennwörtern ist es noch nicht offensichtlich, aber wenn ich einen Hash über längere Texte bilde, wird eigentlich klar, dass es keine eindeutige Rückabbildung geben kann. Wenn 32 kByte Text auf 16 Bytes komprimiert werden, werde ich die ursprünglichen 32 kByte nie daraus rekonstruieren können. In der Mathematik nennt man dies eine injektive Abbildung.

Der Trick bei guten Hash-Funktionen ist es jetzt, dass man nur sehr schwer einen ähnlichen Text bilden kann, der auf genau den gleichen Hashwert kommt wie der ursprüngliche Text. Beispiel: Ich habe einen Vertrag, da steht ein Kaufpreis von 30.000 EUR. Von diesem Vertrag wurde ein Hashwert gebildet, um erkennen zu können, wenn jemand den Text ändert. Wenn ich jetzt aus den 30.000 EUR 10.000 EUR machen will (1 Bit geändert), kommt ein völlig neuer Hashwert heraus und es ist nahezu unmöglich, den Vertragstext soweit abzuändern (z.B. durch zusätzliche Leerzeichen etc.), dass ich wieder auf den ursprünglichen Hashwert komme.

Beim Abspeichern von Kennwörter in Datenbanken wird dieses Verfahren auch gerne verwendet, gerade auch um zu verhindern, dass man aus der Datenbank die Kennwörter ablesen kann.

Vielleicht hilft dieser kleine Ausflug, um das Problem zu verstehen ;-)

Gruß,
Michael

Re: MD5 Hash Entschüssler
 

Das ist nicht schwer, denn anders als mit Brute-Force kann man das nicht machen, denke ich. Du erzeugst deine Zeichenkombinationen mittels ein paar Schleifen, davon dann den MD5-Hash und den vergleichst du mit deinem vorgegebenen. Doch dabei handelt es sich nicht um Stunden, das kann auch Wochen und deutlich länger dauern, je nachdem, wie lange dein Passwort ist.
Ob ein zweistelliges Passwort den gleichen Hash besitzen kann wie ein 20-stelliges, weiß ich nicht, denke aber eher nicht. Aber falls Hagen (negaH) hier mitliest, kann er dir das sicher beantworten. ;)

Re: MD5 Hash Entschüssler
 

Doch genauso funktionieren Hash-Algorithmen. Mathematisch handelt es sich um eine eindeutige, aber nicht eineindeutige Abbildungsfunktion von einer Zeichenkette beliebiger Länge in eine mit bestimmter Länge.

Re: MD5 Hash Entschüssler
 

Meinst du eindeutig aber nicht eineindeutig?

Re: MD5 Hash Entschüssler
 

Ungeheuer Schade, dass ich mein Buch nicht mehr zur Hand habe. Irgendwo stand da drin, wie viele Milliarden Texte man ausprobieren muss um einen bestimmten Hash zu erwischen und wieviele Jahre das bei modernen Maschinen ungefähr braucht - und der Rechenweg freilich auch ;-)

Also lass es lieber gleich bleiben, Du hast die nötige Rechenpower für einen einigermassen Aussichtsreichen Brute-Force Angriff nicht.

Deutlichst einfacher ist es übrigens, zwei beliebige Texte zu nehmen und deren Hash's zu vergleichen. Da hat man um etliche Faktoren schneller zwei Texte, die den gleichen Hash liefern (Stichwort: Geburtstagsangriff).

Re: MD5 Hash Entschüssler
 

Moin Zusammen,

Wobei die nicht nur für Datenbanken gilt.

Gerade bei Passworten werden, beispielsweise, auch gerne Wörterbücher eingesetzt, um diese zu ermitteln. Das wäre dann nicht rein Brute-Force.
Ein Grund, warum man nicht gerade einfache Passworte verwenden sollte.

Sobald jemand Zugriff auf den Hash hat, und weiss, wie dieser gebildet wird, kann man daraus dann, bei einfachen Passworten, sehr schnell den Klartext ermitteln.
Deshalb sollte man auch lange Passworte mit Gross-/Kleinschreibung, Zahlen, Sonderzeichen verwenden, deren Buchstabenanteil möglichst kein echtes Wort darstellt.

Re: MD5 Hash Entschüssler
 

Das könnte evtl nüztlich sein ..

Keine Ahnung wie aktuell die Liste ist ..

Re: MD5 Hash Entschüssler
 

Offtopic: Kleiner Tip für relativ Sichere Passwörter:

• Präfix (irgendwas kurzes mit Gross- und kleinbuchstaben und ggf. ein paar Zahlen drin),
• Sonderzeichen
• Counter (Zahl, die hochgezählt wird für jedes neue Passwort)
• Sonderzeichen
• Postfix (wie Präfix irgendwas kurzes)

Für das Prä- und Postfix bieten sich wortschnipsel mit 7331-Speek an (z.B. P3t3r, H4l10 (man beachte die eins und das kleine l) etc.). So hat man bei Bedarf immer schnell ein neues Passwort zur Hand (Counter hochzählen) und das Ganze ist gegen Wörterbuchatacken ziemlich sicher. Freilich sollte man beim Prä- und Postfix etwas Kreativität walten lassen, denn der eigene Vorname ist da recht ungeschickt ;-)

Re: MD5 Hash Entschüssler
 

Moin Sebastian,

was ich allerdings nicht wirklich glaube, denn ich vermute mal stark, dass es durchaus Wörterbücher gibt, die auch 7331-Speek berücksichtigen (ebenso wie solche Dinge, wie @ ersetzt a, # ersetzt tt)

Re: MD5 Hash Entschüssler
 

Vielen dank für die vielen Beiträge

Ok ich sehe nun ein das es zwar nicht unmöglich ist einen hash wert zu rekonstruieren, es aber
wegen der dauer keinen sinn machen würde.

grüsschen
Claudio

Re: MD5 Hash Entschüssler
 

Selbst wenn es die gibt (okay, die könnte man recht schnell automatisch aus bestehenden Wörterbüchern erzeugen... stimmt), dann heisst das aber immernoch lange nicht, dass man auch Hashes da drin hat, die aus solchen Kombinationen mit mehreren Teilen bestehen bzw. generiert wurden. Kleine Änderung am Passwort -> große Änderung am Hash ;-)

Re: MD5 Hash Entschüssler
 

Moin Claudio,

was gerade bei Passwort-Hashs auch der Sinn der Sache ist.
Und da es eben nicht ganz unmöglich ist, sollte man sein Passwort auch öfter mal wechseln.