MD5 oder SHA?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • MD5 oder SHA?

    habt ihr infos darüber, um wieviel sicherer SHA is?

    bin am überlegen ob ich alles was ich verschlüsselt in meiner db hab statt md5 damit verschlüsseln soll
    wenn sich das von der sicherheit aber nich viel nimmt, spar ich mir den search&replace aufwand, vor allem da ich sha (bei mir) von php berechnen lassen muss
    Ich denke, also bin ich. - Einige sind trotzdem...

  • #2
    hm ich mein md5 wie willste das den knacken? ich wüsst nich direkt wie und die andere frage is, rentiert sich das für jemanden sich sonen aufwand für ein pw zu machen? also ich denk md5 sollte im web ausreichend sein... weil da gibt es irgendwo garantiert ne größere und leichter zugängliche lücke aufm server...
    Man lernt nie aus...

    ...und wenn man's doch tut braucht man sich auch nicht schämen!

    Kommentar


    • #3
      md5: 128 Bit
      SHA: 160 Bit

      MD5: durschnittlich 2^64 möglichkeiten, dann hab ich nen text, der den gleichen md5-wert ergibt

      SHA: 2^80 möglichkeiten, dann hab ich nen text, der den gleichen sha-wert ergibt

      folgerung: bei sha müssen durchschnittlich 2^16 möglichkeiten (65.536) mehr durchgegangenwerden

      faizt: sha lohnt sich

      frage: oder?
      Ich denke, also bin ich. - Einige sind trotzdem...

      Kommentar


      • #4
        öhm ja also... wenn dir 2^64 net genug sind scho...
        Man lernt nie aus...

        ...und wenn man's doch tut braucht man sich auch nicht schämen!

        Kommentar


        • #5
          MD5 ist nicht mehr unumstritten, denn es hat ein paar Schwächen. Sicherer ist in jedem Fall SHA-1, dort ist der Hashwert 160bit lang. Bei MD5 "nur" 128bit.
          Ich setze auch schon auf SHA-1, zumindest bei Neuentwicklungen. Und für PHP Versionen, die kein sha1() haben, gibt es ja eine PHP Implemtierung.
          Zuletzt geändert von Troublegum; 29.09.2003, 11:57.
          [color="#334D7B"]"Los, lass uns loslegen! Hm ? Quatschen können wir hinterher immer noch!"[/color]
          [color="#9C5245"]"Aber Bommel, wir können jetzt nicht bumsen. Wir müssen doch erst den Kindern - ... "[/color]
          [color="#334D7B"]"Ja ja ja. Du willst immer nur das Eine. Buchstabenzeigen, Buchstabenzeigen - meine Gefühle sind dir wohl scheißegal."[/color]

          © Harald Schmidt

          Kommentar


          • #6
            Original geschrieben von mrhappiness
            MD5: durschnittlich 2^64 möglichkeiten, dann hab ich nen text, der den gleichen md5-wert ergibt

            SHA: 2^80 möglichkeiten, dann hab ich nen text, der den gleichen sha-wert ergibt

            folgerung: bei sha müssen durchschnittlich 2^16 möglichkeiten (65.536) mehr durchgegangenwerden

            Wenn du wissen willst, wie viele Möglichkeiten es bei SHA mehr gibt als bei MD5, musst du die Differenz zwischen der Anzahl der Möglichkeiten bei SHA und der Anzahl der Möglichkeiten bei MD5 bilden:
            2^80 - 2^64 = 2^79,99997799
            das sind ungefähr 1.208.907.373.000.000.000.000.000 oder noch ungefährer 1,21*10^24
            du hast 2^(80-64) gerechnet, da kommst du auf 2^16, aber das ist gleichbedeutend mit 2^80 / 2^64

            oder hab ich jezz auch n Denkfehler drin ?
            hopka.net!

            Kommentar


            • #7
              ups, stimmt ja

              aber is ja noch besser, ich glaub, dann mach ich das auf jeden fall
              Ich denke, also bin ich. - Einige sind trotzdem...

              Kommentar


              • #8
                Soweit ich das gelesen habe sind doch beide keine "Verschlüsselungen" im eigentlichen Sinne sondern erstellen nur eine 128-Bit bzw 160-Bit lange Textprüfsumme ??! Oder?

                CRYPT_BLOWFISH () müsste doch auch schon besser sein als md5().

                Wenn ich sha1() nutzen würde, ist es dann nur für meinen Server wichtig das er das unterstützt?? Denn das gibts doch erst ab PHP 4.3.x

                Kurz Offtopic:
                Wie arbeiten denn Foren die per Email vergessene Passwörter zu senden (Hoffe doch kein Klartext) ? Crypt() ist Einweg. Wie sieht es bei anderen aus? Wie ist die Funktion zum entschlüsseln?

                Gruss
                Sayon
                Zuletzt geändert von Sayon; 05.10.2003, 11:02.

                Kommentar


                • #9
                  md5 und sha-1 sind au alle einweg!
                  diese foren schicken dir meist so eine alternativen login durch den du dann dein pw ändern kannst oder teilen dir ein neues zufälliges pw mit das in der email aber im klartext steht! muss ja!!!

                  und was willst du mit deiner textprüfsumme?!
                  Man lernt nie aus...

                  ...und wenn man's doch tut braucht man sich auch nicht schämen!

                  Kommentar


                  • #10
                    mit seiner textprüfsumme hat er schon recht md5 bw SHA 1 ergeben eine 32 bzw 40 stellen lange hexadezimalzahl = 16^32 bzw 16^40 oder wieder die bitumrechnung von oben. es wird eigentlich nichts andres gemacht als ein string umzurechenen. deshalb ist das alles auch einweg.

                    man sollte mal überlegen, wozu das alles sinn macht?

                    1. damit mann in einer datenbank nicht das passwort in klartext sieht (gut wenn mann als admin einen gewissen codec einhalten möchte und die privatsphäre anderer schätzt.)
                    2. das passwort, sofern nicht als https:// übermittlet wird doch erst vom server verschlüsselt und ist in der übermittlung als klartext enthalten. (auch hier könnte mann angreifen)

                    oder seh ich das falsch?

                    Kommentar


                    • #11
                      sicher, alles was zwischen client und server ist, ist angreifbar. aber da kannst du letztendlich nichts dran ändern. außer du verschlüsselst mittels JS oder so.

                      Aber in der DB ist MD5 oder seitdem es SHA-1 gibt, auch dieses Pflicht. Zumal es nun wirklich keine (kaum) arbeit macht. Und somit den Daten auf dem Server eine zusätzliche Sicherheit gibt. Wer weiß, was der Hoster abends macht, oder welches Kiddi sich da mal wieder zugang geschaffen hat.

                      Kommentar


                      • #12
                        hm jo das mit der datenbank is halt au so,

                        nehmen wir an es hackt mal einer deine db kanner die pws sehen udn du merkst es net... anders net

                        und au wenns https:// is, dann kann auf dem pc der users immer noch ein wurm liegen der alles was eingegeben wird abfängt... also ich mein 100%ige sicherheit gibt es nicht! es gibt immer noch den kleinen satz durch den man was knacken kann... das einzige ziel muss sein diesen satz so gering wie möglich zu drücken...
                        Man lernt nie aus...

                        ...und wenn man's doch tut braucht man sich auch nicht schämen!

                        Kommentar


                        • #13
                          Völlig richtig. Aber ich sag mal der Bereich auf dem Client unterliegt nicht deiner Verantwortung. Den kannst du also getrost außer Acht lassen. Um den Bereich auf deinem Server sollte man sich schon kümmern.

                          Kommentar

                          Lädt...
                          X