Tweet
Ich generiere mir meine Passwörter immer mit 'nem Timestamp... So kann jedes Passwort nur einmal genutzt werden :>
(...)
(...)
PHP-Code:
$password = substr($password, 0, 8);
-
Naja, wenn du nur die ersten 8 zeichen des md5-hash nutzt, dann kann auch bei verschiedenen timestamps ein und dasselbe passwort entstehen... -
Ja, das kommt noch dazu. Und dabei wäre das nichtmal sein größtes Problem...Original geschrieben von PHP-Desaster
Naja, wenn du nur die ersten 8 zeichen des md5-hash nutzt, dann kann auch bei verschiedenen timestamps ein und dasselbe passwort entstehen...
Kommentar
-
Grr egal, ihr könnt mir GAR NIX! :>
Ich mach' das so wie ich es will und wenn ich es will, dann mach ich es anders. Oder wie auch immer. Denn:
Je mehr Käse man hat, desto mehr Löcher hat man. Und je mehr Löcher man hat, desto weniger Käse hat man. ALSO: Je mehr Käse man hat, desto weniger Käse hat man... Und wenn einem das erst einmal bewusst geworden ist, dann ist auch das Programmieren einfach nur ein Loch im Käse, das alles zusammenhält und doch auseinanderbricht oder wie auch immer. So tschö bis zum nächsten Post :>
mfg nOe
PS: har har"I am what I am and I do what I can..."
Meine HP -- Mein GPG-Key
Meine Projekte: WebStorage 2.0 -- easyAJAX-Chat 2.2.0 (beta)Kommentar
-
Natürlich machst du das so, wie du's willst... Wir haben dir nur ein paar gut, gut, wirklich gut gemeinte Hinweise gegeben...
Kommentar
-
Wenn jemand sein Passwort vergessen hat, generiere ein neues, und sende ihm dieses zu.OffTopic:
ot weil nicht wirklich ernst
Oder schreib dir ein BruteForce Script welches alle Möglichkeiten durchprobiert und brüh dir eine Riesenkanne Kaffee dazu.
Theoretisch könntest du nach 2^64 Versuchen bereits eine Kollision erzeugt haben
Gruss
tobiGutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Kommentar
-
War auch nur als Scherz gemeint, meine Aussage... Werde mir natürlich Gedanken zu machen. Deswegen sind wir ja wohl alle hier (mehr oder weniger)...Original geschrieben von Griecherus
Natürlich machst du das so, wie du's willst... Wir haben dir nur ein paar gut, gut, wirklich gut gemeinte Hinweise gegeben...
"I am what I am and I do what I can..."
Meine HP -- Mein GPG-Key
Meine Projekte: WebStorage 2.0 -- easyAJAX-Chat 2.2.0 (beta)Kommentar
-
Um mal auf deine random_factor * md5($string) - Idee zurück zu kommen:
Das "Problem" liegt nicht zwingend beim Hashen, sondern eher an der Tatsache, dass du mit dem timestamp ein relativ leicht rekonstruierbares Passwort hast - auch wenn du 1000 mal hashst. Habe ich den exakten Zeitpunkt, an dem das Passwort generiert wurde, muss ich jetzt nur noch dafür sorgen, dass mein Script herausfindet, wie oft der timestamp gehasht wurde. Auch wenn es 1000 mal gehasht wurde, bin ich nach spätestens 1000 Durchläufen erfolgreich (eben 1000 Möglichkeiten). Wenn dein Passwort jetzt aber aus beispielsweise 6 Zeichen (Groß-, Kleinbuchstaben und Zahlen) besteht, dazu gehasht wurde, gibt es 62 (26 Kleinbuchstaben, 26 Großbuchstaben, 10 Zahlen) hoch 6 (Passwortlänge) Möglichkeiten. Der Unterschied ist gravierend.Kommentar
-
warum nach so vielen?Original geschrieben von jahlives
OffTopic:
Theoretisch könntest du nach 2^64 Versuchen bereits eine Kollision erzeugt haben
Kommentar
-
Ich errinnere mich dunkel an ein chinesisches Team, dass beim md5 Algo nach so vielen Versuchen eine Kollision erzeugen konnte.original von penizilin
warum nach so vielen?
Einen Zufallstreffer kann der Topicstarter auch nach einem Versuch landen. Nur wird es dann wohl keine Kolision sein, sondern das wirkliche PW.
Gruss
tobiGutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Kommentar
-
das ist richtig, ich frage mich nur, warum ausgerechnet maximal _so_ viele?Kommentar
-
Weil sie es soweit ich mich erinnere bei 2^64 Versuchen reproduzierbar hingekriegt haben... Aber vllt täuscht mich auch meine Erinnerung (soll ja vorkommenoriginal von penizilin
das ist richtig, ich frage mich nur, warum ausgerechnet maximal _so_ viele?
)
Gruss
tobiGutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Kommentar
-
ich dachte, md5 wäre ein 128-bit hash und hat somit 2^128 mögliche werte. das kommt auch hin, wenn man die hexadezimale schreibweise betrachtet: 16^32 = (2^4)^32 = 2^128Kommentar
-
Die genauen Zahlen für md5 habe ich jetzt nicht gefunden, aber bei einem 160 Bit Hash sind nur ca 2^80 Versuche nötig
http://petritsch.co.at/download/Atta...f_MD5uSHA1.pdf und http://eprint.iacr.org/2004/199.pdf
Diese Verkürzung ergibt sich aus dem Geburtstagsparadoxon
Gruss
tobi
p.s. 2^128 Möglichkeiten sind für die reine Bruteforce Methode. Mit speziellen Algos kann das aber auf die obengenannten 2^80 für 160 Bit verringert werden.Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Kommentar
-
@penizilin
Vllt war die Formulierung maximal 2^64 Versuche etwas irreführend und sollte korrekt heissen: Bei 2^64 Versuchen liegt die Wahrscheinlichkeit einer Kollision bei 50 %. Also schlimstenfalls noch ein paar Versuche mehr
Gruss
tobiGutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Kommentar
Kommentar