Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 40
  1. #1
    Mitglied Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    7

    Standard Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Poul-Henning Kamp, der Entwickler des populären Hash-Algorithmus MD5, erklärte seine Software am gestrigen Donnerstag offiziell für veraltet. MD5 solle nicht mehr im professionellen Umfeld eingesetzt werden, da sie "nicht mehr als sicher zu betrachten" sei, so Kamp.

    zur News

  2. #2
    Mitglied
    Registriert seit
    Dec 2006
    Beiträge
    87
    Danksagungen
    0

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Nett wäre es gewesen, mal Alternativen zu nennen bzw. vorzustellen, anstatt nur eine entsprechende News rauszuhauen.

  3. #3
    Gesperrt Avatar von Fryhstyxei
    Registriert seit
    Dec 2007
    Ort
    NRW
    Beiträge
    1.219
    Danksagungen
    4

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung


  4. #4
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    428

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Die Frage lässt sich allgemein nicht beantworten. Zum kryptografisch sicheren Signieren von Nachrichten könnte etwa die SHA-2-Familie, ein SHA-3-Kandidat, Whirlpool, o.ä. verwendet werden. Zur Ableitung von Schlüsseln aus Passwörtern oder zum Erzeugen von Passwort-Hashes sind übliche Hash-Funktionen wenig geeignet, da sie zu effizient sind und daher auch effiziente Wörterbuch- oder gar Brute-Force-Angriffe erlauben. Hierzu könnte z.B. bcrypt eingesetzt werden. Zum Schutz vor zufälligen Bitfehlern in einer Datei ist keine kryptografische Hash-Funktion nötig, dazu reicht MD5 ebenso wie SHA-1, CRC, o.ä.

  5. #5
    Mitglied
    Registriert seit
    Dec 2006
    Beiträge
    87
    Danksagungen
    0

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Also aktuell am Besten SHA-512, bis SHA-3 rauskommt?!

  6. #6
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    428

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Wofür? Wie erwähnt lässt sich die Frage allgemein nicht beantworten. Zum Signieren von Nachrichten ist die SHA-2-Familie nach dem aktuellen Stand der Forschung keine schlechte Wahl, zumindest ist kein praktikabler Angriff bekannt.

  7. #7
    Mitglied
    Registriert seit
    Dec 2006
    Beiträge
    87
    Danksagungen
    0

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Zum Speichern von Passwörtern in der DB für Zugangsdaten zum Beispiel.

  8. #8
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    428

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Dann wäre wie erwähnt z.B. bcrypt oder auch crypt() mit einem sicheren Algorithmus und einer ausreichend hohen Iterationszahl eine gute Option, aus in http://codahale.com/how-to-safely-store-a-password/ beschriebenen Gründen.

  9. #9
    Mitglied Avatar von TRON2
    Registriert seit
    Jul 2009
    Beiträge
    6.529
    NewsPresso
    324 (Phänomen)
    Danksagungen
    13
    Goldmedaille
    1
    Bronzemedaille
    1

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Wer eine Tastatur mit Morseantenne (1,5m Kabel) oder gleich noch Wireless verwendet, braucht sich nicht wirklich Mühe für solche Details zu geben.

  10. #10
    Mitglied Avatar von Der_W
    Registriert seit
    Apr 2007
    Beiträge
    782
    Danksagungen
    5

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung


  11. #11
    Mitglied
    Registriert seit
    Mar 2012
    Beiträge
    62
    Danksagungen
    0

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Das wurde auch im Artikel erwähnt, nur jetzt hat es auch der Entwickler verkündet.

  12. #12
    Mitglied
    Registriert seit
    Jan 2009
    Beiträge
    84
    Danksagungen
    0

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Das größte Problem ist meiner Meinung nach nicht die Rechenleistung heutiger Computer.
    10 Stellige Passwörter wären wohl lang genug gäbe es da nicht die RainbowTables die wohl für jeden Algorithmus irgendwann den Todesstoß bedeuten. Aber mit salts sollte man auch mit md5 immer noch ganz gut leben können

  13. #13
    Mitglied Avatar von TRON2
    Registriert seit
    Jul 2009
    Beiträge
    6.529
    NewsPresso
    324 (Phänomen)
    Danksagungen
    13
    Goldmedaille
    1
    Bronzemedaille
    1

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Zitat Zitat von T_Zero Beitrag anzeigen
    Aber mit salts sollte man auch mit md5 immer noch ganz gut leben können
    Für den Home-Bereich vielleicht und für die Tüftler und Bastler. Hauptsache es sieht Kompliziert aus. Auf industrieller Ebene ist das aber ganz anders.

  14. #14
    Mitglied Avatar von deestruct
    Registriert seit
    Mar 2008
    Ort
    Brett mit Rollen
    Beiträge
    61
    Danksagungen
    0

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Darf ich mal fragen wieso MD5 unsicherer sein soll als andere Einweg-Verschlüsselungen?

    Meines Wissens kann man jeden Hash sowieso nur Bruteforcen oder ihn in einer Datenbank nachsehen?

    => Alle Hashes sind gleich unsicher dank Multi-GPU-Bruteforcing?

    Oder wie läuft das genau? o.O

  15. #15
    Mitglied Avatar von Der_W
    Registriert seit
    Apr 2007
    Beiträge
    782
    Danksagungen
    5

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Zitat Zitat von deestruct Beitrag anzeigen
    Darf ich mal fragen wieso MD5 unsicherer sein soll als andere Einweg-Verschlüsselungen?
    Weil es diverse Kollisionen gibt, mit denen man valide Hashes erzeugen kann. Steht auch im Wiki-Artikel.

    Salted ist das ganze, zumindest im Privatbereich, aber keine große Sache mehr.

  16. #16
    Gesperrt
    Registriert seit
    Dec 2007
    Ort
    /var/www
    Beiträge
    14.867
    Danksagungen
    9

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    In den meisten Fällen Blödsinn, die Lücken wurden schon vor über 8 Jahren gefunden und in der Zwischenzeit gabs noch kein Praxisbeispiel für eine Nutzung.

    Selbst im professionellen Bereich, nenn mir einen Praxisrelevanten Angriff. Aöllos einen der auch tatsächlich irgendwo funktioniert ohne das die Schwachstelle im lausigen Passwort liegt. Die Panikmache ist alt, nur vom öfteren wiederholen ist da nicht mehr dran. Dann machen sich noch ein paar wichtig indem sie von "Privat" und "Bastler" reden, wie immer.

    Denn selbst zum Nachrichten signieren reicht es noch wenn auch nur die ungefähre Länge bekannt ist, denn die weicht bei diesen Kollisionsberechnungen mit extrem hoher Wahrscheinlichkeit ab.
    Geändert von alter_Bekannter (10. 06. 2012 um 16:53 Uhr)

  17. #17
    Mitglied
    Registriert seit
    Jan 2009
    Beiträge
    52
    Danksagungen
    0

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Es kommt immer drauf an wozu man was benutzen will. Derartige verallgemeinungen sind bullshit.

    Ich empfehle diesen Text dazu:

    http://webdevrefinery.com/forums/top...e__hl__hashing

  18. #18
    Gesperrt Avatar von P7BB
    Registriert seit
    May 2009
    Beiträge
    2.543
    NewsPresso
    5 (Könner)
    Danksagungen
    49

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Ausgehend vom ASCII-Zeichensatz gilt für die Anzahl der Zeichen eines Kennworts, bis auf jeden Fall eine Kollision zuvor per Brute Force gefunden wird:
    16^32 = 128^x

    Nach x umgestellt:
    x = 32 * ln(16) / ln(128)
    x ist ungefähr 18,29 und aufgerundet dann 19.
    Das heißt, dass es für Kennwörter, die 19 Zeichen oder länger sind, sehr wahrscheinlich Kollisionen gibt, die bereits zuvor auftreten. Somit müssen Rainbow-Tables maximal Kennwörter mit bis zu 19 Zeichen beinhalten, um alle Hashes abzudecken. Okay, das sind immer noch 3,4 * 10^38 verschiedene Variationen (beim gesamten ASCII-Zeichensatz; nicht der Extended-ASCII-Zeichensatz!) und dauert entsprechend schon eine Weile, ist aber dank der aktuellen Rechenleistung und der Verbreitung von Botnets kein ernstzunehmendes Problem.

  19. #19
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    875
    Danksagungen
    0

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Zitat Zitat von Smarag Beitrag anzeigen
    Es kommt immer drauf an wozu man was benutzen will. Derartige verallgemeinungen sind bullshit.

    Ich empfehle diesen Text dazu:

    http://webdevrefinery.com/forums/top...e__hl__hashing
    Da stehen einige Dinge die sinnvoll sind, aber andere Erklärungen sind unlogisch.
    Z.B. dass es für die Sicherheit keine Rolle spielt, welchen Hashing Algorithmus man nimmt und Kollisionen erwünscht sind, Bruteforce so gut wie keinen Erfolg hat, kaskadierte Hashes nicht sicherer sind, dass es keine Attacken gegen md5 gibt, usw.

  20. #20
    Gesperrt
    Registriert seit
    Dec 2007
    Ort
    /var/www
    Beiträge
    14.867
    Danksagungen
    9

    Standard Re: Hash-Algorithmus MD5 zu unsicher für professionelle Nutzung

    Nix für ungut, aber das stimmt alles. Widerleg mal eins davon. Bis du das getan hast bist du nur ein Verschwörungstheoretiker unter Milliarden, ich kann mich nicht um jeden davon jedes mal einzeln kümmern.

    @P7BB
    Dann erklär doch mal in welchem Praxisbeispiel das ein Sicherheitsproblem ist. Ich sag dir dann warum nicht. Blind selbst erratenes widerlegen bringt keinen von uns beiden weiter.

  21.  
     
     
Seite 1 von 2 12 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •