md5()

klopt niet.
de gebruiker moet een gecodeerd wachtwoord invoeren

voorbeeld is idd een beetje brak

heb het voor je veranderd websmile :)

Let op: een md5 string kan niet terug gecodeerd worden!

als je het op je site bedoelt klopt het...
je kan het namelijk wel met bijv. MDcrack terug coderen ;)

Je kan beter alleen de md5 string opslaan.
Is veiliger en bespaart je meerdere regels en werk.

mdcrack? hoe los je dat op? $mdtext = mdcrack($text); ??

Is dit een goed md5() geval:

WHERE gebruikersnaam = '$gebruikersnaam' AND wachtwoord = 'md5($wachtwoord)'

Is dit een goed md5() geval:

WHERE gebruikersnaam = '$gebruikersnaam' AND wachtwoord = 'md5($wachtwoord)'

Is dit een goed md5() geval:

WHERE gebruikersnaam = '$gebruikersnaam' AND wachtwoord = 'md5($wachtwoord)'

Hallo, alles wat uit 0-en en 1-en bestaat kan gecracked en gehacked worden. Je kunt gegevens niet gegarendeerd beveiligen.

wat heb je in godsnaam aan iets gecodeerd opslaan als je het niet terug kunt halen??

Voor de veiligheid!
Dat je niet zomaar iemand wachtwoord kan lezen ofzo.

@Micha: je kan je md5 beter cli?nt side coderen met javascript oid en vervolgens naar je query sturen en controleren met gegevens uit je database.

jah right, maar zowalsik al zei, heel leuk een wachtwoord gecodeerd opslaan, maar als je het daarna zelf ook niet meer kan lezen heb je er dus niets aan

nouw voor w8woorden is het heel handig hor, je slaat het w8woord gecodeerd op en dan met inloggen zeg je logisch tog??

doeii,
Johan

Tenzij je natuurlijk de wachtwoorden van je gebruikers wilt weten he :P

Ik zou anders n?t wel je wachtwoorden gecodeerd opslaan... Hallow....
Als ze je db hacken, zien ze alles? Zo moet het dus NIET....

Edit:
En so what als je het niet meer kan lezen? Daarvoor dient de 'Edit' functie...
Je kan je wachtwoord veld nog altijd resetten dan....

jongens luister is een md5 code kan je altijd terug halen ALTIJD als het moet kan het altijd kijk maar is bij google je vind van alles daar om de code terug te maken, groeten dj jns en veel plezier er mee

ok, bewijs maar eens:
e9d8526e436ece2d35daa96d064d4363

Ja.. je kan md5 brute forcen, het kost ws, of heel lang of je pc. Ik vind md5 veilig genoeg. stel dat iemand je db hackt dan is tie nog per wachtwoord een week of 2 bezig. en tegen die tijd mag je het toch wel door gehad hebben. en als ze je db hacken kunnen ze altijd het wachtwoord veld aanpassen. dus dit is echt wel veilig genoeg :)

md5 is met goed gebruik redelijk veilig. Je moet alleen wel zorgen dat wachtwoorden voldoende lengte hebben. Een wachtwoord van slechts 4 posities is binnen een seconde gekraakt, eentje van 6 posities duurt bij mij zo'n 8 minuten.

Hierbij ga ik uit van de code md5($wachtwoord)

Een betere oplossing is het volgende:
$geheimestring = "Een heleboel onzin om de md5 goed te versleutelen #%&8475.,";

md5($wachtwoord.$geheimestring);

Wanneer je nu bruteforce loslaat op een hash, ben je dagen, weken, misschien wel maanden bezig om deze te kraken.

Uiteraard zet je de $geheimestring buiten de webdirectory...

Een dubbele md5 is ook een oplossing...



Een string van 32 tekens is niet zo snel gecracked.. en dan moeten ze nog een keer :>

Maar voor normale systemen waarin je geen speciale info bewaard en het dus niet echt nuttig is om te hacken is gewoon md5() genoeg lijkt mij :)

Frank? Zo snel te kraken... 4 tekens binnen een seconde en 6 tekens in 8 minuten? Lijkt me sterk, maar goed.. we gaan de uitdaging aan. Hier mijn strings en graag de uitvoer met starttijd en eindtijd... :)

4 tekens
db47018d8c5775434c9b8d2c2301d139

6 tekens
d7cfb8efedf7073bf627e2afb6b5d358

Elwin

4 tekens
db47018d8c5775434c9b8d2c2301d139

Dit moet zijn: S0ny
Duurde 1 a 2 seconden. Iets langer dan ik eerder had aangegeven, je hebt namelijk zowel hoofdletters als kleine letters gebruikt. Dat maakt een wachtwoord sterker.

Het andere wachtwoord komt eraan, maar wanneer je daar ook hoofd- en kleine letters hebt gebruikt, gaat het langer duren.

Je hoort van mij!

Edit: De uitdaging van die 8 minuten gaat met het wachtwoord van 6 tekens dat jij hebt opgegeven niet lukken.... Volgens de tool gaat het nog zeker 4 uur duren en dan heb ik nog geen zekerheid. Mocht je ook nog vreemde tekens als &$# gebruikt hebben, moet ik nog een rondje draaien.

Het wachtwoord van 4 tekens is wel gelukt en ik hoop dat je daarmee wel begrijpt dat het belangrijk is om lange strings te gebruiken met zoveel mogelijk tekens. Het probleem is alleen dat bezoekers altijd eenvoudige en te korte wachtwoorden opgeven.

Ps. de tool die ik gebruik kun je downloaden op http://www.oxid.it/cain.html

Wanneer gaan we het nu eens leren... Dit moet 'S0ny' NIET zijn, dit KAN 'S0ny' zijn... De kans dat je hetzelfde wachtwoord hebt, is klein... Dezelfde hash lijkt me eerder...

@Rafael
Sorry, je hebt gelijk. De hash is in elk geval gelijk, laten we de reactie van Elwin even afwachten.

Sorry, was vanmiddag weg... en S0ny is goed... :) Tering.

En die van 6 tekens is eigenlijk 5 tekens (niet expres gedaan, had haast toen ik wegging), maar een goede tool moet daarmee om gaan. Ben benieuwd.

Elwin

En mensen mij voor gek verklaren toen ik zei dat md5 niet waterdicht is.

Niet waterdicht is veel gezegd...
Je kan alles omzeilen, niets is onfaalbaar...

@Elwin:
Ik had je nog een wachtwoord beloofd: v3nu$

Dit is wat Cain er van maakt. Het duurde in dit geval zo'n 20 minuten, ik heb het niet goed bijgehouden, te veel afleiding.

Het wachtwoord is kort, dat is de zwakte, maar je maakt wel gebruik van diverse soorten tekens. Dat maakt het weer ietsje sterker. Wanneer je Cain start, wordt er ook een tijd geschat hoelang het duurt voordat deze gekraakt is, in dit geval (lengte 5 tekens) en maximale sterkte, was dat zo'n 30 minuten. Je kunt in de tool aangeven welke tekens gebruikt mogen worden om de hash te kraken en welke lengte (min/max) het wachtwoord heeft. In alle gevallen heb ik jouw informatie over de lengte van het wachtwoord gebruikt. Wanneer je geen idee hebt over de lengte en sterkte van een wachtwoord en je moet alle opties langslopen, dan kan het jaren duren voordat je het wachtwoord gekraakt hebt.

In principe draait het om de lengte en de sterkte van een wachtwoord, maar je moet de rekenkracht van hackingtools niet vergeten. Volgens mij maakt de gebruikte hashingmethode niet zo heel erg veel uit (md5, sha1, etc), maar de specialisten kunnen hier meer over vertellen.

ook even leuk, past mooi bij het onderwerp
artikel over quantumcomputer hccnet
PS: mijn md5 repliceer je nooit een keer ^^,

@Frank
Weer helemaal correct! :)

Had wel verwacht dat het iets meer tijd zou kosten, maar inderdaad kan je de mogelijheden (combinaties) goed beperken als je weet dat het 5 tekens zijn... :)

Elwin

Ok?... in navolging van bovenstaande reacties over dat de complexheid van een wachtwoord goed moet zijn heb ik een functie geschreven die daarbij helpt.

Elwin

Ik heb Cain gedownload maar ik zie totaal over het hoofd waar je een md5 wachtwoord in kunt voeren om te "cracken". Bij alles wat ik doe krijg ik alleen maar een netwerkinterface instellingen scherm.

Bij voorbaat dank voor de hulp.


Rank

@Rank:
Ga naar het tabblad Crack, aan de linkerzijde krijg je dan diverse versleutel-methodes te zien, waaronder MD5-hashes. Klik hierop en linksboven wordt een grote blauwe + zichtbaar. Wanneer je daarop klikt krijg je een popup waar je de md5-hash kunt invoeren. De hash wordt dan in een lijst gezet. Met de rechter muisknop kun je dan de gewenste hack-aanpak selecteren. De rest spreekt voor zich.

Ik gebruik overigens versie 2.65

Mijn php script deed 181 seconden over 13113408 pogingen om S0ny te 'raden'.:)

jep stoer, doe de string zzzzzzzzzzzzzzzzzzzzzzz eens. Je bent dagen bezig ..

ik dacht hier ergens iets gezien te hebben over dat md5 ( 36 * 32 ) verschillende reeksen aankan...

dit is dus ONZIN: het is 32 ^ 36 (32 tot de 36e macht) = +- 1,5324955408658888583583470271503e+54

dit, omdat je voor ieder karakter in de md5 hash weer een ander karakter anders kan zijn, dus niet * maar ^

@JeXuS
Ik weet niet waar je nu die 36 vandaan haalt, maar dat is ook bull-shit. Zoals al eerder op deze site vermeld (weet helaas alleen niet waar) en zoals ook in de omschrijving van md5() op PHP.net is een md5-string een hexadecimaal nummer. En laat hexa dan voor 16 staan en niet 36.

De tekens in een hexadecimale string kunnen alleen de volgende zijn: 0 1 2 3 4 5 6 7 8 9 A B C D E F.

Elwin

@franks md5 hacks: hoe doe je dat? Kan dat ook op een Mac? Ik wil het wel eens met eigen ogen zien...

md5 hacken?
md5 hacken?

hoe haal je je wachtwoord weer uit md5??

Dus invoer: mijnww
MD5: klh235lkjh2
Automatisch weer terughalen: (moet op "mijnww" uitkomen)

@ Arjan: een MD5 string is altijd 32 tekens lang. Terughalen gaat niet. Je kunt wel een bruteforce script schrijven dat alle mogelijke tekens probeert.

@Arjan

Om terug te halen kan je altijd een apparte tabel maken waarin die voor een bepaalde user het wachtwoord ongecodeerd (of met een eigen coderings script, die je zo omgedraaid kan laten terugwerken) opslaan voor wanneer een gebruiker zijn wachtwoord is vergeten. (vergeet dan niet om dat deel goed te beveiligen bijvoorbeeld met een geheime vraag script, en sla dan het antwoord wel weer gecodeerd op)

Hmm, hoe moet je bijv. bij een inlogscript de wachtwoorden vergelijken dan?
dus:
$_POST['wachtwoord'] == 'mijnPass';
$database_pass = een md5 hash;
hoe kun je deze vergelijken, of moet je ze gewoon allebij naar md5 omzetten dat ie ze dan wel kan vergelijken?

Groet,

Barry

Barry, ja.. eerst allebij naar md5, dan vergelijken.

Dus bijvoorbeeld zo:

OK, thnx voor je reactie, dat is wat ik wou weten!

Dus als ik het zo doe moet het ook werken:
sha1(md5($pass)) == database pass die ook op die manier eringezet is
toch?

Groet,

Barry

ja als maar steeds dezelfde manier van hashen (niet coderen) gebruikt.

ok, dankjewel allemaal!

is dit serieus een tutorial?? Op php.net staat nog meer!!

als ik het goed begrijp kan ik een database connect dus beter niet in het script zelf zetten.
nu is mijn vraag, is includen dan veiliger? want dan staat het in feiten toch ook in het script. of kan het ook op volgende manier?

$mysql_select_db ="map_x/connect.php ";

if (!mysql_select_db($dbdb, mysql_connect($host, $user, $dbpass)))
{
echo "Verbinding met de database mislukt.";
exit();

En md5. ik begrijp dat het een wachtwoorden en dergelijken omzet naar een andere code, maar blijft de invoer dan wel hetzelfde?
en hoef ik het alleen zo als onderstaand voorbeeld te doen?

}
elseif ($_POST['pass'])
{
if (md5($_POST['pass'] == "wachtwoord")
{
?>

Hoi hoi, nog even als aanvulling..

Ik was zelf met een scriptje bezig, maar de vergelijking deed het steeds niet. Nou kwam ik er toevallig achter door even een echo ($encrypted_password) te gebruiken, dat het niet gelezen kon worden omdat het wachtwoord na encryptie het maximale toegestane karakter in de database overschreed XD

Had ik helemaal niet bij stilgestaan :D mochten mensen daar tegenaan lopen, hou daar ff rekening mee.

Na aanpassing werkt het perfect!

Groetjes

N?g beter kun je MD5 n??t alleen gebruiken! MD5 is nl. al gekraakt.

Aanbevolen wordt;

@ wout

md5 is niet 'gekraakt' md5 valt te brute force.
jou code is ook te achterhalen.
zo ie zo zou ik jou code niet gebruiken omdat je sha1 als laatste doet en dat geeft en overbodige lange string.

en als je wachtwoorden beter wil beveiligen gebruik dan en salt
try this:

Wedde dat je MD5 niet kan decoderen?

Stel, ik heb een wachtwoord van 1000 tekens en daar gooi ik een MD5 functie overheen. Zn output is 32 HEX tekens. Dat is 32x4=128 bits. 128 bits kan maximaal 8 bytes aan data bevatten, en dus maar 8 tekens.

hoe kan je alle 1000 tekens - dus 1000 bytes - kwijt in 8 bytes en vervolgens nog weten wat de originele 1000 bytes waren?

dat is onmogelijk.

MD5 is simpel te vergelijken met de volgende functie:



deze functie voegt per teken om-en-om de ASCII-waarde van iedere letter bij de 'output' door ' ASCII-waarde + OUTPUT ' en 'ASCII-waarde - OUTPUT' om-en-om uit te voeren.

daaruit komt een getal. Dat getal is te vergelijken met een MD5's output: je kan de som niet terug vinden. Je weet niet of er eerst +40 gedaan is en daarna - 30, of dat er eerst +42 gedaan is en daarna -32. Beide hebben dezelfde output, maar een andere input.

De output van MD5 kan dus komen met meerdere 'inputs'. Er zijn in totaal 2^128 = 340.282.366.900.000.000.000.000.000.000.000.000.000 MD5 strings. Veel h?? :P

wede dat er GEEN 1 !
gebruiker in jou klanten bestand zit die en wachtwoord heeft die ook maar in de buurt komt van 1000 tekens.

maar je hebt wel gelijk in het fijt dat er na en aantal getallen het niet meer te achterhalen is.

het probleem is alleen dat de meesten mensen de wachtwoord te makkelijk zijn

@rvw:
nee, klopt. Maar het was maar een voorbeeld: MD5 is geen compressor met een vinger-afdruk-generator. Je kan niet aan een vinger afdruk zien hoe de originele persoon eruit ziet als politie, dan moet het gevonden vinger afdruk in hun bestand staan. Er is geen 'vinger-afdruk-decoder' voor de politie, en zo is er ook geen vinger-afdruk-decoder voor MD5-vingers. En wat boeit het...

ik ga pas van MD5 af als IEMAND mijn wachtwoord kan kraken!

DIT is mijn ECHTE wachtwoord, gebruikt voor msn, login voor mijn FTP en phpmyadmin en nog veel meer

9412301d3f4e7888557c27db773c0cf9

veel succes met decoderen!

het wachtwoord is 6 tekens lang en is gecodeerd met een enkele MD5 functie in PHP. mijn wachtwoord bevat enkel tekens van 0-9 en a-f. wachtwoord is ooit aangemaakt door een md5 functie met als input een time() functie en die heb ik ingekort met substr(md5(),0,6)

ik zie wel wanneer mijn msn gehackt wordt.
het bijbehoren e-mail adres is tobyhinloopen _ 2 [atje] hotmail.com

:) wel stoer van je dat je dit aan durft !
ik laat het je wel weten of ik er ?berhaupt door heen kom.

@rvw:
das niet stoer
ik weet gewoon 100% zeker dat het vrijwel onmogelijk is om een MD5 te decoderen.

En ik weet het 100% zker dat je het kan decoderen
Of tewel Md5 decrypt

Ooit eens een bruteforse scriptje gemaakt en dit is het resultaat:



2x uitgevoerd om eventuele dubbele hashes te vermijden..

hipska.

heb je dat script toevallig in het script lib staan ?

@toby

wel stoer dus.
pussy..

Nee niet stoer, hij gaf gewoon een verkeerd wachtwoord op. Voor de lol even geprobeerd in te loggen, maar het ging niet.

ik ben niet eens gaan kijken het zal me en zorg zijn.
had het alleen wel focking stupide gevonden van hem als hij het echt gedaan had.

maar heb je dat script ergens staan ? :)

tuurlijk is dat md5 van mn msn niet :P die ga ik hier ff posten :P

(sorry daarvoor :P)

buiten dat, goed dat ik weet dat het te ontcijferen valt.

nou wil ik nog 1 ding weten: wat nou als het wachtwoord langer is dan 32 tekens? kan je em dan nog steeds 'raden'?

langer als 10 word en beetje en probleem.

toby: als je heel erg veel geduld hebt, en een server op overschot kan dit ook ;-) Dit laat ik mijn laptop niet doen..

rvw: ik dacht het hier ooit ergens gepost te hebben (forum of scripts)

Tips voor mensen die veilig een wachtwoord willen coderen:

- Laat de user tenminste 2 cijfers, 2 tekens, en 2 symbolen gebruiken met een minimale lengte van 8
- Codeer het wachtwoord al volgt: md5(md5('wachtwoord'))

Gebruiker moet altijd een eigen wachtwoord kunnen kiezen. Het wachtwoord aanvullen met een ingewikkelde salt is voldoende. Tweemaal hashen is onzinnig. Gebruik bijvoorbeeld voor een ingewikkelder en langere sleutel sha1.

Nee Onveilig. Dit is een goede methode:

sha1($salt . $pass . $pepper)

Wat is onveilig? Een $salt volstaat.
Een $salt.$pass.$pepper.$sugar.$nootmuskaat.
$pass.$paprikapoeder.$parmezaansekaas is nog veiliger maar niet zinvol.

Leuk om te zien dat het - nou niet echt geweldig te noemen- artikeltje dat ik 8 jaar (!) geleden heb getypt nog steeds aanwezig is op deze site.

Zoals al aangegeven in de reacties hierboven is md5 niet de veiligste methode die php te bieden heeft. Als je op zoek bent naar een veiligere encryptie is sha1 met een salt inderdaad beter.

Even voor de duidelijkheid.
Een md5 wachtwoord kan je niet terugcoderen of zoiets, die tools op google hebben vaak een database met wachtwoorden die van te voren zijn ingevuld. Je kunt een md5 wachtwoord wel bruteforcen of met hulp van rainbow tables. Sha1 is alleen beter beveiligd (ookal kun je dit ook gewoon bruteforcen).

MD5 BRUTEFORCER OUTPUT:

Found string: S0ny
In md5: db47018d8c5775434c9b8d2c2301d139

Time: 27.242166996 seconds.
Calculations: 11147315
Calculations per second: 409192.89

Ik heb trouwens niet nodig hoeveel tekens het moet zijn. Dat maakt niet uit namelijk.

Niels, hoezo dit als 'verouderd' aanmerken?
Met een salt van een karakter of 40 is er echt niets mis met md5 hoor...