Opphenting og visning av md5-kryptert passord!

[o2mlab]

Et lite problem som definitivt bør fikses:

 

Jeg har på en side laget et system hvor personer kan registrere seg og få en personlig brukerprofil... under registrering og innlogging benytter jeg meg av md5-kryptering av passordet...

 

Men; naturlig nok skal brukeren kunne endre informasjonen sin, der også passord... Når jeg skal hente ut passordet fra databasen for å gi brukeren muligheten til å endre dette, vises jo da det krypterte passordet, som ligger i databasen. Hvordan dekrypterer jeg dette før det vises på brukerprofilen ved editering?

 

Jeg har prøvd å lete opp dette på nettet, men det viste seg å være mindre lett, og grunnet litt tidspress på en skoleoppgave hadde et kjapt svar gjort meg til en lettet mann!!

[phanti]

Selv om md5 krypteringen er blitt knekt (sier ryktene) så krypterer vi passordene med md5 fordi brukeren og KUN brukeren skal vite hva passordet er i klartekst. Det du som utvikler for brukerne dine bør tilrettelegge, er en mulighet til å sette et nytt passord, som igjen blir kryptert ved lagring.

[Torbjørn]

som phanti sier; brukeren skal ikke trenge å se sitt gamle passord for å endre det.

[o2mlab]

Okaj... Jeg så på det som en "billig" løsning i første omgang, men det gleder meg å se at det tydeligvis er en akseptert løsning på problemet!

 

Da takker jeg for svar, og en ekstra takk til Torbjørn som alltid har vært behjelpelig ved alle spørsmål jeg har stilt her inne!

[mikk-]

Hvis det hadde vært enkelt å dekryptere md5, hadde det ikke vært noe vits.

[jorgis]

Det er ikke vanskelig å knekke MD5 ved bruteforce, men det tar såpass mye tid at det er ikke hensiktsmessig.

[Torbjørn]

å snakke om "vanskelig" i den betydningen gir ikke helt mening

[genstian]

md5 er rimmelig trykt

men prøv sh1(md5($text));

da det er litt forvirende og få masse rare tegn etter dkryptering

[Gilbert]

Å salte et passord er vel en ganske sikker sak. Innebærer at man putter på litt ekstra på slutten av passordet.

[LoS]

Hvis jeg ikke roter helt nå så er brute-force ganske enkelt å teste massevis av kombinasjoner og sammenligne med en hash av det du kommer fram til hver gang med det hashede passordet du prøver å knekke.

Av den grunn kan du vel hashe hvor mye du bare vil med hva du bare vil, med mindre du lager en egen hash-funksjon ingen veit om, og det vil ikke være noe vanskeligere å brute-force hele greia enten du bruker md5, sha1 eller begge delene på likt. Er vel å 'salte' passordet på noen måte som blir det beste her. Korte passord er lette å knekke, lange passord tar veldig mye lenger tid.

[Gilbert]

Bruteforce md5() på 12 tegn ink spesialtegn må vel ta innmari med tid

[jorgis]

Bruteforce md5() på 12 tegn ink spesialtegn må vel ta innmari med tid

Regner med de fleste passord (f.eks. her på forumet) er under 8 bokstaver, og inneholder bare a-z i lowercase. Til og med ferdiglagde passord fra f.eks. ISP/webhotell er skjeldent lengre enn 8 bokstaver, men er da også med uppercase.

 

Var det ikke deg, torbjørn, som viste at du trengte rundt 4-5 sekunder for å knekke et md5-kryptert passord på fire lowercase bokstaver?

[Torbjørn]

errr... jo.. ligger en post et sted som det er opp til den aktive forumleser å lete opp

[jorgis]

her

[Torbjørn]

ugh.. nesten ett år siden.. tida flyr. ikke særlig elegant kode heller

[jorgis]

ugh.. nesten ett år siden.. tida flyr. ikke særlig elegant kode heller

Går det raskt og funker godt ser jeg ikke helt problemet. At den ser stygg ut er vel uansett bare et biprodukt av å gjøre det til et raskt script.

 

*teste*

 

EDIT: En litt modifisert versjon av scriptet (lagt til timer) bruker mellom 0.0004 (aaaa) sekunder og 5.9 sek (zzzz) på STW sine maskiner (vet ikke specs). Lokalt, på en P3 500MHz bruker den mellom 0.0004 sek og 28.5 sek. Temmelig upraktisk til bruk i et seriøst script, altså.

Endret 22. april 2005 av jorgis