[Leo]

wofür braucht man zbsp. md5?
Schon klar das es Verschlüsselt wird aber was nützt diese Funktion wenn ich es nicht entschlüsseln kann?
Ein Beispiel:
Passwörter in Datenbanken speichern un damit nicht direkt für Otto-Normal user es rausfindet auch entschlüsseln damit man sich einloggen kann!
Also wofür ist die jetzt da?
Oda gibt es andere Funktionen, die sowas erreichen?

[_root]

md5 verschlüsselt hauptsächlich passwörter. md5 erzeugt immer einen genau gleichen output wenn sich der String nicht unterscheidet.

Sprich du gibst dein Passwort ein das wird verschlüsselt und abgespeichert. Beim Login gibst Du dein Passwort ein das wird verschlüsselt, nun vergleichst du ob die beiden verschlüsselten passwörter genau gleich sind, wenn ja zugriff erlaubt. Sprich das Passwort ist nicht mehr rekonstruierbar. Falls ein User sein md5 Passwort verliert gibt es einzig und alleine die möglichkeit ein neues zu generieren. Anders wäre es da mit einer anderen verschlüsselung die kann man unter umständen entschlüsseln und das Passwort erneut zusenden.

verständlich?

edit:
du vermeidest damit auch probleme, von wegen gängige passwörter herausfinden was einem unerumständen unterstellt werden kann. Es erhöht die Sicherheit von Useraccoounts.

[Jojo]

Also zuerst einmal:
md5 ist keine Verschlüsselung.
Eine Verschlüsselung ist wie der Name schon sagt eine Maskierung mittels eines Schlüssels. Das bedeutet aber auch, dass man einen verschlüsselten String wieder mittels des Schlüssels entschlüsseln kann.

md5 ist eigentlich dafür gedacht, von einer Zeichenkette einen sog. Hash-Wert zu bilden.
Das ist ein eindeutiger Wert, der je nach Zeichenkette unterschiedlich ist. Damit kann man z.B. nach dem Downloaden von Dateien feststellen, ob die Datei beim Runterladen beschädigt wurde, wenn man den original-Hash-Wert zur Verfügung hat.

md5() wird aber auch gerne bei Benutzerverwaltungen eingesetzt, weil er sich nur per Brute-Force "wiederherstellen" lässt.

Wenn du sowas realisieren willst, würde ich dir raten, das Klartextpasswort als md5()-Hash-Wert in der Datenbank zu speichern und dann beim Eingeben des Passwortes ebenfalls aus dem den md5-Wert zu bilden.
Dann hast du zwei Hash-Werte. Wenn sie übereinstimmen, hat der User das richtige Passwort eingegeben.

Grüße,
Jojo

[Leo]

ah verstanden!!!!!
thx

[Ben]

Hallo,

Zitat:

Zitat von Leo

Passwörter in Datenbanken speichern

hier möchte ich noch hinzufügen - weil das ja häufiger mal in diversen Foren gefragt wird -, dass man Passwörter, die mittels md5 "verschlüsselt" (wie nennt man das denn eigentlich richtig?) wurden, genau aus diesem Grund, weil es eben keine Verschlüsselung, sondern ein Hash ist, nicht wiederherstellen kann.

Wenn ein User also sein Passwort vergisst und ein Neues anfordert, dann kann nicht das eigentliche Passwort per Mail verschickt werden, sondern es muss ein zufälliges Passwort erstellt und an den Vergesslichen weitergeleitet werden.

Das nur noch als Ergänzung dazu, falls es da noch Missverständnispotential gab .

Zitat:

Zitat von Leo

gibt es andere Funktionen, die sowas erreichen?

Die Frage verstehe ich nicht so ganz. Was genau "erreichen"?
Es gibt z.B. crpyt(). Die Funktion verschlüsselt tatsächlich

Zitat:

crypt() einen String zurück, der unter Verwendung des Unix-Standard-Verschlüsselungsalgorithmus DES erstellt wurde.

.

Mit sha1() habe ich mich noch nie befasst. Sollte aber auch so etwas in der Art sein. (Achtung: Halbwissen!)

Grüße, Ben.

[Waq]

Zitat:

Zitat von Ben

mittels md5 "verschlüsselt" (wie nennt man das denn eigentlich richtig?)

"gehasht"
Un-Denglisches Wort ist mir nicht bekannt.

Zitat:

Zitat von Ben

Es gibt z.B. crpyt(). Die Funktion verschlüsselt tatsächlich

Das ist freilich auch eine Einwegverschlüsselung und nicht wiederherstellbar, dank Salt aber immun gegen sowas wie md5-dictionarys, in denen man viele Passwörter direkt nachschlagen kann (weil md5 für das gleiche Passwort immer den gleichen Hash liefert).
Die von crypt verwendeten Algorithmen arbeiten zwar ähnlich wie hashes, sind aber auf die Verschlüsslung von Passwörtern optimiert und werden deswegen auch "Verschlüsselung" genannt.

Zitat:

Zitat von Ben

Mit sha1() habe ich mich noch nie befasst. Sollte aber auch so etwas in der Art sein. (Achtung: Halbwissen!)

sha1 = secure HASH algorithm 1
Gleiche Klasse wie md5(), nur besser.

[Buhmann]

Zitat:

Zitat von Jojo

Das ist ein eindeutiger Wert, der je nach Zeichenkette unterschiedlich ist.

Nein. Ein md5-Hash ist nicht eindeutig, es kann auch zu sog. "kollisionen" kommen, d.h. zwei verschiedene strings haben den selben hash-wert. Es wäre ja auch garnicht möglich, für unendlich viele strings unendlich viele hash-werte zu generieren, wenn diese eine festgelegte länge haben müssen.
Solche kollisionen sind zwar extrem selten .... aber ich wollts nur der vollständigkeit mal erwähnt haben. Das du das sicherlich weißt ist mir auch klar.

[Ben]

@Waq:
Ui. Danke für die Informationen.

[Jojo]

@Buhmann
hasse räschd