MD5 selbst ist ja nicht bröckelig. Bröckelig wird's erst, wenn du die Haustür und zugleich die Badezimmertür offenlässt und so jedermann deiner Frau beim Duschen zuschauen kann.

Was ich damit sagen möchte: Wenn du jemandem den Zugang zu deinen Passwort-Hashes erlaubst, bist du selbst schuld, wenn sie geknackt werden. Die Sollbruchstelle ist in diesem Fall ja wohl eher die offene Haustür in Kombination mit der offenen Badezimmertür ...

Übersetzt bedeutet das in diesem Fall, dass du deiner Frau nicht mehr erlaubst, sich zu duschen, nur weil du unfähig bist, die Türen richtig abzuschließen.

Doch, genau das. Es gibt praktisch ausführbare Kollisionsangriffe: md5 ist bröckelig!

Mit der Argumentation brauchst du deine Passwörter auch gar nicht zu hashen. Deine Server sind anfällig, deine Türen stehen offen, jeder weiß bereits wie deine Frau nackt aussieht ... ähem, so langsam läuft das mit den Metaphern aus dem Ruder

Im Ernst, das sichere Verwalten von Passwörtern ist die einzige Sicherheit, die du garantieren kannst. Die große Mehrheit aller (und damit auch deiner) Benutzer verwenden Passwörter mehrfach und das Mindeste was du tun kannst, ist dieses Sicherheits-Netz aufzuspannen.

Genau so könnte der Gedankengang bei den Programmierern der Ashley-Madison-Platform gewesen sein.

Erst heisst es "Das passiert doch nicht" oder "Ist doch nur für Oma" und nach dem GAU hört man dann "Ich dachte ..." oder auch sehr beliebt "Aber das haben wir immer so gemacht"

Standard-Reaktion meinerseits ist dann nur noch "Ja, Ja" - damit ist alles gesagt, jedes weitere Wort ist überflüssig

Nun, gut. Aber abgesehen von Passwort-Hashes: Um die Integrität einer Datei zu testen, kann ich wohl noch MD5File verwenden, oder? Oder ist das auch zu unsicher?

Ja, es ist unsicher. Natürlich lässt sich abwägen, ob man das Risiko eingeht; aber abgesehen von Kompatibilität mit Legacy-Anwendungen: warum sollte man nicht eine der gut verfügbaren, sicheren Alternativen benutzen?

MD5 ist halt sehr schnell und wird teilweise sogar hardwareseitig von diversen Chips unterstüzt. Es kommt halt immer drauf an. Will man irgendwelche Dateien in einem Sicherheitskontext hashen, um Dateiintegrität zu gewährleisten, dann sollte man hier auch nicht auf MD5 setzen, da wie schon beschrieben einige Tools zur Berechnung von Kollisionen existieren.

Gehts nur schnell mal um ein inkrementelles Backup Programm oder sowas, sehe ich absolut kein Problem bei der Verwendung von MD5 oder sogar CRC32.

Wobei selbst bei der Integrität kann man nochmal unterscheiden. Ist es fatal (für eine Serverseite, 3. Clienten, etc), wenn die Datei fehlerhaft/manipuliert ist, oder geht es nur um einen lokalen Check als Komfortfunktion für den User.

Achso:
PHP >= 5.5.0 unterstüzt PBKDF. Dieses Verfahren wurde extra zwecks Passwort Authentifizierung entwickelt (http://php.net/manual/de/ref.password.php)

Was auch für SHA-1 und SHA-256 gelten kann ... wobei man SHA-1 im Zweifelsfall auch nicht mehr benutzen sollte.

PHP ist ja auch am meisten davon betroffen: viele Anfänger (neben den Profis ) und die Software ist am Ende im Internet.

Vielen Dank für euren wertvollen Input!

Welche optimale Alternative würdet ihr für FileMD5 in Delphi vorschlagen?