Hallo

Soviel ich weiss, wird bei den meisten verschlüsselungsmethoden (auch MD5) ein sogenanter Hash String erstellt (korrigiert mich bitte wenn ich falsch liegen sollte)

Dieser schlüssel soll ja angeblich nur zur Kontrolle einer Übereinstimmung dienen (zb. in Foren etc..)
doch wenn dieser zur kontrolle dienen kann, müsste man das ganze doch auch umkehren können oder?

Also einen Hash to Password decoder müsste man ja reintheoretisch auch hinkriegen.


Was haltet ihr von dieser idee?

grüsschen
Claudio

Nein das geht nicht. Genau so wenig wie man sagen kann von welcher Zahl das die Quersumme ist: 12

aber weshalb wird dan der Hash in einem Normalen forum wie zb PHPbb zur Passwort kontrolle benutzt?

Weil so wie es scheint kann ein hash string ja nicht bei zwei unterschiedlichen wörtern identisch sein

also das gibts ja nicht:

Wort1: hello
Hash1: ioooo

Wort2: world
Hash2: ioooo

(frei erfundene hash's)


Also ich meine es kann ja nicht sein (wen der hash zur kontrolle benutzt wird) das er bei unterschiedlichen wörtern plötzlich mal das selbe ergibt

Doch, genau das kann der Fall sein. Die Chance ein Wort mit einem identischen Hash zu erwischen ist jedoch sehr sehr gering. Theoretisch kann man sich mit mehreren Passworten in einem Forum beispielsweise anmelden, aber man bräuchte zu lange, um einen Hash zurückzurechnen und würde obendrein auch mehrere Lösungen erhalten.
Das Passwort ist als Hash gut geschützt, auch wenn sich jemand Zugang zur Datenbank verschaffen sollte und genau darum wird das so gemacht.

Achsoo ok

Aus was besteht dan der Hash? weil Dynamisch kann er ja auch nicht sein weil ansonsten würde
bei einem forum das richtige passwort ja einmal angenommen und dan mal wieder nicht.

Es handelt sich dabei um einen Algorithmus, mehr ist es nicht. Wie dieser bei MD5 aufgebaut ist, kannst du bei Wikipedia nachlesen. Dort findest du auch andere Hash-Verfahren. Möchtest du das in Delphi haben, kannst du dir die Sourcen des DEC ansehen.

Also eigentlich wollte ich eben einen Hash Entschlüssler programmieren der eben aus dem Hash die möglichen wörter oder zeichen ausgibt

aber danke ich werds mir gleich mal ansehen

Eine Hash-Funktion (z.B. MD5) bildet einen beliebig(!) langen Text auf eine fest vorgegebene Textlänge ab, z.B. auf 128bit = 16 Bytes.

Bei relativ kurzen Kennwörtern ist es noch nicht offensichtlich, aber wenn ich einen Hash über längere Texte bilde, wird eigentlich klar, dass es keine eindeutige Rückabbildung geben kann. Wenn 32 kByte Text auf 16 Bytes komprimiert werden, werde ich die ursprünglichen 32 kByte nie daraus rekonstruieren können. In der Mathematik nennt man dies eine injektive Abbildung.

Der Trick bei guten Hash-Funktionen ist es jetzt, dass man nur sehr schwer einen ähnlichen Text bilden kann, der auf genau den gleichen Hashwert kommt wie der ursprüngliche Text. Beispiel: Ich habe einen Vertrag, da steht ein Kaufpreis von 30.000 EUR. Von diesem Vertrag wurde ein Hashwert gebildet, um erkennen zu können, wenn jemand den Text ändert. Wenn ich jetzt aus den 30.000 EUR 10.000 EUR machen will (1 Bit geändert), kommt ein völlig neuer Hashwert heraus und es ist nahezu unmöglich, den Vertragstext soweit abzuändern (z.B. durch zusätzliche Leerzeichen etc.), dass ich wieder auf den ursprünglichen Hashwert komme.

Beim Abspeichern von Kennwörter in Datenbanken wird dieses Verfahren auch gerne verwendet, gerade auch um zu verhindern, dass man aus der Datenbank die Kennwörter ablesen kann.

Vielleicht hilft dieser kleine Ausflug, um das Problem zu verstehen

Gruß,
Michael

Zitat von hedie:

Also eigentlich wollte ich eben einen Hash Entschlüssler programmieren der eben aus dem Hash die möglichen wörter oder zeichen ausgibt

Das ist nicht schwer, denn anders als mit Brute-Force kann man das nicht machen, denke ich. Du erzeugst deine Zeichenkombinationen mittels ein paar Schleifen, davon dann den MD5-Hash und den vergleichst du mit deinem vorgegebenen. Doch dabei handelt es sich nicht um Stunden, das kann auch Wochen und deutlich länger dauern, je nachdem, wie lange dein Passwort ist.
Ob ein zweistelliges Passwort den gleichen Hash besitzen kann wie ein 20-stelliges, weiß ich nicht, denke aber eher nicht. Aber falls Hagen (negaH) hier mitliest, kann er dir das sicher beantworten.

Zitat:

Ob ein zweistelliges Passwort den gleichen Hash besitzen kann wie ein 20-stelliges, weiß ich nicht, denke aber eher nicht.

Doch genauso funktionieren Hash-Algorithmen. Mathematisch handelt es sich um eine eindeutige, aber nicht eineindeutige Abbildungsfunktion von einer Zeichenkette beliebiger Länge in eine mit bestimmter Länge.