Seite 2 von 2
Verfasst: 03.08.2006 09:44
von Karl
Ja,
das Problem ist, wenn ich statt des Passwortes in Klartext den Hashwert abspeichere (um diesen dann später zu checken), dann kann ich irgendein beliebiges mit dem gleichen Wert verwenden. Und das soll ja heutzutage mit einer Datenbank recht fix gehen.
Gruß Karl
Verfasst: 03.08.2006 14:23
von Deeem2031
Karl hat geschrieben:Ja,
das Problem ist, wenn ich statt des Passwortes in Klartext den Hashwert abspeichere (um diesen dann später zu checken), dann kann ich irgendein beliebiges mit dem gleichen Wert verwenden. Und das soll ja heutzutage mit einer Datenbank recht fix gehen.
Gruß Karl
Genau desswegen sollte man an das Passwort noch paar zeichen ranhängen, damit sowas nicht geht. Also z.B.
Eingabe: "abcdefg"
Anhängen: "xyz"
MD5Hash von "abcdefgxyz" speichern
Versucht man jetzt den MD5Hash "zurückzurechnen" - also einen Wert zu finden der den MD5Hash ergibt, wird beim erneuten eingeben ja wieder was angehängt -> falsches Ergebnis:
Eingabe: "abcdefgxyz"
Anhängen: "xyz"
MD5Hash von "abcdefgxyzxyz" falsch
Wobei die Idee mit dem doppelt "verhashen" dann doch nicht so doof wäre wenn man an den Hash wiederum etwas anhängt:
Eingabe: "abcdefg"
MD5Hash von "abcdefg" -> "7ac66c0f148de9519b8bd264312c4d64"
Anhängen: "xyz"
MD5Hash von "7ac66c0f148de9519b8bd264312c4d64xyz" speichern
Die angehängten Zeichen sollten natürlich möglichst geheim bleiben
