Beste,

Ik ben bezig met een nieuw systeem, maar wil het o goed mogelijk beveiligen.
Nu is mijn vraag, het bekende MD5, is dit nu te decrypten of niet?

Hoor meermaals van wel, maar vind niks anders dan bruteforce of md5-databases.
Als iemand weet of dit te decrypten is, post dan hieronder, of per pm, de uitkomst van de volgende hash:

97e34af9129fd028f3b506201adb6323

Ben benieuwd of het nu te decrypten is, of dat het allemaal lulverhalen zijn...

M.v.g,
Cedric

Het beste is een combinatie van een eigensysteem met een md5 hash

maar md5 alleen is ook zeer veilig hoor... vooral als je een wachtwoord (als voorbeeld) hebt van zowel cijfers en letters...

ik durf voor 99,9% zekerheid te zeggen dat niemand hier gaat raden waar die hash voor staat, omdat ze het niet kunnen

Inderdaad als je er ook nog een eigen systeem bijgooit is het praktisch onmogelijk om hem zonder de source te decoderen.

Maargoed alles valt te hacken, afhankelijk van met wat voor gasten je te maken hebt, en of er veel geld in omgaat. Maargoed doorgaans is md5 + eigen systeem veilig zat.

Ik heb nog nergens gelezen, of meegemaakt dat een md5 hash te decrypten valt.

MD5 is een hash, bekijk de definitie van een hash eens :).
Een sha512 encryptie is sterker, gebruik deze zelf altijd.

dus het staat vast dat md5 niet de decrypten is?

zat al te denken aan base_64 erbij oid

Het is niet te decrypten, maar je kunt wel honderduizenden strings gaan encrypten en hopen dat er precies dezelfde string tussen zit als de door jou genoemde. Dan weet je het natuurlijk wel.

Er zijn ook wel sites bekend die eeuwig doorrekenen en steeds nieuwe met MD5 gecodeerde strings in hun database stoppen zoals http://www.md5decryption.com/. Deze website heeft jouw string niet in de database staan. Ik ga het verder niet proberen.

Goed, een algoritme is er niet voor, wel databases vol met strings en de encryptie daarvan. Maar die kunnen echt niet veel data opslaan. Een wachtwoord van 8+ letters, cijfers en tekens is dus veilig.
Aanvullend bericht:
Voor de duidelijkheid, op de door mij genoemde manier blijf je (als je niks hebt opgeslagen) te lang rekenen:
Stel een wachtwoord bestaat uit 8 letters, cijfers en tekens. Er zijn 52 letters (hoofdletters en geen hoofdletters), er zijn 10 cijfers en laten we zeggen: 10 tekens. Samen dus 72 verschillende tekens waaruit een wachtwoord kan bestaan.
In het slechtste geval moet je 72^8 situaties langsgaan om te kijken wat het wachtwoord is.
Dat zijn 722.204.136.308.736 (= 722 triljoen in woorden) situaties. Voor een gewone pc niet te doen, voor een supersnelle computer in Nederland kost het zo'n 5,7 uur. Natuurlijk minder, want je komt de juiste situatie niet op de laatste berekening tegen.

ik heb een proggie die md5 hash kan decoderen. Tot 4 karakters = een dag. 5 karakters 2 dagen en meer dan 5 karakters duurt eeuwen met een p4 2,8ghz 1024mb.
Daarom altijd het verzoek om een wachtwoord van minimaal 5 karakters te hebben.

16b0d41528f3abaf70e7f02b5d88bb3b, 3 letters, 2 cijfers. Succes!
Aanvullend bericht:
kan je anders dat programmatje sturen? zet ik hem op m'n server, is ie overmorgen wel klaar

Origineel gepost door Cedric H.

16b0d41528f3abaf70e7f02b5d88bb3b, 3 letters, 2 cijfers. Succes!

mnq97

Via http://gdataonline.com/seekhash.php

@daniël, zeer goed werk, maar hoeveel tekens kan hij max. aan?

Origineel gepost door Cedric H.

@daniël, zeer goed werk, maar hoeveel tekens kan hij max. aan?

Niet veel, hij zegt dat hij 3 miljoen hashes kent, en als je uit gaat van alleen kleine letters en cijfers zou hij alle reeksen met 4 tekens moeten kennen plus minder dan drie procent van de tekenreeksen van 5 tekens.

MD5 is een hash. Zelfs een string van 50 MB lang zou in die 32 tekens gepropt worden. Common sense wijst dan uit dat er meerdere (oneindig in principe) waardes dezelfde MD5 hash zouden opleden. Zeker weten wat er stond is dus per definitie onmogelijk simpelweg omdat die data ontbreekt. Wel kun je proberen of andere strings op dezelfde md5 hash uitkomen, wat in principe genoeg is om een loginsysteem te omzeilen. MD5 is nu in zoverre gekraakt dat je ook met terugwerkende kracht een string kunt bereken die voor een MD5 hash zou staan. SHA512 heeft dit probleem (nog) niet.

Dus, met MD5 kun je nooit zeker achterhalen wat ergens stond, je kunt echter wel op dezelfde hash uitkomen. Voor bijvoorbeeld het matchen van IP adressen die je niet bekend wilt laten worden is het prima geschikt. Voor logins zou het minder kunnen zijn. Een combinatie MD5 en eigen systeem is het beste. Wat ik meestal doe is een paar tekens in de MD5 string van plaats verwisselen. Dan ben je zonder de source van de site veel verder weg. Natuurlijk ook wel te omzeilen als je een paar wachtwoorden invult en de uitkomst vergelijkt met de normale MD5 hash, maargoed. Zo blijf je bezig.

Wat bedoel je met "eigen systeem"?
IMO is SHA512 momenteel de beste oplossing.

een eigen systeem waar je de md5 hash bewerkt en ook weer kan terug bewerken

bijvoorbeeld (wel heel simpel, maar toch): pak de 3de character en wissel die met de 4de character

doe gewoon iets met die hash dat alleen jij weet en niemand anders en dan is het een stuk lastiger :)