0251 / 590 837 15
info@a-coding-project.de

MD5 entschlüsseln

MD5 Hashs sollten eigentlich nicht entschlüsselt werden können. Jedoch gibt es Tools, mit welchen auch dieses möglich ist.

MD5-Hashswerden zum Beispiel für das Speichern von Passwörtern in Datenbanken benutzt. Sollte ein Eindringling die Datenbank sehen, so sollten eigentlich die Passwörter noch sicher sein, wenn sie mit MD5 Verschlüsselt sind.

Doch leider gibt es Tools, mit denen es möglich ist, diese zu entschlüsseln. Diese funktionieren so, dass ganz viele Strings verschlüsselt und in eine Datenbank eingetragen wurden. Wenn dies oft genug passiert ist, kann man dann darüber den MD5-Hash entschlüsseln.

Eine Seite die dies ermöglicht, ist zum Beispiel MD5 Decrypter.

Wie man die Passwörter trotzdem sicher hält

Wenn man die Passwörter mit MD5 verschlüsselt, kann man einfach zusätzlich davor oder danach noch Zeichen einfügen oder entfernen, oder einfach die Zeichen des Passworts verdreht speichern. So lässt sich nicht mehr zurückverfolgen, was der Benutzer eingegeben hatte. Lasst eurer Phantasie freien Lauf und die Userpasswörter sind sicher 😉

Edit 2.März 2009 19:55: Du solltest außerdem deinen User darauf hinweisen, dass sein Passwort lang genug ist und Sonderzeichen enthält. Am besten machst du eine Überprüfung, so dass nur sichere Passwörter möglich sind.

Kommentare

DerApfel schrieb am 02.03.2009:

Hi, netter Artikel. ^^ - Allerdings solltest du noch darauf hinweisen, dass diese "Regenbogentabellen"-Methode, die von diesen Tools angewendet wird, aufwändiger wird, je länger das Passwort ist. ^^ (Wenn sich das Wort nicht in der DB befindet, mussd as Programm durchprobieren ;)). Grüße, deiner treuer Leser, der Apfel

KingCrunch schrieb am 27.07.2009:

Etwas ergänzend: Das "Durchprobieren", was DerApfel angesprochen hat, nennt sich dann "Brute Force" und ist die klassischste aller Methoden. MD5 basierte lange darauf, dass es die einzige Methode und zudem extrem aufwendig zum Rekonstruieren der Hashwerte ist, was aber bei heutiger Rechenleistung langsam aufweicht. "Entschlüsseln" lassen sich die Hashwerte zudem nicht, ist aber nur ne sprachliche Sache: Hashes sind nicht in dem Sinne verschlüsselt, also kann man sie auch nicht entschlüsseln. Und da es theoretisch unendlich viele Kandidaten pro Hash gibt, kann man höchstens die Kandidaten sondieren und den vielversprechensten auswählen ;) OK, bisschen Klugscheißen gehört dazu. Die "Zeichen davor oder danach" (oder beides ;)) nennen sich "Salt". Viel wichtiger als die Särke der Passwörter (usw) ist jedoch, dass sie niemals nach außen gelangen, denn was nicht da is, kann nicht entschlüsselt werden :D

Michael Worzyk schrieb am 23.03.2010:

Das fiese dabei ist, dass diese Seite die Verschlüsselungen sammelt. Wenn Du Dir ein ganz tolles Passwort ausdenkst und es dort verschlüsseln lässt, kennt die Seite dass Passwort und den md5-Schlüssel. Wenn hinterher irgend jemand den Schlüssel eingibt, bekommt er Dein Passwort.

Stefan Wienströer schrieb am 23.03.2010:

Das sollte man auch nicht machen^^

Gruppenhaus schrieb am 13.05.2010:

Hey, vielen Dank für den Hinweis, dass man die md5-Passwörter auch verdreht abspeichern könnte - auf die Idee bin ich noch gar nicht gekommen =)

Julia schrieb am 02.08.2010:

Wenn man aber ein Md5 hash entschlüsseln will, muss wissen dass md5 ein Einwegfunktion ist, und deswegen geht eigentlich nicht entschlüsselt . Aber der md5 Hash-Code kann trotzdem in einer riesige Datenbank von entschlüsselten Strings gefunden werden. Ein Beispiel von eine Seite die so eine Datenbank hat, ist: www.md5-decrypter.com. Sie hat mir viel geholft.Ich hoffe dass für euch auch nützlich ist.

Butt4cak3 schrieb am 18.08.2010:

Dass ein MD5-Hash unendlich viele zugehörige Klartexte hat, wurde ja schon angesprochen. (Falls jemand nicht weiß, wieso: Als Zeichenkette hat ein MD5-Hash immer genau 32 Zeichen. Also gibt es nur endlich viele verschiedene Hashes. Aber es gibt unendlich viele Klartexte, da man unendlich lange Texte verschlüsseln kann.) Also braucht man ja nicht unbedingt das Passwort, das der jemand gewählt hat. Man braucht nur etwas, das den gleichen Hash ergibt. Wenn "Banane" und "Apfel" als MD5-Hash genau das gleiche ergeben, dann ist es egal, ob ich mich mit "Apfel" oder "Banane" autorisieren will. Wenn alles stimmt, was ich sage, dann ist es doch eigentlich möglich eine vollständige Regenbogentabelle anzulegen, richtig?

Flo schrieb am 27.04.2011:

An sich schon, nur wenn du davon ausgehst, dass jeder Hashwert 128bit = 16byte hat und es 2^128 (=3.40282367 × 10^38, also viel) Möglichkeiten gibt und deswegen 2^128*16byte an Speicher gebraucht wird, welchen es nicht mal bei Rapidshare gibt,dann bleibt es bei der Theorie und ist "eigentlich" nicht möglich.

Mark schrieb am 24.05.2011:

Hi, Ich bau auch grad so eine Tabelle auf :) Die is ziehmlich gut geworden, hab jetzt schon innerhalb zwei tagen 30 Millionen Hashes. Aber ich arbeite gerade an einer zweiten Version des Bots. Dann hoff ich ALLE kombinationen bis zum 10 stelligen bereich innerhalb von ein paar monaten zu generieren. sieht ganz gut aus mit den bisherigen tests. Die index Seite wird noch größer und komfortabler werden. MfG Mark Paspirgilis

Mark schrieb am 24.05.2011:

http://www.hashcracking.de ist die seite.

freshprince schrieb am 24.09.2011:

funktioniert nicht :( Benötige dringends diesen Code... f95750ab2f80499e6c8a57b0e3623e1e

nuno schrieb am 12.11.2011:

das ist doch kein Decripter, der Script greifft auf eigene datenbank bestände und versucht die "göängigste" passworter zu finden wie 0000 o.ä

Stefan Wienströer schrieb am 12.11.2011:

Nichts anderes hab icvh doch oben beschrieben^^

Verschlüsseln und Entschlüsseln in PHP schrieb am 19.08.2013:

[…] Die beiden Funktionen sind nicht gerade neu und so gibt es findige Leute, die sich Listen dieser Hashes anlegen. Diese nennt man Rainbow-Tables. So werden die Hashes einfach über sehr viele Passwörter gebildet und zusammen mit den Ursprungswert gespeichert. Bei einem Angriff, können die Angreifer nun die Hashes aus unserer Datenbank nehmen und mit ihrer Rainbow-Table abgleichen. Alle User die dann zu einfache Passwörter haben können abgeglichen und somit “entschlüsselt werden“. […]