Java MD5-Hash

Zorr

Little Overclocker

Registered: Aug 2008
Location: Wien
Posts: 102

17.05.2009 - 21:33

ich versteh nicht warum das jetzt so hochgespielt wird. das is eine übung welche nach der benotung sowieso wieder verworfen wird. von verschlüsselung war in der aufgabenstellung sowieso überhaupt keine rede. da hab ich mir dann halt dacht, dass ich gschwind irgwas einbau und hab halt einfach md5 gnommen.
ich bestreite überhaupt nicht, dass es besseres gibt. ein großer aufwand wirds auch nicht sein, aber für mich im moment einfach völlig uninteressant.
und ich hab auch keine lust weiter über die sinnhaftigkeit von md5 zu diskutieren. meine frage war auch einfach nur wie man ein byte-array schön in einen string konvertieren kann, (hier noch mal danke an souly für den code!)

watchout

Legend
undead

Registered: Nov 2000
Location: Off the grid.
Posts: 6845

18.05.2009 - 01:54

Ich versteh's auch nicht, vor allem weil md5 zwar nicht übermäßig sicher ist, aber für Passwörter die (halbwegs intelligent gewählt sind und) in einer Datenbank gespeichert sind reicht md5 absolut aus.

Ausserdem darf man nicht vergessen dass man aus md5-hashes zwar COLLISIONS berechnen kann, aber niemals sicher das eigentliche Passwort herausfinden kann, weil ein Datenverlust durch den Hash entsteht. Daher sind md5 ausreichend sicher im Moment.

Der Link von Jaime ist zB. für so einen Anwendungsfall absolut irrelevant weil um einen gleichen md5-Hash zu erzeugen auch der in der Datenbank gespeicherte Hash verändert werden müsste, und in so einem Fall hätte der "Angreifer" ja schon Zugriff darauf und könnte sowieso irgendeinen beliebigen Hash selbst eintragen, dazu muss er nicht erst die Hashes auf gleichen Wert bringen (wozu er übrigens sowieso erst das Originalpasswort berechnen müsste, und danach wenn man das schon hat erst wieder einen Hash berechnen der dann mit einem alternativen Passwort den gleichen hash liefert wäre ja schon eine sehr merkwürdige Idee)

Und wenn schon SHA dann gleich SHA-2 oder?

(http://java.sun.com/javase/6/docs/t...es.html#algspec)

Xetrill

Little Overclocker

Registered: Dec 2004
Location: Wien
Posts: 85

18.05.2009 - 16:27

Vielleicht übertreibe ich? Finde die Thematik ist einfach wichtig, und zu wissen das MD5 und ähnliches sich nicht eignet PWs "hashen", sollte einfach klar sein. Genauso wie Salting.

Hier mehr dazu.

Zorr

Little Overclocker

Registered: Aug 2008
Location: Wien
Posts: 102

18.05.2009 - 16:54

ich glaub jedem ist die thematik wichtig, nur muss man auch entscheiden können, wieviel aufwand man in die sicherheit steckt. und in diesem fall, ging es mir rein ums theoretische, quasi, dass ich das halt auch mal gsehn hab, wie man das in java umsetzt. ob man da jetzt "sha-1" oder "md5" hinschreibt is doch egal.

Bearbeitet von Zorr am 18.05.2009, 17:10

Zorr Little Overclocker Registered: Aug 2008 Location: Wien Posts: 102	17.05.2009 - 21:33 ich versteh nicht warum das jetzt so hochgespielt wird. das is eine übung welche nach der benotung sowieso wieder verworfen wird. von verschlüsselung war in der aufgabenstellung sowieso überhaupt keine rede. da hab ich mir dann halt dacht, dass ich gschwind irgwas einbau und hab halt einfach md5 gnommen. ich bestreite überhaupt nicht, dass es besseres gibt. ein großer aufwand wirds auch nicht sein, aber für mich im moment einfach völlig uninteressant. und ich hab auch keine lust weiter über die sinnhaftigkeit von md5 zu diskutieren. meine frage war auch einfach nur wie man ein byte-array schön in einen string konvertieren kann, (hier noch mal danke an souly für den code!)
watchout Legend undead Registered: Nov 2000 Location: Off the grid. Posts: 6845	18.05.2009 - 01:54 Ich versteh's auch nicht, vor allem weil md5 zwar nicht übermäßig sicher ist, aber für Passwörter die (halbwegs intelligent gewählt sind und) in einer Datenbank gespeichert sind reicht md5 absolut aus. Ausserdem darf man nicht vergessen dass man aus md5-hashes zwar COLLISIONS berechnen kann, aber niemals sicher das eigentliche Passwort herausfinden kann, weil ein Datenverlust durch den Hash entsteht. Daher sind md5 ausreichend sicher im Moment. Der Link von Jaime ist zB. für so einen Anwendungsfall absolut irrelevant weil um einen gleichen md5-Hash zu erzeugen auch der in der Datenbank gespeicherte Hash verändert werden müsste, und in so einem Fall hätte der "Angreifer" ja schon Zugriff darauf und könnte sowieso irgendeinen beliebigen Hash selbst eintragen, dazu muss er nicht erst die Hashes auf gleichen Wert bringen (wozu er übrigens sowieso erst das Originalpasswort berechnen müsste, und danach wenn man das schon hat erst wieder einen Hash berechnen der dann mit einem alternativen Passwort den gleichen hash liefert wäre ja schon eine sehr merkwürdige Idee) Und wenn schon SHA dann gleich SHA-2 oder? (http://java.sun.com/javase/6/docs/t...es.html#algspec)
Xetrill Little Overclocker Registered: Dec 2004 Location: Wien Posts: 85	18.05.2009 - 16:27 Vielleicht übertreibe ich? Finde die Thematik ist einfach wichtig, und zu wissen das MD5 und ähnliches sich nicht eignet PWs "hashen", sollte einfach klar sein. Genauso wie Salting. Hier mehr dazu.
Zorr Little Overclocker Registered: Aug 2008 Location: Wien Posts: 102	18.05.2009 - 16:54 ich glaub jedem ist die thematik wichtig, nur muss man auch entscheiden können, wieviel aufwand man in die sicherheit steckt. und in diesem fall, ging es mir rein ums theoretische, quasi, dass ich das halt auch mal gsehn hab, wie man das in java umsetzt. ob man da jetzt "sha-1" oder "md5" hinschreibt is doch egal. Bearbeitet von Zorr am 18.05.2009, 17:10

Java MD5-Hash

Forum Index > Software > Coding Stuff

Zorr

watchout

Xetrill

Zorr