Hallo Patrick,

was wäre denn so das kürzeste was noch akzeptabel wär?

Mal rechnen: Wenn wir von einer ziemlich schlimmen Brute-Force-Attacke ausgehen mit 100 Anfragen pro Sekunde bei 3600 Sekunden pro Stunde und 24 Stunden pro Tag und 14 Tagen Zeit, dann könnte der Angreifer *auf jeden Fall* ein Passwort von der Länge

log_2(100*3600*24*14) ~ 27 bit

knacken. Das sind 3.375 Byte. Ein MD5-Hash in "lesbarer" Form brauch aber 2 Bytes, um 1 Byte darzustellen. Folglich wird der Angreifer bei 6.75 Bytes des MD5-Hashes auf *jeden* Fall Erfolg haben. Bei den ersten 8 Zeichen eines Hashes dürfte es für den Gebrauch als temporäres Passwort ziemlich sicher sein. Im Übrigen ist meine Rechnung natürlich extrem übertrieben, Du kannst gerne realistischere Werte einsetzen.

hab da ja ein tread schon zu gelesen. kann es an md5 liegen wenn sich einer anmeldet mit passwort und sich dann einloggen will und es klappt nicht? also das passw wird in einer db gespeichert und wird beim einloggen mit md5 verschlüsselt und dann mit dem aus der db verglichen!

Dann liegt es mit Sicherheit nicht an MD5, sofern das Passwort auch mit MD5 in der DB abgespeichert wurde. Dann liegt es eher an etwas anderem. Eine genaue Fehlerdiagnose ist allerdings nicht möglich.

Viele Grüße,
Christian