你好 Tom,

Dann muss es wohl Zufall gewesen sein.

Oder ein Regenbogen.

Ich habe letzte Woche ca. 100 Passwörter, die in MD5-Hashs umgewandelt waren, mittels http://www.md5cracker.org/ oder http://passcracking.com/ rückgewandelt. Dieses Tool hat alle richtig ermittelt. Jedes hat so ca. 3-7 Sekunden in Anspruch genommen.

Das funktioniert so einfach nur, wenn du ungesalzene Passwörter erstellst oder einen „statischen” Salt benutzt.

Wenn du für jedes Passwort, dass du erstellst, einen Salt erstellst (oder angeben lässt), dann müsste ein Brute-Force-Angreifer für jedes Passwort eine Rainbow-Tabelle erstellen.

Es ist also nicht mal eben so in wenigen Sekunden knackbar, wenn man es richtig™ macht.

Trotz alledem würde ich davon abraten, weiterhin MD5 einzusetzen. Sinnvoller wäre es, auf die SHA2-Familie auszuweichen – wenn man sich es leisten kann (etwa, weil nur beim Login nötig), dann sollte SHA512 das Mittel der Wahl sein. Siehe auch den Beitrag von Christoph Jeschke.

再见,
 克里斯蒂安