MD5 Hashs sollten eigentlich nicht entschlüsselt werden können. Jedoch gibt es Tools, mit welchen auch dieses möglich ist.
MD5-Hashswerden zum Beispiel für das Speichern von Passwörtern in Datenbanken benutzt. Sollte ein Eindringling die Datenbank sehen, so sollten eigentlich die Passwörter noch sicher sein, wenn sie mit MD5 Verschlüsselt sind.
Doch leider gibt es Tools, mit denen es möglich ist, diese zu entschlüsseln. Diese funktionieren so, dass ganz viele Strings verschlüsselt und in eine Datenbank eingetragen wurden. Wenn dies oft genug passiert ist, kann man dann darüber den MD5-Hash entschlüsseln.
Eine Seite die dies ermöglicht, ist zum Beispiel MD5 Decrypter.
Wie man die Passwörter trotzdem sicher hält
Wenn man die Passwörter mit MD5 verschlüsselt, kann man einfach zusätzlich davor oder danach noch Zeichen einfügen oder entfernen, oder einfach die Zeichen des Passworts verdreht speichern. So lässt sich nicht mehr zurückverfolgen, was der Benutzer eingegeben hatte. Lasst eurer Phantasie freien Lauf und die Userpasswörter sind sicher 
Edit 2.März 2009 19:55: Du solltest außerdem deinen User darauf hinweisen, dass sein Passwort lang genug ist und Sonderzeichen enthält. Am besten machst du eine Überprüfung, so dass nur sichere Passwörter möglich sind.
2. März 2009 @ 16:25
Hi,
netter Artikel. ^^ – Allerdings solltest du noch darauf hinweisen, dass diese “Regenbogentabellen”-Methode, die von diesen Tools angewendet wird, aufwändiger wird, je länger das Passwort ist. ^^ (Wenn sich das Wort nicht in der DB befindet, mussd as Programm durchprobieren
).
Grüße,
deiner treuer Leser, der Apfel
27. Juli 2009 @ 12:00
Etwas ergänzend:
OK, bisschen Klugscheißen gehört dazu.
) nennen sich “Salt”.
Das “Durchprobieren”, was DerApfel angesprochen hat, nennt sich dann “Brute Force” und ist die klassischste aller Methoden. MD5 basierte lange darauf, dass es die einzige Methode und zudem extrem aufwendig zum Rekonstruieren der Hashwerte ist, was aber bei heutiger Rechenleistung langsam aufweicht.
“Entschlüsseln” lassen sich die Hashwerte zudem nicht, ist aber nur ne sprachliche Sache: Hashes sind nicht in dem Sinne verschlüsselt, also kann man sie auch nicht entschlüsseln. Und da es theoretisch unendlich viele Kandidaten pro Hash gibt, kann man höchstens die Kandidaten sondieren und den vielversprechensten auswählen
Die “Zeichen davor oder danach” (oder beides
Viel wichtiger als die Särke der Passwörter (usw) ist jedoch, dass sie niemals nach aussen gelangen, denn was nicht da is, kann nicht entschlüsselt werden
23. März 2010 @ 12:29
Das fiese dabei ist, dass diese Seite die Verschlüsselungen sammelt. Wenn Du Dir ein ganz tolles Passwort ausdenkst und es dort verschlüsseln lässt, kennt die Seite dass Passwort und den md5-Schlüssel. Wenn hinterher irgend jemand den Schlüssel eingibt, bekommt er Dein Passwort.
23. März 2010 @ 18:26
Das sollte man auch nicht machen^^
13. Mai 2010 @ 09:45
Hey, vielen Dank für den Hinweis, dass man die md5-Passwörter auch verdreht abspeichern könnte – auf die Idee bin ich noch gar nicht gekommen =)
2. August 2010 @ 21:26
Wenn man aber ein Md5 hash entschlüsseln will, muss wissen dass md5 ein Einwegfunktion ist, und deswegen geht eigentlich nicht entschlüsselt .
Aber der md5 Hash-Code kann trotzdem in einer riesige Datenbank von entschlüsselten Strings gefunden werden.
Ein Beispiel von eine Seite die so eine Datenbank hat, ist: http://www.md5-decrypter.com.
Sie hat mir viel geholft.Ich hoffe dass für euch auch nützlich ist.
18. August 2010 @ 22:20
Dass ein MD5-Hash unendlich viele zugehörige Klartexte hat, wurde ja schon angesprochen.
(Falls jemand nicht weiß, wieso: Als Zeichenkette hat ein MD5-Hash immer genau 32 Zeichen. Also gibt es nur endlich viele verschiedene Hashes. Aber es gibt unendlich viele Klartexte, da man unendlich lange Texte verschlüsseln kann.)
Also braucht man ja nicht unbedingt das Passwort, das der jemand gewählt hat. Man braucht nur etwas, das den gleichen Hash ergibt. Wenn “Banane” und “Apfel” als MD5-Hash genau das gleiche ergeben, dann ist es egal, ob ich mich mit “Apfel” oder “Banane” autorisieren will. Wenn alles stimmt, was ich sage, dann ist es doch eigentlich möglich eine vollständige Regenbogentabelle anzulegen, richtig?
27. April 2011 @ 22:56
An sich schon, nur wenn du davon ausgehst, dass jeder Hashwert 128bit = 16byte hat und es 2^128 (=3.40282367 × 10^38, also viel) Möglichkeiten gibt und deswegen 2^128*16byte an Speicher gebraucht wird, welchen es nicht mal bei Rapidshare gibt,dann bleibt es bei der Theorie und ist “eigentlich” nicht möglich.
24. Mai 2011 @ 19:36
Hi, Ich bau auch grad so eine Tabelle auf
Die is ziehmlich gut geworden, hab jetzt schon innerhalb zwei tagen 30 Millionen Hashes.
Aber ich arbeite gerade an einer zweiten Version des Bots. Dann hoff ich ALLE kombinationen bis zum 10 stelligen bereich inerhalb von ein paar monaten zu generieren. sieht ganz gut aus mit den bisherigen tests.
Die index Seite wird noch größer und komfortabler werden.
MfG
Mark Paspirgilis
24. Mai 2011 @ 19:39
http://www.hashcracking.de ist die seite.
24. September 2011 @ 15:23
funktioniert nicht
Benötige dringends diesen Code…
f95750ab2f80499e6c8a57b0e3623e1e
12. November 2011 @ 13:43
das ist doch kein Decripter, der Script greifft auf eigene datenbank bestände und versucht die “göängigste” passworter zu finden wie 0000 o.ä
12. November 2011 @ 14:08
Nichts anderes hab icvh doch oben beschrieben^^