Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 10 reacties
Bron: MD5CRK

MD5CRK is een nieuw distributed-computing project waarmee men probeert aan te tonen dat de MD5 hash als beveiliging niet meer geschikt is. Het project team geeft de volgende beschrijving mee:

This project aims to find collisions in outputs of the MD5 hash algorithm using distributed computing (or a "Chinese Lottery", as mentioned in the previous story). The project will be considered successful if major crypto vendors - and developers in general - move away from the MD5 standard. MD5CRK is a unique distributed attack in that it attacks one of the most actively used crypto-related algorithm and will provide loads of data for crypto research. Other related projects only seek to decrypt a string of characters specifically encrypted to be attacked.[break]Men is druk bezig met de ontwikkeling van deze client. Men heeft versie 1.0.2 sinds kort beschikbaar gesteld met het volgende changelog:[/break]Client v1.0.2 released. No critical flaws.

Fixes include:
  • "X86SSE2ALU4 restart, no path6" flaw.
  • "UserInfo bad formatting" flaw.
  • Benign, non-critical, non-network, please-don't-worry configuration file related buffer overflow when proxy setting expresses with colon charactor.
  • "Old Pentium crash" flaw.
[break]De volgende downloads staan klaar:
* Linux x86
* Linux Pentium4
* Linux PowerPC
* Mac OS X
* Windows x86
* Windows Pentium4

Lees meer over

Versienummer:1.0.2
Besturingssystemen:Windows 9x, Windows NT, Windows 2000, Linux, Windows XP, Linux x86, macOS
Website:MD5CRK
Download:http://www.md5crk.com/?sec=download
Licentietype:Freeware
Moderatie-faq Wijzig weergave

Reacties (10)

MD5 is een wiskundige hash van een getal (ja, een string is ook een getal). Omdat er 'slechts' 2^128 (+/- 3.5x10^38) mogelijkheden zijn om de 128 bits van een MD5-hash te vullen, zijn er altijd dubbele hashes mogelijk. De kans is niet groot, maar de kans IS er.

Wat je dus ZOU kunnen proberen is ergens een MD5-hashed wachtwoord vandaan halen, en dan net zolang proberen MD5-hashes te genereren van willekeurige wachtwoorden totdat je toevallig dezelfde hash krijgt. Dan kan je inderdaad met dit password inloggen.

Helaas zal je voor het volgende password exact hetzelfde moeten doen, dus het is niet 'kraken', het is brute force op 1 instantie.

Net als RSA overigens: je kan de key proberen te achterhalen (die is geloof ik wel uniek), maar dan heb je ALLEEN die betreffende key gekraakt; even wijzigen en je bent weer terug bij het begin...
Om het dan maar niet te hebben over het feit dat er dan al wat schort aan de beveiliging van het systeem als je al een MD5 van een wachtwoord in handen hebt gekregen.

MD5 is niet de beveiliging, dat is de rest van het systeem.
100% correct - maar spijtig genoeg zijn er massa's websites die gewoon je paswoord gemd5'd in een cookie opslaan... :(

Hier vind je trouwens een progje om md5 paswoorden te cracken:
http://membres.lycos.fr/mdcrack/

Heel verontrustend in het geval van paswoord-in-cookie is dat een paswoord van 1 tot 8 karakters lang in de range a-z/0-9 op een 1.53Ghz Athlon slechts 6 dagen duurt... Voeg je er de A-Z range bij dan duurt het wel 497 dagen, maar hoeveel gewone mensen gebruiken nummertjes in hun paswoord? Of hoofdletters? Spijtig genoeg een grote minderheid.
md5 is dan ook geen cryptografie, md5 is checksumming. dat heeft een heel ander doel.

dat je het als 1-way encryptie voor passwoordjes kunt gebruiken is eigenlijk bijzaak. het eigenlijk gemaakt om je files te checksummen, zoals we tegenwoordig veel met .iso's doen.

overigens zit er een flink stukje theoretische wiskunde achter md5, ik denk niet dat je dat zomaar wegschoffelt.
Zo lek als een mandje dat MD5, we hebben maar 51.450.213 computers nodig en 4 jaar tijd om het te kraken.
Afschaffen die handel :) |:(
shit, dus moet ik minstens 1 keer in de 4 jaar mijn password veranderen
Wat voor nut heeft dit?
Willen ze onderzoeken wat voor bogus data je moet toevoegen aan een geweizigd bestand zodat het dezelfde checksum heeft als het origineel?
Beetje net als Dnetc, misschien willen ze ook wat.
Ze proberen aan te tonen dat het niet meer geschikt is, maar waar is dat aan af te meten? Aan het kraken met miljoenen computers? De gewone burger/hacker heeft daar nix aan.
Het feit dat ze er een heel project voor op moeten zetten geeft al aan dat het nog veilig genoeg is :)
Ik vind dit een slecht project. Als ik de tekst goed begrijp
crypto vendors
Dan gaat het hier evengoed om het kraken van deze beveiliging. Ze zoeken dus een algoritme dat md5 ongedaan kan maken. Dit algoritme kan waarschijnlijk alleen dmv dc gevonden worden.

DUS als er de komende 10 jaar niemand een dc opzet om dit te kraken is er niets aan het handje, vinden ze nu een algoritme dat md5 kraakt dan zijn opeens erg veel beveiligingen lek.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True