Lita på md5?

Hej, hur säkert är det egentligen att registrera sig med sitt vanliga lösenord utan att ägaren ska kunna se det i PhpMyAdmin?

Och hur kan jag se ifall de faktiskt krypterar lösenordet? sen ifall det är krypterat, är det inte bara för killen att plocka ut det och köra det på en stark dator i en timma eller 2?

Att se om lösenordet lagras krypterat eller inte i en databas är för dej som användare normalt sett omöjligt, hur ska du kunna veta det om du inte kan se tabellen? Och varför ska man använda just phpMyAdmin när det finns ungefär 1 miljon andra sätt att navigera i en databas?

Dessutom kan du ju inte vara säker på att det är just md5 som lösenorden hashas med, kan ju mkt väl vara något annat, Mysql har ju till exempel den inbyggda funktionen PASSWORD() som inte är md5 men likväl en hashalgoritm.

Om det nu är så att du tror att killen som har databasen bemödar sej med att knäcka dina lösenord när de väl är lagrade i hashad form, varför då öht registrera sej? Dessutom är det ju ett välkänt faktum från så gott som samtliga "säkerhetsexperter" att man SKA ha olika passwords för olika ställen. Läser du inte aftonbladet?

MD5 knäcks på ett par sekunder (se t.ex. www.plain-text.info).
Du ska salta (googla och du skall finna) dina krypterade lösenord, då tar det "oändlig"* tid att knäcka dem.


*Så gott som, men en vanlig dator klarar det inte, även med ett par dagars försök

Så du menar att man när man reggar sej på en sajt ska "salta" sina lösenord? Hur menar du att det ska gå till? Dessutom ska man ju som normal användare inte behöva bry sej om krypteringen, det ska ju bakomliggande applikation ta hand om

Jag tror nog att de allra vanligaste är SHA-1 och MD5, PASSWORD() nyttjar SHA-1 och motsvarande funktioner i MS SQL Server gör det också.
SHA-1 och MD5 är inte att betrakta som säkert men det finns ju andra implementationer såsom SHA-2 (256-bitars) som lär vara betydligt krångligare att knäcka.

Ni verkar ha frångått den ursprungliga frågan. Den var ju till att börja med
"Hej, hur säkert är det egentligen att registrera sig med sitt vanliga lösenord utan att ägaren ska kunna se det i PhpMyAdmin?

Och hur kan jag se ifall de faktiskt krypterar lösenordet? sen ifall det är krypterat, är det inte bara för killen att plocka ut det och köra det på en stark dator i en timma eller 2?"
Dvs inte från databasägarens synvinkel, utan från den som använde sajten(eller vad det nu är). Om man nu som databasägare ville knäcka lösenorden så lär man ju knappast vilja ha en så stark algoritm som möjligt, right?

Låt oss säga att jag sätter upp ett lätt forum, där lösenorden sparas i en databas med md5 krypt. När någon registrerar sig, är det bara för mig att plocka ut det och knäcka det på ett par sekunder?

Så frågan var väl iprincip: Hur skyddar jag mitt lösenord mot ägaren av siten?

Helt omöjligt. Går inte att göra.

Använd helt enkelt ett lösenord som det inte gör något att ägaren av siten kan se.