MD5 hash gekte in MYSQL / PHP

donderdag 21 mei 2009 17:46

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Vreemd probleem waar ik al de hele middag tegenaan loop,

wanneer ik in php een md5 hash maak en deze met een query richting DB stuur, veranderd mysql de hash in een (langere) string die niet klopt...

bijvoorbeerd:

Insert 7202bdb996572912bf34db795ec6f2c7
en dan kijk je in de phpMyAdmin en zie je staan 5d9becfb59e61be2840fe2a83348a8ce

Ik dacht, misschien is MD5 hexadecimal en doet mysql een convert-iets, maar ook wanneer ik de md5 hash strval() doe blijft de fout.

Ook de md5 functie van mysql geeft dit probleem...

Iemand?

[ Voor 5% gewijzigd door Verwijderd op 21-05-2009 17:47 ]

donderdag 21 mei 2009 17:50

Acties:

0 Henk 'm!

HendrikN

Tsja, met de informatie die je nu geeft kan ik alleen zeggen dat het niet hoort, maar stiekem ga ik er toch vanuit dat je iets fout doet in je code. Kan je eens wat laten zien?

(Overigens wordt het tegenwoordig niet meer aangeraden om MD5 te gebruiken als je serieus bent over beveiliging, zie ook bijvoorbeeld Wikipedia hierover)

donderdag 21 mei 2009 18:22

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Opgelost, excuus.

Ik was er zo van overtuigd dat het aan mysql lag dat ik niet even de moeite nam om iets verder te kijken. Hij bleek nog een oude functie aan te roepen die er een SHA1 van maakte... vandaar ook dat de lengtes afweken...

donderdag 21 mei 2009 19:47

Acties:

0 Henk 'm!

RobertMe

Hoe kunnen de lengtes nu afwijken? Stop je de MD5 dan niet in een char(32)? Elke fatsoendelijk (geconfigureerde) database schiet je sha1 dan meteen af (omdat die langer is), een slecht/standaard geconfigureerde MySQL zal de rest van je data in de prullenbak gooien, maar is je string nog altijd maar 32 karakters lang.

Overgens zou ik ook gewoon sha1 gebruiken, aangezien voor een md5 hash tegenwoordig al redelijk snel een collision gevonden kan worden, of dat de hash al in een rainbow table voor komt.

donderdag 21 mei 2009 19:55

Acties:

0 Henk 'm!

Verwijderd

RobertMe schreef op donderdag 21 mei 2009 @ 19:47:
of dat de hash al in een rainbow table voor komt.

Sinds wanneer verschilt het dan welk algoritme is gebruikt? En misschien slaat hij wel de md5 hash van een file op? Ik lees niets over wachtwoorden.

[ Voor 16% gewijzigd door Verwijderd op 21-05-2009 19:56 ]

donderdag 21 mei 2009 23:41

Acties:

0 Henk 'm!

krvabo

MATERIALISE!

Het is onzin dat je geen md5 moet gebruiken, net alsof er voor sha1 of sha256 geen rainbow tables bestaan..
Als je bijvoorbeeld md5 gebruikt om je wachtwoorden op te slaan is dat meer als extra laag om het moeilijker te maken om de eventueel gevonden gegevens niet meteen te kunnen gebruiken.
Je website zo maken dat hij niet te hacken is (zonder fouten in je platform) is je primaire beveiliging en je databasewachtwoord is je secundaire beveiliging (Of tertaire als je er nog een laag tussengooit).
Ik gebruik het ook meer zodat ik zelf geen wachtwoorden die in mijn database-admin en je kunt het ook gebruiken om wachtwoorden niet plaintext over het internet te gooien (md5-versleutelen voor het versturen)

Pong is probably the best designed shooter in the world.
It's the only one that is made so that if you camp, you die.

vrijdag 22 mei 2009 14:02

Acties:

0 Henk 'm!

MSalters

Marginaal veilige passwords kunnen wel bestand zijn tegen een rainbow attack via SHA1 maar niet tegen een rainbow attack op MD5. Voor hash chain aanvallen (waar rainbow tables een bijzonder voorbeeld van zijn) moet je zekere aannames doen over de vorm van het password; je reductiefunctie moet die vorm namelijk genereren. Als we aanvallen van gelijke computational complexity bekijken, dan zien we dat een MD5 rainbow table meer mogelijke passwords kan cracken.

(Gelijke computational complexity is een eerlijke vergelijking; als we die complexiteit zouden negeren dan is alles te brute-forcen)

Man hopes. Genius creates. Ralph Waldo Emerson
Never worry about theory as long as the machinery does what it's supposed to do. R. A. Heinlein

Onderwerpen