Verschlüsselung der Passwörter bei phpBB
"Dieser Artikel beschreibt, wie die Passwörter bei phpBB verschlüsselt werden und was hinter dem MD5-Algorithmus steckt.
Wenn man in der Datenbank nach dem Passwort eines Benutzers sucht, so wird man nicht auf das Passwort im Klartext treffen, sondern vielmehr einen String der Art
Zitat:
98a6a6255fc62ffa4eac50abc52bf41e
Bei diesem Wert handelt es sich um einen per MD5 generierten Hash-Wert des Passwortes (hier übrigens phpbb).
Was ist ein Hash-Wert
Der Hash-Wert ist das Ergebnis einer Hash-Funktion, die man kurz als Einwegverschlüsselung bezeichnen kann. Aus dem Passwort wird dabei ein Wert generiert, der folgende Eigenschaften erfüllen sollte:
es ist nahezu unmöglich, den zu einem Hash-Wert gehörenden Ursprungstext zu finden.
es ist nahezu unmöglich, zwei Ursprungstexte zu finden, die den selben Hash-Wert produzieren.
Der Trick dabei ist folgender: der Ursprungstext wird so umgewandelt, dass ein neuer Wert entsteht. Die Wahrscheinlichkeit, dass ein anderer Ursprungstext den gleichen Wert erzeugt, ist nahezu Null, gleiches gilt für die Wahrscheinlichkeit, vom Ergebnis auf den Ursprungstext zurück schließen zu können.
Für einen Passwortschutz ist dies ausreichend: das Passwort wird nicht im Klartext gespeichert sondern nur der Hash-Wert. Damit kann das Passwort nicht im Klartext ausgelesen werden, auf der anderen Seite kann jedoch ein eingegebenes Passwort überprüft werden: ist der Hash-Wert des eingegebenen Passworts identisch mit dem in der Datenbank hinterlegten Hash-Werts, so dürften das ursprüngliche und das eingegebene Passwort identisch sein.