Het antwoord van 08:46 is juist. Een hash kan niet "gekraakt" worden. Heel eenvoudig omdat een hash niets zegt over de bron. Het is dus iets anders als, bijvoorbeeld, een zip bestandje waarvan je weer het orgineel terug kan maken. Als je website waarop je inlogt werkt met MD5, weet de website je wachtwoord niet, alleen de hash. Op het moment dat jij de ww intikt, berekent de website de hash van het ww dat je intikte. Is die hetzelfde als de opgeslagen, dan was je ww juist. Of dat berekenen van de hash lokaal op jouw pc gebeurd of op de website weet ik niet. Er is een kanttekening. Er is inmiddels vastgesteld dat een hash niet perse uniek is. Je kan een hash dus namaken. Hoe moeilijk dit is weet ik niet, maar dat kan je googlen. Maar dit speelt vooral bij HTTPS certificaten (die kunnen dus nagemaakt worden), voor zover mij bekend gaat dit niet eenvoudig werken bij wachtwoorden. Op het internet bestaan lijsten met wachtwoorden en bijbehorende hashes. Is jouw wachtwoord "test" of "1234", dan zal die zeker ...