4. Passwörter verschlüsseln???

Passwörter verschlüsseln???

  • M

    Hier könnt ihr euch Kollisionen zu euren MD5-Hashes berechnen lassen. Zu beachten ist dabei, dass es sich hierbei um die Time-Memory Trade-Off-Methode handelt und nicht um verteiltes Rechnen. Falls es einem zu lange dauert, auf die Berechnung seines eigenen Hashes zu warten, kann man die Tables dort auch für 25$ käuflich erwerben 🙂

    http://passcracking.com/Good_values_list.asp

    0
  • U

    Wenn jemand zugriff auf die Datenbank eines Servers hat dann hat er auch Zugriff auf die Webseiten welche das Login steuern. Somit weiß er wieoft MD5 durchlaufen wurde.

    @WirrWar2850
    Nimm MD5 und sorge dafür das niemand an die DB kommt.

    MySQL wird Millionenfach verwendet und verwendet Md5.

    0
  • H

    Wer Zugriff auf die DB hat, hat nicht unbedingt Zugriff auf die Skripte. Die DB ist ja praktisch auch nur durch Passwort geschützt (außer, man lässt nur lokale Anmeldung zu, dann müsste derjenige ein Script auf dem Rechner ausführen können).

    Und wer Zugriff auf die Scripte hat, kann diese meist auch verändern und dann ist es sowieso vorbei, dann wird einfach der Login vorgang entfehrnt 🙂

    PS: Ich würde meine Passwörter trotzdem nicht doppelt mit MD5 hashen...

    0
  • D

    anonymus schrieb:

    Najo,
    dann solltest du dir das hier mal durchlesen 🤡

    http://www.heise.de/newsticker/meldung/56507

    Mag sein, aber SHA1 ist dennoch sicherer als MD5.

    Ansonsten eben SHA256 :p Sobald es in PHP implementiert wurde...

    0
  • W

    Also ich werds mit MD5 versuchen... scheint gut genug zu sein... ich denk nicht, dass Tausende von Hackern nachher Schlange stehen um die Site zu hacken 😉 ...

    Thx & cya WirrWar2850.

    0
  • D

    Argh, SHA1! Meine Güte. Wenn du ein neues projekt anfängst, lohnt es sich nicht, erst mit MD5 zu beginnen.

    0
  • W

    Warum eigentlich nicht beides??? Man kann ja erst mit SHA1 und das verschlüsselte dann mit MD5 nochmal hashen???

    MfG WirrWar2850.

    0
  • S

    Und was würde das bringen?

    0
  • W

    vielleicht is es nachher schwerer nen richtiges Passwort zu berechnen... Weil der Angreifer nach berechnung des MD5 Hash Codes zwar nen SHA1 Code hat, aber kein Passwort...

    MfG WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    vielleicht is es nachher schwerer nen richtiges Passwort zu berechnen... Weil der Angreifer nach berechnung des MD5 Hash Codes zwar nen SHA1 Code hat, aber kein Passwort...

    *PLONG*

    0
  • W

    sry... hab schon vieles gelesen, aber kein *PLONG* 😕 ...
    Kannste das bitte nochmal verdeutlichen 💡 ???

    cya WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    Kannste das bitte nochmal verdeutlichen 💡 ???

    Wenn md5(md5('password'))
    bloedsinn ist, dann ist md5(sha1('password')) kein bisschen besser.

    0
  • W

    OK... ich glaub dir... aber wie stehts eigentlich mit ner ganz anderen Methode??? Wenn man jetzt zufällig SHA1 oder MD5 benutzt und dit Technik dann in der DB gespeichert wird, dann kann man diese bei der Benutzung wieder auslesen und das Passwort vergleichen, dann muss der Angreifer wenn er Pech hat beides versuchen...

    cya WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    OK... ich glaub dir... aber wie stehts eigentlich mit ner ganz anderen Methode??? Wenn man jetzt zufällig SHA1 oder MD5 benutzt und dit Technik dann in der DB gespeichert wird, dann kann man diese bei der Benutzung wieder auslesen und das Passwort vergleichen, dann muss der Angreifer wenn er Pech hat beides versuchen...

    waere theoretisch moeglich nur wie Unix-Tom schon gesagt hat: bruteforce angriffe unterbindet man anders.

    das verschluesseln des passwortes geschieht lediglich zu datenschutz zwecken. so dass nicht jeder, der die DB lesen kann auch alle passwoerter kennt.

    0
  • W

    Naja... mal sehen.

    Thx WirrWar2850.

    0
  • A

    warum das passwort erst grossartig entschluesseln? wenn er zugriff auf die db hat setzt er einfach n neuen hashwert ein. da braucht er ned lange rumraetseln. und wer berechtigt db-zugriff hat kann die passowerter auch lesen oder?
    (meine meinung: warum passworter ueberhaupt verschluesseln?)

    0
  • S

    archivar schrieb:

    warum das passwort erst grossartig entschluesseln? wenn er zugriff auf die db hat setzt er einfach n neuen hashwert ein. da braucht er ned lange rumraetseln. und wer berechtigt db-zugriff hat kann die passowerter auch lesen oder?
    (meine meinung: warum passworter ueberhaupt verschluesseln?)

    schön wär's, aber nicht unbedingt. Es gibt Benutzer, die nur Leserechte auf die Tabellen haben und wenn der Angreifer so einen Zugriff hat, dann kann es nur lesen aber nicht schreiben.

    0
  • A

    bei mir nicht. da gibts 2 user. den root und den user fuer die webseite auf dem server. mehr user braucht man nicht.
    und wenn: wenn er schon zugriff auf den server hat, kann er auch die config-datei fuer webseiten auslesen und da steht ja wohl ein user mit schreibuzgriff drinnen oder?

    0
  • S
    Mod

    archivar schrieb:

    bei mir nicht. da gibts 2 user. den root und den user fuer die webseite auf dem server. mehr user braucht man nicht.

    Du kannst auch alles als root machen, aber was willst du uns damit jetzt sagen?

    und wenn: wenn er schon zugriff auf den server hat, kann er auch die config-datei fuer webseiten auslesen und da steht ja wohl ein user mit schreibuzgriff drinnen oder?

    Nicht zwangsläufig.

    0
  • A

    das wenn er zugriff hat, schreibzugriff hat.

    0
Anmelden zum Antworten