4. Passwörter verschlüsseln???

Passwörter verschlüsseln???

  • W

    vielleicht is es nachher schwerer nen richtiges Passwort zu berechnen... Weil der Angreifer nach berechnung des MD5 Hash Codes zwar nen SHA1 Code hat, aber kein Passwort...

    MfG WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    vielleicht is es nachher schwerer nen richtiges Passwort zu berechnen... Weil der Angreifer nach berechnung des MD5 Hash Codes zwar nen SHA1 Code hat, aber kein Passwort...

    *PLONG*

    0
  • W

    sry... hab schon vieles gelesen, aber kein *PLONG* 😕 ...
    Kannste das bitte nochmal verdeutlichen 💡 ???

    cya WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    Kannste das bitte nochmal verdeutlichen 💡 ???

    Wenn md5(md5('password'))
    bloedsinn ist, dann ist md5(sha1('password')) kein bisschen besser.

    0
  • W

    OK... ich glaub dir... aber wie stehts eigentlich mit ner ganz anderen Methode??? Wenn man jetzt zufällig SHA1 oder MD5 benutzt und dit Technik dann in der DB gespeichert wird, dann kann man diese bei der Benutzung wieder auslesen und das Passwort vergleichen, dann muss der Angreifer wenn er Pech hat beides versuchen...

    cya WirrWar2850.

    0
  • S
    Mod

    WirrWar2850 schrieb:

    OK... ich glaub dir... aber wie stehts eigentlich mit ner ganz anderen Methode??? Wenn man jetzt zufällig SHA1 oder MD5 benutzt und dit Technik dann in der DB gespeichert wird, dann kann man diese bei der Benutzung wieder auslesen und das Passwort vergleichen, dann muss der Angreifer wenn er Pech hat beides versuchen...

    waere theoretisch moeglich nur wie Unix-Tom schon gesagt hat: bruteforce angriffe unterbindet man anders.

    das verschluesseln des passwortes geschieht lediglich zu datenschutz zwecken. so dass nicht jeder, der die DB lesen kann auch alle passwoerter kennt.

    0
  • W

    Naja... mal sehen.

    Thx WirrWar2850.

    0
  • A

    warum das passwort erst grossartig entschluesseln? wenn er zugriff auf die db hat setzt er einfach n neuen hashwert ein. da braucht er ned lange rumraetseln. und wer berechtigt db-zugriff hat kann die passowerter auch lesen oder?
    (meine meinung: warum passworter ueberhaupt verschluesseln?)

    0
  • S

    archivar schrieb:

    warum das passwort erst grossartig entschluesseln? wenn er zugriff auf die db hat setzt er einfach n neuen hashwert ein. da braucht er ned lange rumraetseln. und wer berechtigt db-zugriff hat kann die passowerter auch lesen oder?
    (meine meinung: warum passworter ueberhaupt verschluesseln?)

    schön wär's, aber nicht unbedingt. Es gibt Benutzer, die nur Leserechte auf die Tabellen haben und wenn der Angreifer so einen Zugriff hat, dann kann es nur lesen aber nicht schreiben.

    0
  • A

    bei mir nicht. da gibts 2 user. den root und den user fuer die webseite auf dem server. mehr user braucht man nicht.
    und wenn: wenn er schon zugriff auf den server hat, kann er auch die config-datei fuer webseiten auslesen und da steht ja wohl ein user mit schreibuzgriff drinnen oder?

    0
  • S
    Mod

    archivar schrieb:

    bei mir nicht. da gibts 2 user. den root und den user fuer die webseite auf dem server. mehr user braucht man nicht.

    Du kannst auch alles als root machen, aber was willst du uns damit jetzt sagen?

    und wenn: wenn er schon zugriff auf den server hat, kann er auch die config-datei fuer webseiten auslesen und da steht ja wohl ein user mit schreibuzgriff drinnen oder?

    Nicht zwangsläufig.

    0
  • A

    das wenn er zugriff hat, schreibzugriff hat.

    0
  • S
    Mod

    archivar schrieb:

    das wenn er zugriff hat, schreibzugriff hat.

    Nicht zwangslaeufig.

    Auf die user Tabelle reicht idR ja Lesezugriff.

    Aber natuerlich kann man (wie bei allen Rechteverteilungen) einem user ohne passwort alle rechte geben...

    was du aber nicht bedenkst ist, dass die haeufigste sicherheitsluecke zum passwort auslesen eine sql injection ist, wo eine fehlerhafte webseite das passwort ausgibt.

    0
  • A

    ich glaub wir reden aneinadner vorbei.
    - mysqlusertabelle: da hat nur der root zugriff drauf
    - webseitenusertabelle: da hat nur ein anderer user zugriff drauf. der hat nur zugriff auf die datenbank fuer die webseite.

    0
  • S
    Mod

    archivar schrieb:

    ich glaub wir reden aneinadner vorbei.

    Ne, du bedenkst nur nicht, dass eine Datenbank selber eine ordentliche Rechteverteilung hat.

    - webseitenusertabelle: da hat nur ein anderer user zugriff drauf. der hat nur zugriff auf die datenbank fuer die webseite.

    Nein. eben nicht. Das ist zwar gaengig, aber wenn man so paranoid ist, dass man md5 700 mal auf jedes passwort anwendet, dann lohnt es sich auch die Datenbank mit ordentlichen Rechten zu versehen. So dass du einen Leseuser fuer die Usertabelle hast und einen Schreibuser. Schreiben muss nur die register.php wo man sich registrieren kann und die profile_update.php wo du dein profil aendern kannst. Alle anderen Seiten haben nur lesezugriff 🙂

    0
Anmelden zum Antworten