 |
| | Themen-Optionen | Thema durchsuchen |
29.11.2007, 16:34
| Nach oben #21 | |
| Patrick Freitag Registriert seit: 17.08.2005
Beiträge: 125
|  Zitat:
 | |
|     |
|
29.11.2007, 16:53
| Nach oben #22 |
| Neuer Benutzer Registriert seit: 10.11.2006 Ort: Hamburg
Beiträge: 21
|
Zum Thema Vorne oder Hinten ankleben... wenn man viel Zeit und Musse hat kann man ja ein Algorithmus schreiben das das Salz an eine zufällige Position im den Hash packt. Errechnet wird die Position aus DatensatzId, Schuhgröße des Benutzers und PI  (scherz)Bei hash('whirlpool', [...]) kommt es auf die zusätzlichen Zeichen eh nicht an. |
|
| |
|
29.11.2007, 19:07
| Nach oben #23 | |
| Benjamin Klaile Registriert seit: 02.12.2004 Ort: Remagen
Beiträge: 4.512
|
Ich verstehe es gerade nicht. Warum ist so etwas hier denn nicht sicher? Zitat:
Das findet man doch nicht raus .. oder schnall ich den "Punkt" nicht?  | |
|
| |
|
30.11.2007, 09:03
| Nach oben #24 | ||
| Patrick Freitag Registriert seit: 17.08.2005
Beiträge: 125
| Zitat:
| ||
|
| |
|
30.11.2007, 09:37
| Nach oben #25 |
| Benjamin Steininger Registriert seit: 02.06.2005 Ort: weiher im tiefsten Odenwald
Beiträge: 1.203
|
Um das Beispiel sicherer zu machen, auch wenn die Routine bekannt ist, muss man entweder einen Wert mit einbringen der unbekannt (z.b. wird ein zufälliger wert beim installieren des Systems in einer Config gespeichert) oder es muss ein Wert verwendet werden den der User von aussen nicht erfahren kann. In meinem Fall sieht es ja so aus, dass 2 der verwendeten Werte von jemandem der die Routine kennt, unter umständen herausgefunden werden kann, weil die Werte z.b. in der Userliste stehen! Außerdem ist mir gerade an meinem eigenen Beispiel aufgefallen, dass zu bedenken gilt, dass das genutzte sha1() die Möglichkeit des Bruteforcen erhöht, weil ich weis, dass ich jetzt einen "begrenzenten" Bereich habe, sha1 liefert nämlich immer einen 40 Zeichen langen String zurück mit 16 (a-f0-9) (sha1 als Hexadezimalzahl wie üblicherweise verwendet) möglichen verschiedenen Zeichen! Sind wenn ich mich nicht irre dann doch: 16 ^ 40 Möglichkeiten. Ohne das sha1 wären es 3*32(=96) Zeichen mit jeweils 16 (a-f0-9)(md5 als Hexadezimalzahl wie üblicherweise verwendet) Möglichen Zeichen und damit dann 16 ^ 96 Möglichkeiten |
|
| |
|
04.12.2007, 17:10
| Nach oben #26 | |
| Erfahrener Benutzer Registriert seit: 18.08.2005
Beiträge: 108
| Zitat:
http://phpforum.de/forum/showpost.ph...8&postcount=26 | |
|
| |
|
04.12.2007, 17:42
| Nach oben #27 |
| Jann Hendrik Bekaan Registriert seit: 02.12.2004 Ort: Wildeshausen
Beiträge: 2.367
|
Ok, und was ziehst du daher als Fazit? Wie würdest du daher Passwörter abspeichern? Mit SHA1 und einem bisschen Salz?
__________________ Umfragen:  bitte beachten: Vorschläge für künftige Umfragen Woher weißt du vom developers-guide?Wenn du dich in ein interessantes Thema eingearbeitet hast, dann lass andere daran teilhaben! Schreibe ein Tutorial und beschreibe, wie es geht, was nicht klappt, wo man aufpassen muss usw.Danke! |
|
| |
|
04.12.2007, 20:22
| Nach oben #29 | |
| Erfahrener Benutzer Registriert seit: 18.08.2005
Beiträge: 108
| Zitat:
Ab PHP 5.1.2 ist standardmässig die hash-Extension dabei, bei der auch moderne Hash-Algorithmen dabei sind, so auch die von NESSIE empfohlenen: http://de2.php.net/manual/en/function.hash-algos.php http://en.wikipedia.org/wiki/NESSIE#...hash_functions Ich würde gesalzene Whirlpools bauen. Find ich persönlich schöner als die SHA-2-Familie (sha224-sha512), weil patentfrei, nicht von der NSA... PS: Die ganzen MACs sind keine Hashalgorithmen, die benutzen eher welche. | |
|
| |
|
| Lesezeichen |
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
| Themen-Optionen | Thema durchsuchen |
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Sicherheit der Passworteingabe und md5() | WarrenFaith | PHP-Programmierung | 79 | 24.08.2006 18:39 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:18 Uhr.