Henryk Plötz: Passwort

Beitrag lesen

Moin,

Besser wäre es, das Passwort in einer separaten Datei (oder gar Datenbank) außerhalb des URL-Space zu speichern. (Obwohl es andererseits auch wiederum keinen Ort gibt, der bei hinreichend fehlerhafter Konfiguration wirklich zuverlässig "außerhalb des URL-Space" liegen kann ...)

Dagegen hilft es das Passwort nur als MD5-Hash im Skript zu speichern. (Noch besser das Ergebnis von MD5("deinpasswort"."eingeheimerfesterstring"), um Wörterbuchattacken mit fertigen MD5-Strings zu häufigen Passwörtern abzuwehren). Mit dem Hash kann der Angreifer dann nicht besonders viel anfangen, ausser ein paar Computer irgendwohin zu setzen und sie - potentiell ziemlich lange, wenn das Passwort gut ist - rechnen zu lassen. Mit "gutes Passwort" sind dann mehr als 8 Zeichen, kein Wort irgendeiner Sprache, Klein- und Großbuchstaben, Zahlen, Sonderzeichen gemischt, gemeint.  Mehr dazu steht sicherlich im Forumsarchiv.

--
Henryk Plötz
Grüße von der Ostsee