Moin Moin !

N'abend,

Kann ich derart verschlüsselte Passwörter auch in .htusers-Dateien speichern?
Klar kannst Du. Aber ob der Webserver damit etwas anfangen kann ... ;-)

Du meintest, dass verschlüsselte Passwörter gut gesichert abgelegt werden sollten ([pref:t=44964&m=245300]).

Ja. Zumindest so gut, daß kein Angreifer dran kommt. Obwohl ein MD5-Password wahrscheinlich etwas schwieriger zu cracken ist als crypt. Für Crypt brauchst Du bei bekanntem Hash ("INblablabla") nur alle Kombinationen von 1 bis 8 Zeichen durch crypt jagen (SALT sind die ersten zwei Zeichen des Hash), um ein passendes Password zu bekommen (nicht unbedingt das Original). ASCII 0 ist nicht zulässig (Stringende). Für eine erste Schätzung mußt Du max. 128^8 Kombinationen ausprobieren, von denen einige redundant sind, das sind 7,2*10^16 Kombinationen. Es wird natürlich noch weniger, wenn Du Dich auf direkt eingebbare Zeichen beschränkst.

Ist dann die logische Schlussfolgerung daraus, dass gecryptete Passwörter für die Verwendung in .htusers-Dateien die bessere Wahl sind?

Nicht unbedingt. Wenn außer Dir, dem Webserver und root niemand die .htusers-Datei lesen kann und der Webserver die Datei auf keinen Fall ausliefert, kannst Du auch MD5 nehmen. Das gilt genauso für crypt. Und so sollte es normalerweise auch eingestellt sein.

MD5 ist außerdem wesentlich schwerer anzugreifen (Beweis: Google, sorry, kein Bock zum suchen), weil Du einen viel größeren Eingabebereich durchspielen mußt.

Der beste Password-Schutz nützt Dir sowieso gar nichts bei schlechten Passworten und/oder Social Engeneering: http://www.theregister.co.uk/content/55/30324.html - Titel: "Office workers give away passwords for a cheap pen"

Fazit: MD5 oder crypt, es ist relativ egal. Sorge für gute und regelmäßig geänderte Passworte. Schütze die Password-Datei.

Alexander