Moin,

Noch zwei (dumme?) Fragen: Worin unterscheiden sich die beiden Methoden

Ich würde sagen einmal wird die MD5-Summe als Hexadezimalzahl ausgegeben (das ist eigentlich die gebräuchliche Methode) und einmal als Base64-codierte Binärzahl (das habe ich bisher noch nie gesehen).

und was wäre denn eine (mit Perl realisierbare) Verschlüsselung im eigentlichen Sinne (abgesehen von crypt)?

DES, AES, blowfish, IDEA... (da gibt es bestimmt für jedes mindestens ein Modul für)

Moin Moin !

Noch zwei (dumme?) Fragen: Worin unterscheiden sich die beiden Methoden und was wäre denn eine (mit Perl realisierbare) Verschlüsselung im eigentlichen Sinne (abgesehen von crypt)?

MD5, SHA-1 und crypt sind "one-way hash functions", d.h. Du bekommst das Original nicht wieder. (Die Perl-Doku vergleicht das mit dem Zerbrechen von Eiern für ein Omlett.)

XOR, ROT13 und (viele) andere sind umkehrbar, zweimal den selben Algorithmus mit den selben Parametern und Du hast wieder das Original. (Shared Secret)

Hallo ---rot13--> Unyyb ---rot13--> Hallo

PGP benutzt asymetrische Verfahren, bei denen Du ein Verfahren zum Einpacken und eines zum Auspacken hast. Die Parametersätze sind paarweise für Einpacken und Auspacken. Was einmal mit einem Paarelement eingepackt wurde, kann nur mit dem jeweils anderen Paarelement wieder ausgepackt werden. (Private und Public Keys)

Alexander

Moin,

Du meintest, dass verschlüsselte Passwörter gut gesichert abgelegt werden sollten ([pref:t=44964&m=245300]). Ist dann die logische Schlussfolgerung daraus, dass gecryptete Passwörter für die Verwendung in .htusers-Dateien die bessere Wahl sind?

Also eigentlich ist ja .htdigest zusammen mit Digest Auth die bessere Wahl, aber da ist der IE ja leider kaputt.

Und ja, man kann MD5-Passwörter in der .htpasswd verwenden (Option -m für htpasswd) und ja, da wird auch ein Salt verwendet, sodass man sie problemlos statt crypt-Passwörtern einsetzen kann. Aus den genannten Gründen (crypt nimmt nur die unteren 7 Bits der ersten 8 Zeichen) ist es sogar deutlich sinnvoller, falls der Webserver damit umgehen kann.

Moin Moin !

N'abend,

Kann ich derart verschlüsselte Passwörter auch in .htusers-Dateien speichern?
Klar kannst Du. Aber ob der Webserver damit etwas anfangen kann ... ;-)

Du meintest, dass verschlüsselte Passwörter gut gesichert abgelegt werden sollten ([pref:t=44964&m=245300]).

Ja. Zumindest so gut, daß kein Angreifer dran kommt. Obwohl ein MD5-Password wahrscheinlich etwas schwieriger zu cracken ist als crypt. Für Crypt brauchst Du bei bekanntem Hash ("INblablabla") nur alle Kombinationen von 1 bis 8 Zeichen durch crypt jagen (SALT sind die ersten zwei Zeichen des Hash), um ein passendes Password zu bekommen (nicht unbedingt das Original). ASCII 0 ist nicht zulässig (Stringende). Für eine erste Schätzung mußt Du max. 128^8 Kombinationen ausprobieren, von denen einige redundant sind, das sind 7,2*10^16 Kombinationen. Es wird natürlich noch weniger, wenn Du Dich auf direkt eingebbare Zeichen beschränkst.

Ist dann die logische Schlussfolgerung daraus, dass gecryptete Passwörter für die Verwendung in .htusers-Dateien die bessere Wahl sind?

Nicht unbedingt. Wenn außer Dir, dem Webserver und root niemand die .htusers-Datei lesen kann und der Webserver die Datei auf keinen Fall ausliefert, kannst Du auch MD5 nehmen. Das gilt genauso für crypt. Und so sollte es normalerweise auch eingestellt sein.

MD5 ist außerdem wesentlich schwerer anzugreifen (Beweis: Google, sorry, kein Bock zum suchen), weil Du einen viel größeren Eingabebereich durchspielen mußt.

Der beste Password-Schutz nützt Dir sowieso gar nichts bei schlechten Passworten und/oder Social Engeneering: http://www.theregister.co.uk/content/55/30324.html - Titel: "Office workers give away passwords for a cheap pen"

Fazit: MD5 oder crypt, es ist relativ egal. Sorge für gute und regelmäßig geänderte Passworte. Schütze die Password-Datei.

Alexander