nicht angemeldet
Hallo Forum,
Nicht 100% aber man kann einen String daraus generieren der als Passwort funktioniert.
Nein, kann man nicht.
Man kann solange Hashes von Zeichenkombinationen berechnen, bis man eine gefunden hat, die den gewünschten Hash ergibt, aber es gibt keine Funktion, die zu Hashes passende Zeichenketten generieren könnte, wenn der Hash-Algorithmus nicht kryptoanalytisch gebrochen wurde.
Man kann natürlich Rainbow Tables erstellen oder erstellen lassen oder kaufen, aber die decken meist nur a-zA-Z und vielleicht 0-9 ab und gegen Hashes mit Salt sind sie komplett machtlos.
Es ist fast Wurst ob man Passwoerter verschluesselt oder nicht. Wer richtigen Zugriff auf die Tabelle erlangt braucht das Passwort eh nicht mehr. Wer die nur lesen kann hat halt minimal mehr Arbeit sich aus Hashes was zu generieren. Solange bekannte Funktionen benutzt werden gehts sogar recht fix.
Es kommt vor, insbesondere bei Umgebungen deren Administratoren mitdenken, dass ein Angreifer zwar eine Sicherheitslücke findet, aber dann nur sehr begrenzten, ev. nur lesenden Zugriff auf die Datenbank hat, und dann ist es sehr zu wünschen, dass er nur versalzene Hashes von Passwörtern findet.
Praktischer ist es das Passwort im Klartext zu sichern, etwas sicherer, es zu kodieren. Da reicht dann ein kurzer Blick nicht mehr aus.
Dann braucht man halt zwei kurze Blicke:
Einen in die Datenbank und einen in den Quellcode, wo die Dekodier-Funktion steht.
Außerdem gibt es keinen Grund, warum sich ein Dienstleister für die Passwörter seiner Kunden interessieren sollte, er kann im Falle eines vergessenen oder verlorenen Passwortes problemlos ein neues (echt zufälliges, hinreichend sicheres, temporäres) Passwort generieren lassen und dem Kunden zuschicken.
Gruß
Alexander Brock
