max. Sicherheit beim Arbeiten von Login mit Sessions (PHP) von Bademeister, 01.03.2011 18:20

max. Sicherheit beim Arbeiten von Login mit Sessions (PHP)

Bademeister 01.03.2011 18:20

programmiertechnik

Hi.

MD5 ist unsicher. Schau Dir mal die [Urbild-Attacken](http://en.wikipedia.org

Also das kann ich so nicht stehen lassen. MD5 ist bestimmt für viele Seiten ausreichend.

Ich habe selber eine private Website am laufen, auf der Passwoerter von Usern ohne Salt als MD5 gespeichert sind. Und ich sehe es auch nicht als besonders dringlich an, das mal zu aendern. Dennoch ist der Status Quo, dass es einigermassen effiziente [link:http://de.wikipedia.org/wiki/Preimage-Angriff) fuer MD5 gibt. Und damit ist es nicht sicher.

Es mag fuer gewisse Einsatzzwecke immer noch "ausreichend" sein, ja, aber: "ausreichend" ist so ein bisschen eine gefaehrliche Haltug in der Kryptographie. Wenn man jetzt ein Login-System neu programmiert, gibt es keinen guten Grund, MD5 statt etwa einen geeigneten SHA-2 zu benutzen. Das wollte ich nur sagen.

Kein Hacker macht sich die Arbeit bzw bemüht sein Rechner um die Datenbank von www.meinehomepage.de zu knacken und die Benutzerdaten von admin/root zu bekommen.

Kann sein. Aber unterschaetze auch nicht, zu welchem Bloedsinn Hobby-Hacker faehig sind, die aus Spass an der Freude ein paar Fingeruebungen machen wollen.

Das es eine sichere Methode gibt da gebe ich dir Recht. Aber eine Möglichkeit wäre auch auf das md5 Passwort noch einmal md5 anzuwenden so in etwa:

<?php
$passmd5 = md5(md5("passwd"));
?>
Damit bräuchte mann schon doppelt so lang diese Passwort zu kacken.

Das ist ein gefaehrlicher Irrtum.

Eine andere Möglichkeit wäre es den Benutzer ein Passwort eingeben zu lassen was min. 12(vllt auch mehr) zeichen lang ist, zahlen und Großbuchstaben enthält. Der daraus generierte Hash-Wert ist 100x schwerer zu kacken.

Das wurde ja schon angesprochen. Aber: Das macht Rainbow-Attacken schwierig. Die Unsicherheit von MD5 liegt nicht an moeglichen Rainbow-Attacken (das traefe ja auf alle Hash-Funktionen gleichermassen zu).

Also ich hoffe Ihr versteht mich richtig man muss nicht immer mit Kanonen auf Spatzen schießen ;)

Wenn die Kanonenkugeln gratis sind, spricht aber auch nichts dagegen.

Viele Gruesse,
der Bademeister

Beitrag melden

– Informationen zu den Bewertungsregeln

SELFHTML Forum - Ergänzung zur Dokumentation Übersicht

Bademeister: max. Sicherheit beim Arbeiten von Login mit Sessions (PHP)

Beitrag lesen

max. Sicherheit beim Arbeiten von Login mit Sessions (PHP)

max. Sicherheit beim Arbeiten von Login mit Sessions (PHP)

Huch

vorläufiges Ergebnis: Sicheres Arbeiten mit Sessions / Login