Moin,

seit einigen Wochen beschäftige ich mich mit der Sicherheit von Passwort Speicherungen. Um genauer zu sein um das Rekonstruieren eines Passwortes. Früher hat ein MD5 ja gereicht zum Passwort verschlüsseln. Heute gelingt aufgrund der Rechenleistung und Rainbowtabelles das Rekonstruieren eines verschlüsselten Passwortes recht einfach, so dass man am Ende per Klartext das Passwort (oder ein Synonym) sehen und verwenden kann.

Als Lösung wird ein mehrfaches Verschlüsseln per MD5 vorgestellt. In PHP gibt es dazu z.B. die Funktion bcrypt(). Beim verschlüsseln des Passwortes kostet das pro Aufruf ein paar Milisekunden, soll später bei einem Angriff die Zeit des Rekonstruierens sehr hochtreiben.

Und ich stell mir die Frage, wieso so kompliziert? Meine Lösung wäre da etwas einfacher. Ich würde das Passwort per md5 verschlüsseln und diese md5 Stringkette nochmals manipulieren z.B. könnte man den kompletten String einfach umdrehen. Der Angreifer weiß nicht dass der MD5 umgedreht wurde und versucht den umgedrehten md5 zu entschlüsseln. Selbst wenn ihm das gelingt bekommt er nicht das richtige Passwort raus.

Gute Idee?

Gruß
xeR-T