Sieht dies nach einem sicheren Passwortstring aus?
Bobby
- sonstiges
Moin
"$2y$14$vVdaWgOYC7/KhC$WVt.A1.2E0e.ylGVx0CZW9HIckO3yqYV7Tv8/i sbDCQZPVHUfNdwMfTLnYOqFON"
Sieht dies nach einem sicheren Hash aus?
Gruß Bobby
Hi,
"$2y$14$vVdaWgOYC7/KhC$WVt.A1.2E0e.ylGVx0CZW9HIckO3yqYV7Tv8/i sbDCQZPVHUfNdwMfTLnYOqFON"
Sieht dies nach einem sicheren Hash aus?
Kommt drauf an. Wenn der Originalstring
"$2y$14$vVdaWgOYC7/KhC$WVt.A1.2E0e.ylGVx0CZW9HIckO3yqYV7Tv8/i sbDCQZPVHUfNdwMfTLnYOqFON"
war: nein.
Wenn alle Eingabe-Strings diesen Hashwert erzeugen: nein.
Wenn ...
Der Schwierigkeitsgrad, aus einem Hashwert auf einen möglichen String zurückzuschließen, der diesen Hashwert erzeugt, läßt sich nicht aus einem einzigen Hashwert ablesen.
cu,
Andreas
Moin
"$2y$14$vVdaWgOYC7/KhC$WVt.A1.2E0e.ylGVx0CZW9HIckO3yqYV7Tv8/i sbDCQZPVHUfNdwMfTLnYOqFON"
Sieht dies nach einem sicheren Hash aus?
Kommt drauf an. Wenn der Originalstring
"$2y$14$vVdaWgOYC7/KhC$WVt.A1.2E0e.ylGVx0CZW9HIckO3yqYV7Tv8/i sbDCQZPVHUfNdwMfTLnYOqFON"
war: nein.
Wenn alle Eingabe-Strings diesen Hashwert erzeugen: nein.
Wenn ...
Ok, dann etwas genauer. Hashwert wurde erzeugt aus einer E-Mail-Adresse und einem Passwort
Über Blowfish bestehend aus einem String:
hash_mac(Whirlpool, str_pad(passwort, E-Mail über sha1()) und einem zufälligen Salt aus 25 Zeichen)
und einem Salt für Blowfisch erzeugt aus substr(22 Zeichen) der aus einem geschuffelten String, bestehend aus crypt (email, passwort und Rundenanzahl), herausgelöst ist
Ich hoffe das sind genug Infos zur Einschätzung. Wie sicher ist Blowfish allgemein?
Gruß Bobby
Moin,
- hash_mac(Whirlpool, str_pad(passwort, E-Mail über sha1()) und einem zufälligen Salt aus 25 Zeichen)
* Warum sha1?
* Wie _zufällig_ ist der Salt (also woher kommen die 25 Zeichen (oder Bytes?)?)
- und einem Salt für Blowfisch erzeugt aus substr(22 Zeichen) der aus einem geschuffelten String, bestehend aus crypt (email, passwort und Rundenanzahl), herausgelöst ist
Verarbeitet Blowfish nicht mehr als 22 Zeichen Salt oder warum sind es genau so viele? Und warum ist hier kein Zufall im Salt enthalten? (crypt verwended email als Salt um passwort zu hashen, korrekt? Beide Angaben kämen dann von außen.)
Ich hoffe das sind genug Infos zur Einschätzung. Wie sicher ist Blowfish allgemein?
Der Entwickler Bruce Schneier rät vom Einsatz ab. Aber das kommt wohl auch auf den Einsatzzweck ab, sprich wie viel Sicherheit du tatsächlich brauchst.
Viele Grüße,
Robert
Moin
* Warum sha1?
* Wie _zufällig_ ist der Salt (also woher kommen die 25 Zeichen (oder Bytes?)?)
Das Salt ist Aphanummerisch wirklich zufällig (25 ZEICHEN) und wird bei der Speicherung erzeugt. GUT sha1 könnte ich noch umändern. Sollte ein zusätzlicher Stoplerstein sein
- und einem Salt für Blowfisch erzeugt aus substr(22 Zeichen) der aus einem geschuffelten String, bestehend aus crypt (email, passwort und Rundenanzahl), herausgelöst ist
Verarbeitet Blowfish nicht mehr als 22 Zeichen Salt oder warum sind es genau so viele? Und warum ist hier kein Zufall im Salt enthalten? (crypt verwended email als Salt um passwort zu hashen, korrekt? Beide Angaben kämen dann von außen.)
Ja, es gab irgend ne Begrenzung auf 21,5 Zeichen. Ja, beide Angaben kommen von aUßen.
Ich hoffe das sind genug Infos zur Einschätzung. Wie sicher ist Blowfish allgemein?
Der Entwickler Bruce Schneier rät vom Einsatz ab. Aber das kommt wohl auch auf den Einsatzzweck ab, sprich wie viel Sicherheit du tatsächlich brauchst.
In anderen einschlägigen Quellen wird aber bcrypt empfohlen. Was würdest du statt dessen empfehlen? (Speziell für PHP oder MySQL)
Gruß Bobby
Moin
Das Salt ist Aphanummerisch wirklich zufällig (25 ZEICHEN) und wird bei der Speicherung erzeugt. GUT sha1 könnte ich noch umändern. Sollte ein zusätzlicher Stoplerstein sein
Was heißt „wirklich zufällig“, sprich welche Funktion erzeugt deinen Zufall und „wie viel“ Zufall benötigt deine Anwendung? Von den Anforderungen an die Sicherheit hängt auch ab, ob du einen anderen Hashing-Algorithmus als SHA1 verwenden möchtest.
- und einem Salt für Blowfisch erzeugt aus substr(22 Zeichen) der aus einem geschuffelten String, bestehend aus crypt (email, passwort und Rundenanzahl), herausgelöst ist
Verarbeitet Blowfish nicht mehr als 22 Zeichen Salt oder warum sind es genau so viele? Und warum ist hier kein Zufall im Salt enthalten? (crypt verwended email als Salt um passwort zu hashen, korrekt? Beide Angaben kämen dann von außen.)
Ja, es gab irgend ne Begrenzung auf 21,5 Zeichen. Ja, beide Angaben kommen von aUßen.
Was hältst du denn von einem Salt aus einer anderen Quelle als deine Benutzereingabe?
Der Entwickler Bruce Schneier rät vom Einsatz ab. Aber das kommt wohl auch auf den Einsatzzweck ab, sprich wie viel Sicherheit du tatsächlich brauchst.
In anderen einschlägigen Quellen wird aber bcrypt empfohlen. Was würdest du statt dessen empfehlen? (Speziell für PHP oder MySQL)
bcrypt != Blowfish. Mir scheint bcrypt in der Tat eine gute Wahl zu sein.
Viele Grüße,
Robert