Jens Holzkämper: Dateien auf Server verschlüsseln

Beitrag lesen

SELF-Forum

Dateien auf Server verschlüsseln

Jens Holzkämper
Informationen zu den Bewertungsregeln

Tach,

Früher dachte man, md5 ist "Die einzig gültige Speicherform". Dann war es ein anderer Algorithmus und dann der nächste. Ich denke, dass ein gut gewähltes Passwort welches selbst nur mit md5 gehasht ist, einigermaßen sicher ist (in Verbindung mit Salts natürlich).

das ist leider Unsinn, md5 und andere Crypto-Hashes sind darauf ausgelegt schnell zu sein und sind deswegen für den Einsatzzweck Passwortspeicherung schlecht geeignet; md5, SHA u.a. sind wunderbar auf Grafikkarten zu berechnen, md5 auf einer einzelnen GPU z.B. 400 Millionen Passwörter pro Sekunde (http://www.insidepro.com/eng/egb.shtml). bcrypt/scrypt dagegen sind darauf ausgelegt langsam zu sein und könenn damit genau das verhindern, was man bei einer verlorenen Passworttabelle verhindern will, nämlich einen Brute-Force-Ansatz; bcrypt ist sogar problemlos in der Zukunft um weitere Runden erweiterbar und damit relativ zukunftssicher (solange kein direkter Angriff auf den Algorithmus möglich ist.).

Wie viele Millionen werden für die Sicherheit bei solchen Websites oder generell Netzwerken ausgegeben und wie viele "Kluge" Köpfe sind dort nur für die Sicherheit Zuständig und trotzdem passiert es.

Es wird erschreckend wenig ausgegeben und es wird erschreckend wenig auf diejenigen gehört, die sich auskennen.

Heute betrachtet man vielleicht bcrypt als "einzig gültige Speicherform" aber morgen kann das schon wieder anders sein.

Ja und? Deshalb auf etwas noch schlechteres setzen ist sicher keine sinnvolle Lösung.

Offenbar ist es gegenüber dem User irrelevant, ob die Datei verschlüsselt ist. Sie verhält sich ihm gegenüber unverschlüsselt. Warum ist Verschlüsselung trotzdem relevant?

Einfach aus Sicherheitsgründen!

Sicherheit wovor? Du kannst auf die Daten zugreifen, jeder der dein System kompromittiert kann das, der User kann es; vor wem soll das schützen?

Wenn ein Mensch ohne weitere Maßnahmen seine Haustür aufsperren und jederzeit wieder zusperren kann: Welchen Sinn hat dann das eigentliche Zusperren der Haustür?

Da hat der User den Schlüssel in der Hand, das möchtest du ja nicht.

mfg
Woodfighter

Beitrag melden
Informationen zu den Bewertungsregeln