Hallo
Eben. Wenn ich an deine Daten will, dann attackiere ich nicht deine Datenbank, sondern deinen Application-Server. Der ist ohnehin viel einfacher anzugreifen und einfacher zu knacken. Irgendein PHP-Script wird mir die Türen weit öffnen, während der Datenbank-Daemon meist nicht öffentlich erreichbar ist und seltener remote-exploitable ist. Wenn ich mich auf dem App-Server eingenistet habe, dann ist sämtliche Verschlüsselung in der Datenbank hinfällig.
D.h. du speicherst Passwörter auch ungehasht in deiner DB weil man ja sowieso einfach nur den Application Server angreifen muss? :S
Hash != Verschlüsselung
Ein gehashtes Passwort kann – einen zum Zeitpunkt des Angriffs sicheren Algorithmus vorausgesetzt – nicht entschlüsselt werden. Verschlüsselte inhalte sollen demgegenüber wieder entschlüsselt werden können.
Es ist doch schon oft genug vorgekommen,dass "nur" die Datenbank angegriffen wurde oder? Hört man fast wöchentlich, dass von einer der größeren Websites Datensätze aufgetaucht sind.
Steht, wenn man das hört oder liest, auch dabei, ob in diesen Fällen die Datenbank oder der Webserver angegriffen wurde? Im Normalfall steht es nicht dabei, womit *das* kein Argument für oder gegen die Verschlüsselung auf DB-Ebene ist.
Tschö, Auge
Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
Terry Pratchett, "Wachen! Wachen!"
ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
Veranstaltungsdatenbank Vdb 0.3