Jörg Reinholz: php update

Beitrag lesen

$options = [     'salt' => '1234567890abcdefghijklmnopqrstuvwxyz', ];

$hash = password_hash($pw, PASSWORD_DEFAULT, $options);

HALT: Das ist FALSCH!

Damit erleichterst Du es einem Angreifer, der die Datenbank erbeutet hat, die Passwörter zu extrahieren, denn der muss nur einmal hingehen und die Rainbow.Tables für Deinen konstanten Salt erzeugen.

Richtig ist, den salt NICHT vorzuschreiben, denn dann nimmt password_hash() jedes Mal einen zufälligen und der Angreifer muss für jedes Passwort neue Rainbow-Tables erzeugt und gespeichert haben. Zumindest das Speichern ist derzeit nicht möglich, denn:

64 mögliche Zeichen im Salt und 16 Stellen im Salt ergeben schlappe 64^16=79.228.162.514.264.337.593.543.950.336 verschiedene Möglichkeiten für den Salt!

Jörg Reinholz

0 66

Verbesserungen, Kritik, Meinungen

Paul
  • php
  1. 0
    Jörg Reinholz
    1. 0
      Paul
      1. 0
        ChrisB
        1. 0
          Paul
          1. 0
            Jörg Reinholz
            1. 0
              Paul
              1. 0
                Jörg Reinholz
                • programmiertechnik
                1. 0
                  Paul
                  1. 0
                    Jörg Reinholz
                    1. 0

                      Wir nähern uns dem Ziel? : )

                      Paul
                      1. 0
                        Jörg Reinholz
                        1. 0
                          Paul
                          1. 1
                            dedlfix
                            1. 0

                              php update

                              Paul
                              1. 0
                                dedlfix
                                1. 0
                                  Paul
                                  1. 0
                                    dedlfix
                                  2. 0
                                    Jörg Reinholz
                                    1. 0

                                      ohje

                                      Paul
                                      1. 0
                                        Jörg Reinholz
                                        1. 0
                                          Paul
                                          1. 0
                                            Jörg Reinholz
                                            1. 0

                                              Danke an dedlfix und Jörg Reinholz

                                              Paul
                                            2. 0
                                              Bobby
                                              1. 0
                                                Sven Rautenberg
                                                1. 0
                                                  dedlfix
                                                  1. 0
                                                    Sven Rautenberg
                                                    1. 0
                                                      Jörg Reinholz
                                                    2. 0
                                                      dedlfix
                                                      1. 0
                                                        Sven Rautenberg
                                                2. 0
                                                  Bobby
                                                  1. 0
                                                    Sven Rautenberg
                                                    1. 0
                                                      Jörg Reinholz
                                                    2. 0
                                                      Bobby
                                  3. 0
                                    Jörg Reinholz
                            2. 0
                              Jörg Reinholz
                              1. 1
                                Sven Rautenberg
                                1. 0
                                  Jörg Reinholz
                            3. 1
                              Matti Mäkitalo
                        2. 0

                          Kopfkino

                          Paul
                          1. 0
                            Jörg Reinholz
          2. 0

            Antwort II

            Jörg Reinholz
      2. 0

        sha1 ist tot.

        Jörg Reinholz
  2. 0

    NACHTRAG url

    Paul
    1. 0
      ChrisB
      1. 0
        Paul
  3. 0
    hotti
    1. 0

      speichern in $_SESSION

      Paul
      1. 0

        Objekt für die Userdaten

        hotti
        1. 0
          Paul
  4. 0
    Jörg Reinholz
    • selfhtml-wiki
    1. 0
      Matthias Apsel
      1. 0
        Jörg Reinholz
        1. 0
          Matthias Apsel
          1. 0
            Jörg Reinholz
    2. 0
      Matthias Apsel
    3. 0
      hotti
      1. 0
        Mitleser
        1. 0
          Jörg Reinholz
    4. 0

      Zu diesem Zweig: hier get es weiter (Link)

      Jörg Reinholz
    5. 1
      Christian Kruse
      1. 0
        Jörg Reinholz
        1. 0
          Christian Kruse
          1. 0
            Jörg Reinholz
            1. 0
              Christian Kruse