Hallo localhorst,
mutmaßlich geht es um
Pseudoprofis
und
herausreden
Aber ich fand auch, dass Jörg recht dünnhäutig war.
Du hast sicher recht, wenn Du sagst, dass die Hauptgefahrenquelle eines sicheren Systems innen liegt: bei den Admins, bei den Betreibern. Entweder, weil die existierenden Admins kriminell sind, oder weil sich ein Krimineller auf den Weg durch die Instanzen macht und Admin wird.
Wenn ein Krimineller Zugang zur DB / zu den DBs bekommt, dann ist es innerhalb dieser Institution vorbei mit der Sicherheit. Da ist es in dieser einen Institution dann auch egal, ob die PW im Klartext, im MD5 Hash, mit separat abgelegter Längeninfo oder im Super-Duper-XKTZ-2099-Cryptohash gespeichert wurden.
Die Speicherung der PW-Länge in einer separaten DB ist Security by Obscurity: Man muss eine spezifische interne Information haben, um das PW rekonstruieren zu können. SbO ist aber nur Illusion, keine Security. Sie hilft Dir gegen inkompetente Einbrecher, oder gegen Code Injections, die irgendwie den PW Hash ermitteln. Und gegen kompetente Gegner hilft sie nichts, sondern macht ihnen, wie oben schon gesagt, das Leben leichter, weil nur noch Passwörter einer bestimmten Länge in Frage kommen.
Das Speichern eines separaten Hashs passiert ja eigentlich bei den neueren Methoden, wenn auch etwas anders gelöst. Da verwendet man ein Zufallssalz, wodurch vorausberechnete Angriffe sabotiert werden. Das funktioniert so gut, dass man das Salz nicht mal geheim halten muss. Elementare Anforderungen an Passwörter werden dadurch natürlich nicht obsolet, sie müssen schon eine gewisse Mindestkomplexität mitbringen.
Die Länge nützt nur in einem Fall: dass jemand von außen, durch Durchprobieren von Passwörtern auf dem Login-Form (per Script natürlich) versucht, das Passwort zu finden. Wenn es zwei PW gibt, die den gleichen Hash liefern, dann ist die Chance sehr klein, dass sie auch gleich lang sind.
Aber: Der Werteraum der Hashes, selbst bei MD5, ist so riesig, dass eine Hashkollision bei Passwörtern eigentlich nicht vorkommt. Deswegen ist der Zusatznutzen den Aufwand nicht wert. Da ist ein Fehlversuchszähler viel sinnvoller, der nach 5 oder 10 Versuchen die User-ID sperrt.
Wobei auch das überlegt sein muss - diesen Zähler hatten wir im carcassonne-online.info Forum. Und als jemand anfing, genau diesen Angriff gegen uns zu fahren, waren plötzlich alle User gesperrt, die Postings im offen lesbaren Bereich gemacht hatten. Da musste ich schnell die Loginseite gegen dumme Scripte härten (ein CSRF Token reichte).
Rolf
--
sumpsi - posui - obstruxi