Ist diese Passwortdatenbank sicher genug?

Registrierer hat gesagt.:
Der Schlüssel war hier in dem Fall bekannt, normalerweise muß er in ein Formular eingegeben werden.
Zum Vergrößern anklicken....
Dann werden also quasi zwei Kennwörter verwendet. Und wo werden die gespeichert? Beide in der Datenbank? Und was ist, wenn das zur Verschlüsselung verwendete Kennwort verloren geht? Dann wären auch alle anderen damit verschlüsselten Kennwörter unbrauchbar.
 
Gumbo hat gesagt.:
Dann werden also quasi zwei Kennwörter verwendet. Und wo werden die gespeichert? Beide in der Datenbank? Und was ist, wenn das zur Verschlüsselung verwendete Kennwort verloren geht? Dann wären auch alle anderen damit verschlüsselten Kennwörter unbrauchbar.
Zum Vergrößern anklicken....

Es werden tatsächlich zwei in einem Datensatz gespeichert:
1. zu einen das "Masterpasswort" als Hash per SHA1 + Salz
und zum anderen
2. das Passwort, welches ich wieder auslesen will per MYCRYPT mit Nr.1 verschl.

Nr. 1 ist der Schlüssel, der verglichen wird um mit eben diesem Schlüssel das MYCRYPT verschlüsselte Passwort zu decodieren.

Das heisst: Ich rufe die Datei auf und muß in einem Input Feld das Masterpasswort eingeben, darauf hin wird es mit dem Hash verglichen und bei Übereinstimmung das MYCRYPT encodierte Passwort mit dem Masterpasswort wieder decodiert.
 
Registrierer hat gesagt.:
@Sven Mintel

Bei Deinem hübschen Entschlüsselungsbeispiel ist natürlich ein Schnitzer!

Du kannst es nur entschlüsseln, wenn der Algorithmus UND der Schlüssel bekannt ist!

Der Schlüssel war hier in dem Fall bekannt, normalerweise muß er in ein Formular eingegeben werden.

Somit denke ich steht (sagen wir fast) jeder vor der Tür, wenn er den Schlüssel nicht hat, selbst wenn er DB Zugriff, Algorithmus und verschlüsselte PW's hat.
Zum Vergrößern anklicken....

Das sind natürlich neue Gesichtspunkte.

Wenn es also so ist, dass der Schlüssel wirklich nirgends auf dem Server/in der DB in entschlüsselbarer Form abgelegt ist, würde ich die in der DB gespeicherten Passwörter als gut abgesichert gegen eine Entschlüsselung(von dir selbst mal abgesehen) ansehen.

Ich gebe aber Folgendes zu Bedenken:
bei einem unberechtigtem Zugriff auf den Server wäre es möglich, einen Trojaner einzuschleusen, der den Schlüssel weiterleitet, sobald du ihn eingibst.
 
Na, jetzt bin ich ja beruhigt :-) Hatte schon schlimmes beführchtet...
Kennst Du Dich mit mod_rewrite aus?
Hatte dazu einen Beitrag geschrieben, da ich hier ziemlich im dunkeln tappe.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück