Passwortsicherheit durch md5 oder sha512

newwarrior

newwarrior

Erfahrenes Mitglied
Hallo,

ich wollte mal was wissen.
Zur Zeit verschlüssel ich meine Passwörter durch md5. Jetzt hatte ich überlegt auf sha512 umzusteigen um so die Sicherheit meiner Benutzer mehr zu gewährleisten.

Macht das Sinn?
Ist sha512 wirklich so viel sicherer?

Danke
 
jannicars hat gesagt.:
Ja, ist sha1.
Zum Vergrößern anklicken....
Was willst du uns damit sagen?

@newwarrior: Wie verwendest du denn die Passwörter? Die liegen doch sicherlich auf dem Server oder? Insofern ist die Sicherheit der Passwörter nur relevant wenn jemand auf dem Server einbricht und an die Passwort-Hashes kommt. Wenn er allerdings schon auf dem Server ist... ist evtl. auch egal ob er (eine immer noch relativ aufwendige) Berechnung von Kollisionen für die einzelnen Passwort-Hashes durchführt oder nicht.

Ansonsten: ja, SHA-512 ist sehr viel sicherer als MD5. Für die SHA-2 Algorithmen ist generell noch kein Angriff bekannt um (in akzeptabler Zeit) Kollisionen zu berechnen.

Gruß
 
Die Frage als Solches ist ja beantwortet. Dennoch möchte ich gerne nochmal den Einwand machen, dass SHA weit weniger nützt als erhofft => Wenn der werter Herr Einbrecher schon mal auf dem Server ist, braucht er nur noch die Daten der Login-Form -weit vor Verschlüsselung und Vergleich mit DB-Inhalt- an sich selbst zu schicken, im Klartext. Oder er schreibt sich die Passwörter selbst rein, auch nicht das Problem, nur auffälliger. Letztlich darf das System nicht infiltrierbar sein - und genau das ist ein größeres Problem als die "stupide" Verschlüsselung von Passwörtern.

mfg chmee
 
chmee hat gesagt.:
Die Frage als Solches ist ja beantwortet. Dennoch möchte ich gerne nochmal den Einwand machen, dass SHA weit weniger nützt als erhofft => Wenn der werter Herr Einbrecher schon mal auf dem Server ist, braucht er nur noch die Daten der Login-Form -weit vor Verschlüsselung und Vergleich mit DB-Inhalt- an sich selbst zu schicken, im Klartext. Oder er schreibt sich die Passwörter selbst rein, auch nicht das Problem, nur auffälliger. Letztlich darf das System nicht infiltrierbar sein - und genau das ist ein größeres Problem als die "stupide" Verschlüsselung von Passwörtern.

mfg chmee
Zum Vergrößern anklicken....

Ja, das ist mir klar.
Doch muss ich ja auch eine gewisse Sicherheit in meinem Script bieten.
Daher die Frage nach der Verschlüsselung.
Auch wird ein SSL Zertifikat beim Login benutzt.

Die Sicherheit meines Linus Servers gewährleiste ich durch andere Mechanismen
 
Hi. :)
chmee hat gesagt.:
Die Frage als Solches ist ja beantwortet. Dennoch möchte ich gerne nochmal den Einwand machen, dass SHA weit weniger nützt als erhofft => Wenn der werter Herr Einbrecher schon mal auf dem Server ist, braucht er nur noch die Daten der Login-Form -weit vor Verschlüsselung und Vergleich mit DB-Inhalt- an sich selbst zu schicken, im Klartext. Oder er schreibt sich die Passwörter selbst rein, auch nicht das Problem, nur auffälliger. Letztlich darf das System nicht infiltrierbar sein - und genau das ist ein größeres Problem als die "stupide" Verschlüsselung von Passwörtern.
Zum Vergrößern anklicken....
Ich dachte, das hätte ich auch schon deutlich gemacht... ;)

Allerdings hat newwarrior auch nicht verraten wie die Passwort-Hashes eingesetzt werden...

Wikipedia hat gesagt.:
Some of the applications that use cryptographic hashes, such as password storage, are only minimally affected by a collision attack. Constructing a password that works for a given account requires a preimage attack, as well as access to the hash of the original password, which may or may not be trivial. Reversing password encryption (e.g. to obtain a password to try against a user's account elsewhere) is not made possible by the attacks. (However, even a secure password hash can't prevent brute-force attacks on weak passwords.)
Zum Vergrößern anklicken....
Gruß
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück