deepthroat
Erfahrenes Mitglied
Welche Frage? Von Verschlüsselung war bisher nicht die Rede.
Passwortsicherheit durch md5 oder sha512
- Themenstarter newwarrior
- Beginndatum
newwarrior
Erfahrenes Mitglied
Die Passwörter sollen von einem normalen Login auf einer Webseite gehased in der DB liegen auf dem Server und verglichen werden.
In den letzten Jahren habe ich sowas immer mit MD5 gemacht. Jetzt habe ich aber auf einer meiner Fortbildungen (Bundeswehr) gelernt, dass MD5 nicht mehr sicher ist.
Daher meine Frage.
In den letzten Jahren habe ich sowas immer mit MD5 gemacht. Jetzt habe ich aber auf einer meiner Fortbildungen (Bundeswehr) gelernt, dass MD5 nicht mehr sicher ist.
Daher meine Frage.
newwarrior
Erfahrenes Mitglied
@deepthroat & newwarrior
Ich wollts nur nochmal gesagt haben
mfg chmee
Welche Tipps würdest du zur zusätzlichen Sicherung geben!
deepthroat
Erfahrenes Mitglied
Gut, das hat aber nichts mit Verschlüsselung zu tun. MD5 und SHA-x sind Hashfunktionen.
Gruß
Nyxxos
Grünschnabel
Ich denke mal es geht größtenteils auch einfach um den Datenschutz.
Es mag sein das jemand die Möglichkeit hat das Passwort zu loggen wenn er Zugriff auf die Seite hat, oder das Passwort einfach zu ändern.
Aber vom Datenschutz her macht man sich schon Strafbar wenn man Passwörter im Klartext speichert und das raus kommt.
Datenskandale gibt es ja mehr als genug.
Eine 100%ig sichere verschlüsselung gibt es auch nicht wirklich. Sie kann nur Komplizierter sein so das es länger dauert diese zu knacken. Aber zu 100%ig sicher ist keine Verschlüsselung.
Ich sage nur Rainbox Tables.
Dennoch sollte man die Sicherheit bei empfindlichen Daten wie Passwörter nicht aus den Augen lassen. Trotz der Tatsache das im Prinzip jede Verschlüsselung geknackt werden kann sollte man dennoch - wie hier der Thread Ersteller - versuchen die Daten so sicher wie Möglich zu verschlüsseln.
Warum es den vermeindlichen Hackern denn so leicht machen ;-)
Es mag sein das jemand die Möglichkeit hat das Passwort zu loggen wenn er Zugriff auf die Seite hat, oder das Passwort einfach zu ändern.
Aber vom Datenschutz her macht man sich schon Strafbar wenn man Passwörter im Klartext speichert und das raus kommt.
Datenskandale gibt es ja mehr als genug.
Eine 100%ig sichere verschlüsselung gibt es auch nicht wirklich. Sie kann nur Komplizierter sein so das es länger dauert diese zu knacken. Aber zu 100%ig sicher ist keine Verschlüsselung.
Ich sage nur Rainbox Tables.
Dennoch sollte man die Sicherheit bei empfindlichen Daten wie Passwörter nicht aus den Augen lassen. Trotz der Tatsache das im Prinzip jede Verschlüsselung geknackt werden kann sollte man dennoch - wie hier der Thread Ersteller - versuchen die Daten so sicher wie Möglich zu verschlüsseln.
Warum es den vermeindlichen Hackern denn so leicht machen ;-)
Rainbow-Tables 
Sicherheit ist eine Sache der Durchführbarkeit. Keine Verschlüsselung ist sicher, aber manche so langwierig, dass die Rechenzeit in keinem Verhältnis zum Ergebnis steht. Dieses Thema ist weitschürfender als nur die Hash-Methode - Salting, Vielfachsalting und -hashing, im Endeffekt reicht es schon, wenn man die User dazu verpflichtet, Paßwörter länger als 12 Zeichen inkl. Sonderzeichen und Groß/Kleinschreibung zu benutzen. Alles ist für die Katz, wenn sich zB in einer benutzten Klasse/Modul ein Schlupfloch auftut oder eine GET-variable nicht überprüft wird.
Zur Sicherheit an sich gibt es reichlich Diskussionsmaterial im ganzen Netz!
Könntest Du mit einem Link belegen, dass das stimmt?
mfg chmee
NACHTRAG für ne kleine Rechnung:
Angenommen, die Paßwörter sollen 8 Zeichen lang sein und dürfen Buchstaben Groß/Klein und Zahlen benutzen, also 26+26+10 = 62 Möglichkeiten pro Stelle. Das sind 218.340.105.584.896 Möglichkeiten. ~218 Billionen.. geht man davon aus, dass eine Grafikkarte in der Lage ist, per GPGPU ~15.000 SHA1-Möglichkeiten/sek per BruteForce durchzutesten (Link von 2011), kommt man auf eine komplette Durchlaufzeit von ~168.472 Tagen oder 461 Jahren. Statistisch legt man den Fund auf die halbe Zeit an, das reicht immer noch nicht aus, dass der gewöhnliche Scriptkid mit seinem GamerPC schnell fertig wird.
http://de.wikipedia.org/wiki/Rainbow_Table
Sicherheit ist eine Sache der Durchführbarkeit. Keine Verschlüsselung ist sicher, aber manche so langwierig, dass die Rechenzeit in keinem Verhältnis zum Ergebnis steht. Dieses Thema ist weitschürfender als nur die Hash-Methode - Salting, Vielfachsalting und -hashing, im Endeffekt reicht es schon, wenn man die User dazu verpflichtet, Paßwörter länger als 12 Zeichen inkl. Sonderzeichen und Groß/Kleinschreibung zu benutzen. Alles ist für die Katz, wenn sich zB in einer benutzten Klasse/Modul ein Schlupfloch auftut oder eine GET-variable nicht überprüft wird. Zur Sicherheit an sich gibt es reichlich Diskussionsmaterial im ganzen Netz!
Könntest Du mit einem Link belegen, dass das stimmt?
mfg chmee
NACHTRAG für ne kleine Rechnung:
Angenommen, die Paßwörter sollen 8 Zeichen lang sein und dürfen Buchstaben Groß/Klein und Zahlen benutzen, also 26+26+10 = 62 Möglichkeiten pro Stelle. Das sind 218.340.105.584.896 Möglichkeiten. ~218 Billionen.. geht man davon aus, dass eine Grafikkarte in der Lage ist, per GPGPU ~15.000 SHA1-Möglichkeiten/sek per BruteForce durchzutesten (Link von 2011), kommt man auf eine komplette Durchlaufzeit von ~168.472 Tagen oder 461 Jahren. Statistisch legt man den Fund auf die halbe Zeit an, das reicht immer noch nicht aus, dass der gewöhnliche Scriptkid mit seinem GamerPC schnell fertig wird.
http://de.wikipedia.org/wiki/Rainbow_Table
Sorry für das lange Zitat, aber da ist alles gesagt.
Zuletzt bearbeitet:
Nyxxos
Grünschnabel
Habe gerade danach gegoogelt das Passwörter nicht im Klartext gespeichert werden dürfen.
Scheinbar ein Irrtum meinerseits. Ich meine immer gehört zu haben das Passwörter im Klartext wegen dem Datenschutz nicht gespeichert werden dürfen. Da habe ich mich geirrt. Es ist erlaubt Passwörter im Klartext zu speichern allerdings ist dies ein enormes Sicherheitsrisiko.
Entschuldigung meinerseits für diesen Irrtum.
Scheinbar ein Irrtum meinerseits. Ich meine immer gehört zu haben das Passwörter im Klartext wegen dem Datenschutz nicht gespeichert werden dürfen. Da habe ich mich geirrt. Es ist erlaubt Passwörter im Klartext zu speichern allerdings ist dies ein enormes Sicherheitsrisiko.
Entschuldigung meinerseits für diesen Irrtum.
newwarrior
Erfahrenes Mitglied
Macht es Sinn, klar von der Sicherheit, auch auch von der Benutzerfreundlichkeit her, die Benutzer alle 30 Tage dazu zu zwingen, ein neues Passwort zu erstellen und einen PWHistory einzuführen?
Danke
Danke
Neue Beiträge
-
-
DataGrid Virtualisierung - Komischer Fehler beim scrollen- Letzte: AnnaBauer21
-
-
