re-hashing

[ohio]

guden,

folgendes: ich lege meine passwörter in der db mit hilfe von crypt($str, $salt) ab und vergleiche sie bei bedarf. nun will ich der paranoia halber gerne noch per cronjob täglich meinen $salt ändern. dafür müsste ich wiederum auch die passwörter in der db umschreiben. da man wohl nicht entcrypten kann, gibts da ne andere möglichkeit außer selbst nen algo zu dudeln?

gruss ohio

 

[Matthias Reitinger]

Hm... also erstens gibt´s bei crypt kein zurück und zweitens weiß ich nicht, was das ändern des Schlüssels bringen soll... In welchem Fall wäre das denn von Nutzen?

 

[ohio]

ein analoges beispiel wäre sicherlich der banktresorschlüsselsatz, welcher in regelmäßigen zeitabständen geändert wird, falls $salt mal in falsche hände gerät, wie auch immer.

 

[Wolfsbein]

Du musst aber sehr wichtige Sachen speichern . Aber ich denke auch, dass du einen Algo brauchst, der jeden DS einzeln ändert. Du könntest aber auch einfach einen sichereren Verschlüsselungsmechanismus wie Blowfish verwenden.

 

[Matthias Reitinger]

Na ja, so analog ist das nicht... wenn jemand an den Salt kommt, nutzt ihm das gar nichts. Die Passwörter findet derjenige dadurch auch nicht leichter raus. Und selbst wenn er noch die gecrpyteten Hashes dazu haben würde - wieder Pustekuchen, als einzige Möglichkeit bleibt da nach wie vor ein Dictionary oder Brute-Force. Und das sollte man ja auch so unterbinden können...

Da fällt mir eine etwas richtigere Bank-Analogie dazu ein:
Aus lauter Angst um dein Geld lässt du dir von deiner Bank jeden Tag extra eine neue ec-Karte geben - es könnte ja sein, dass jemand deine in die Finger bekommt

Der Witz dabei ist, dass die ohne Geheimzahl ja bekanntlich recht wertlos ist

 

[ohio]

pustekuchen is

ne spass bei seite, oder doch nich, war eher mehr ein drang nach wissen, welches sich auf naive paranoia stütze

*zurbankrenn*

gruss ohio

 

[Neurodeamon]

*häck**häck**häck**häck*

*hähä* Dein $salt ist: 21

 

[ohio]

äähhm... nicht mehr. :%