sicherstes loginsystem?

[bloody]

Kann mir jemand verraten welches Loginsystem wohl das sicherste ist (und eventuell auch ein Beispiel wie man das dann anwenden kann).

Soll nix besonderes sein, aber halt auch nich so easy zu knacken wie zb. das Textbasierte.

 

[Dario Linsky]

du könntest die kennwörter mit md5-hashes verschlüsselt in der datenbank ablegen und dann beim login einfach das eingegebene kennwort wieder verschlüsselt überprüfen.
den kennwortgeschützten bereich der seite holst du dir dann einfach aus include-dateien, die selbst in einem kennwortgeschützten verzeichnis (.htaccess) auf dem server liegen und zusätzlich noch php-code enthalten. das ist schon ziemlich sicher und dann sollte da auch auf herkömmlichen wege niemand rankommen.
die md5-hashes aus der datenbank können auch nicht eindeutig in das kennwort zurückgerechnet werden.

 

[bloody]

ahja und das geht wie? =)

 

[Neurodeamon]

Verschlüsseln:

<HTML>
<HEAD>
    <TITLE>Crypt</TITLE>
</HEAD>
<BODY>
Bitte das Passwort angeben:
<FORM ACTION="<?php echo $PHP_SELF ?>" METHOD=post>
<INPUT type=text name=klartext maxlength=12>
<INPUT type=submit value=Go>
</FORM>
<?php
if (IsSet ($klartext)):
$salt=21;
    echo "Der Crypt lautet:".crypt($klartext,$salt);
endif;
?>
</BODY>
</HTML>

Ist übrigens auch nützlich wenn man für .htaccess Passworte verschlüsseln möchte.


Aber das und alles andere steht 100%ig schon im Forum, bitte die

Funktion benutzen!!!

 

[m4nueL]

htaccess

Hallo,

also soweit ich weiß is HTAccesss das sicherste loginsystem.

 

[| Kab00m |]

stimmt, aber es läuft nicht überall ordentlich (zB Win32) ...
Man kann aber per php einen htaccess-login simulieren, wie ich es hier beschrieben habe

 

[origin^sad]

also erstmal , verschlüsselst das ganze mit md5 (die Ziffern und Buchstaben Reihenfolge bekommt niemand raus , liegt auch waren das man den md5 code netmehr umwandeln kann)

$PW = md5($deineVar);

und dann würde ich es mit sessions machen ,weil wire schon oben erwähnt HTACCESS Probleme hervorrufen kann

 

[Flex]

Also, die sicherste Verschlüsselungsmethode ist immer noch md5 da diese nicht zurückentschlüsselt werden kann...

Hierzu ein Quote von php.net

I must point out to all the people who read the notes this far that MD5 is _not_ encryption in a traditional sense. Creating an MD5 digest (or hash) of a message simply creates 128 bits that can be used to almost positively identify that message or object in the future. You use MD5 if you want to validate that information is true. For example, you may ask a user to submit a message through a browser POST and save an MD5 of that message in a database for a preview function. When the user submits it the second time, running the MD5 hash of the new version of the text and comparing it to the original MD5 in the database will tell you if the text has changed at all. This is how MD5 is used -- it is _not_ for encrypting things so as to get the data back afterward -- the MD5 hash version does _not_ contain the data of the original in a new form.

Have Fun

 

[| Kab00m |]

mh, also md5() und zB die crypt()-funktion sind beide afaik gleichsicher, da beide nicht entschlüsselbar sind. Was ja auch sinn der Sache ist!
Unter Linux/Unix muss man crypt verwenden, nur unter Win32 muss man (angeblich, bei mir läuft es ned ) md5 verwenden

EDIT: gleichsicher heisst, das es atm theoretisch unknackbar ist

 

[TeCe]

Also ich hab mir sehr viele Gedanken über die Sicherheit von meinen Logins gemacht. Man landet mit Jeder Aktion auf der Adminseite in einer 10minuten-Session. das Passwort wird gesplittet. ein Teil landet per md5 in meiner DB, der Andere wird in ebenfallls per md5 zwischen eine leere Gif in einem .htaccess-geschütztem Verzeichnis verstaut. Dazu kommt dann noch eine Datei die man mit uploaden muss, dessen CRC32-Summe mit der in einer 2.DB gespeicherten übereinstimmen muss.

--bin ich Paranoid oder leide ich unter Verfolgungswahn?--