Hallo Experten,
ist es ratsam ein PWD so zu verschlüsseln, dass es nicht mehr ausgelesen werden kann?
Oder ist es besser dieses so zu verschlüsseln das es später von Entwickler/Programmierer auslesbar ist?
Im zweiten Fall wäre es ärgerlich da sonst bei einem Hackerangriff Daten / Passwörter eventuell sichtbar wären.
Lg,
Chris
Moin moin Chris_122
Hallo Experten,
ist es ratsam ein PWD so zu verschlüsseln, dass es nicht mehr
ausgelesen werden kann?
Ja .
Oder ist es besser dieses so zu verschlüsseln das es später
von Entwickler/Programmierer auslesbar ist?
Nein , bzw welchen Sinn soll das haben ?
Im zweiten Fall wäre es ärgerlich da sonst bei einem
Hackerangriff Daten / Passwörter eventuell sichtbar wären.
Passwörter mit SHA etc verschlüsseln und in einer Datei (bzw DB) lagern .
Der Kunde weiss sein Passwort und das wird dann wieder mit SHA etc verschlüsselt und geguckt ob es den gleichen Wert ergibt . Somit weiss nur der Kunde sein Passwort.
Schlechte systeme können dir das Passwort zuschicken , das heisst aber auch das jemand mit zugriff auf die routinen damit dann die passwörter bekommen kann , das wäre z.b. die flasche vorgehensweise . Niemals und nicht sollte ein System die Passwörter kennen , braucht es ja auch nicht , dafür gibt es den User , der alleine kennt seine passwörter .
Lg,
Chris
Vielen Dank für die AW.
Ich wünsch noch eine Erholsame Weihnachtszeit.
Hallo ihr zwei,
leider bin ich wieder einer anderen Meinung, aber nicht was die grundsätzliche Herangehensweise angeht, sondern was die technische Umsetzung anbelangt.
Passwörter mit SHA etc verschlüsseln und in einer Datei (bzw
DB) lagern .
Das ist zu wenig, da man somit offen für Wörterbuchattacken ist. Durch SHA oder alle anderen Hashes werden gleiche Phrasen immer in die gleichen Hashes umgewandelt. Wenn ich also einmal eine originale Phrase zu einem Hash kenne, ist die Anwendung wieder anfällig.
Solche Wörterbücher (Rainbowtables) sind schnell erzeugt und noch schneller für billig Geld irgendwo gekauft. Wenn also jemand an die Daten deiner Datenbank kommt, dann bist du mit einfachem SHA nicht viel sicherer als mit Passwörtern im Klartext.
Das Zauberwort heißt gesalzene Hashes. Einen guten Einstieg findest du hier: http://www.heise.de/security/artikel/Passwoerter-unk…
Und da das Problem nicht nur eines von dir ist, bringt PHP gleich einen Satz von Funktionen mit, die das höchsteinfach lösen. Bitte friemel dir nicht selbst irgendwas zusammen, sondern nimm fertige und millionenfach getestete Standardfunktionen.
Hier steht in einfachem Deutsch, wie es gemacht wird:
http://www.heise.de/security/meldung/PHP-5-5-soll-Pa…
Und hier nochmal richtig: http://php.net/manual/de/function.password-hash.php
Niemals und nicht sollte ein System die
Passwörter kennen , braucht es ja auch nicht , dafür gibt es
den User , der alleine kennt seine passwörter .
Dem stimme ich uneingeschränkt zu.
Günther