Andere art PAssw�rter zu hashen

10/04/2013 13:31 "Sh4Xx"#1

Hey,

habe mal ne frage zu dem Thema Passw�rter hashen .

Kann man die Verschl�sslung �ndern?

Weil wenn man einen Server macht finde ich ist die momentane Verschl�sslung

CRAP

Deswegen w�re es mal Gut zu wissen ob man diese �ndern k�nnte

10/04/2013 13:39 #Saiirex#2

Quote:

Originally Posted by "Sh4Xx"

Hey,

habe mal ne frage zu dem Thema Passw�rter hashen .

Kann man die Verschl�sslung �ndern?

Weil wenn man einen Server macht finde ich ist die momentane Verschl�sslung

CRAP

Deswegen w�re es mal Gut zu wissen ob man diese �ndern k�nnte

Derzeit gibt es keine verschl�sselung, pw wird nur in hash gespeichert.

10/04/2013 13:45 iYoshix3#3

Man k�nnte sie auch einfach doppelt und dreifach "verhashen".

Mfg,
Yoshix3

10/04/2013 14:02 Computerfreek#4

Quote:

Originally Posted by "Sh4Xx"

Hey,

habe mal ne frage zu dem Thema Passw�rter hashen .

Kann man die Verschl�sslung �ndern?

Weil wenn man einen Server macht finde ich ist die momentane Verschl�sslung

CRAP

Deswegen w�re es mal Gut zu wissen ob man diese �ndern k�nnte

Hashen, nicht verschl�sseln. Und ja, das ginge. Ziemlich einfach sogar.
Nur bleibt f�r mich die Frage: Wof�r? Was soll das bringen?
MySQL5 ist schon sicher. Wenn die User unsichere Passw�rter benutzen die man leicht cracken kann ist das ihr Problem.

10/04/2013 14:14 #Saiirex#5

Quote:

Originally Posted by Computerfreek

Hashen, nicht verschl�sseln. Und ja, das ginge. Ziemlich einfach sogar.
Nur bleibt f�r mich die Frage: Wof�r? Was soll das bringen?
MySQL5 ist schon sicher. Wenn die User unsichere Passw�rter benutzen die man leicht cracken kann ist das ihr Problem.

Ein guter Serveradmin achtet auch auf Sicherheit der Nutzer.

10/04/2013 14:40 MartPwnS#6

K�nnte man in der DB �ndern, aber da m�sste man wahrscheinlich die Komplette funktion neuschreiben die den User einloggt, mit dem Gedanken hatte ich auch mal gespielt, vorallem kommt es noch darauf an ob diese Funktion sonst noch wo genutzt wird.

10/06/2013 12:52 Teh Daroo#7

Ja, w�re m�glich. Aber etwas umst�ndlich realisierbar. Modellversuch:
Verschl�ssel das Passwort zus�tzlich bevor es gehashed wird, mit z.B. base64(func: base64_encode). Nun �nder im Clienten dass der Text aus dem Passwortfeld zus�tzlich
mit base64 verschl�sselt wird, bevor er abgeschickt werden kann und voil� du hast deine
zus�tzliche Verschl�sselung. Aber wo liegt der praktische Nutzen? Ich seh da keinen.

Achja Verschl�sselung != Hash, ein Hash ist einseitig, d.h. du kannst darau� nicht wieder den Plaintext "entschl�sseln", insofern verstehe ich nicht, was an md5 "CRAP" sein soll.

10/06/2013 15:26 "Sh4Xx"#8

MD 5 kann man mitlerweile auf diversen Seiten "Enthashen" Und wenn mal die ACC Table geh�ckt oder sonstiges wird ist man sicherer danke f�r deine Antwort ;)

Wird mir helfen

10/06/2013 15:27 Pavle!K#9

doppelt verhashen? sollte gehen. aber auch nicht die perfekte L�sung.