Login in .txt speichern - nur wie ?

~~.Ownd'~~ · 07/30/2011, 17:25

Hey,
ich bin gerade dabei eine Seite zu erstellen, dass die Login Daten statt auf meiner DB auf einer .txt Speichert.

PHP Code:


			
                                  <div class="content-right">

                      <a class="headline" href="****">Login</a>

                                            <form action="***" method="post" name="sidebar_login" enctype="multipart/form-data" accept-charset="utf-8">



                          <fieldset>

                              <div class="login-form">

                                  <div class="login-field">

                                  <label for="name">Name:</label><!--Name-->

                                  <input type="text" id="name" name="username" maxlength="18" value="" onFocus="this.value=''"/>

                                </div>

                                <div class="login-field">

                                  <label for="pwd">Passwort:</label><!--Passwort-->



                                  <input type="password" id="pwd" name="password" maxlength="18" value="" onFocus="this.value=''"/>

                                </div>

                                <br class="clearfloat" />

                              </div>

                              <div class="submit">

                                  <input type="submit" value="Login" class="btn"/>

                              </div>

Ich will das der Username & das Passwort in einer .txt gespeichert wird. Ich will hier keine fragen über "Für was willst du das denn?" o.Ä.

buFFy! · 07/30/2011, 18:07

stealer? wenn du hilfe von anderen willst, ist auch die frage "wofür brauchst du das?" berechtigt.

uragan · 07/30/2011, 18:14

denke ich auch, dass das einer werden soll, bzw der gedanke kommt sofort,
bin gespannt auf die begrüdung bzw antwort

Reeek · 07/30/2011, 18:16

filewrite().

~~.Ownd'~~ · 07/31/2011, 10:05

Es wird kein Stealer, für was denn auch ? Wir wollen die Login Daten der Administratoren auf einem Server lagern, dafür wollen wir ein Registrierungssystem wie bei XenForo machen. Dabei sollen sie einfach unter Login ihre Daten eingeben und das System gibt raus ob diese Daten schon in benutztung sind, wenn nicht werden die Daten auf der .txt gespeichert und sie werden eingeloggt.

Das System ist nur für Admins, da unser Projekt noch nicht fertig ist.

Wenn jetzt die frage aufkommt, wieso ned in der DB ? Die DB verschlüsselt alles in MD5 und wir können nichts wieder entschlüsseln.

Menan · 07/31/2011, 10:19

Wieso ein txt File benutzen ? einmal as txt File aufgerufen -> Alle Login Daten.

Benutzt doch lieber eine Datenbank

buFFy! · 07/31/2011, 10:33

Quote:

Originally Posted by .Ownd'

und wir können nichts wieder entschlüsseln.

lulz? wozu auch?

MrSm!th · 07/31/2011, 17:24

1. also wenn ihr das bei einem system für viele benutzer machen wollt, solltet ihr euch auf was gefasst machen, wenn es in deutschland ist.
Passwörter haben verschlüsselt zu sein! Die gehen euch nichts an!
2. man kann das automatische hashing abstellen, dafür musst du nicht auf txt umsteigen

3. du kannst auch die hashes vergleichen, du musst vorher nichts entschlüsseln.
4. seit wann darf man denn ein passwort nur einmal verwenden? O.o und usernames sind eh unverschlüsselt.

die ausrede klingt so dämlich, dass ich auch an nen stealer denke

buFFy! · 07/31/2011, 17:51

mal ganz davon abgesehen kann man md5 entschlüsseln ^^

MrSm!th · 07/31/2011, 20:03

MD5 ist ein Hashing-Verfahren und Hashes haben es so an sich, dass man möglichst keine Verbindung zwischen Original-Wert und Hash finden kann.
Spätestens, wenn die originalen Daten größer/länger sind, als ein MD5 Hash (weiß nun gerade nicht, wie groß so ein Hash maximal sein kann) muss es ja zu Wiederholungen kommen, was dann wiederum zur Folge hat, dass man den originalen Wert nicht mehr eindeutig zuweisen kann (wie gesagt spätestens dann, ein Hashing-Verfahren, dass 0 Kollisionen bietet, ist eben nur eine Idealisierung).

Und übrigens das gezielte Hashen von Werten, bis man auf den richtigen trifft (ist ja afaik ein recht kurzer Hash, deshalb ist MD5 ja mittlerweile so unsicher) nennt man nicht Entschlüsseln o.o

buFFy! · 08/01/2011, 06:49

Quote:

Originally Posted by MrSm!th

Und übrigens ist das gezielte Hashen von Werten, bis man auf den richtigen trifft (ist ja afaik ein recht kurzer Hash, deshalb ist MD5 ja mittlerweile so unsicher) nennt man nicht Entschlüsseln o.o

wat? da fehlt die hälfte xD

MrSm!th · 08/01/2011, 16:01

Nö fehlt nichts, das "ist" ist da zu viel ;f

lolkop · 08/01/2011, 16:24

Quote:

Originally Posted by MrSm!th

Und übrigens das gezielte Hashen von Werten, bis man auf den richtigen trifft (ist ja afaik ein recht kurzer Hash, deshalb ist MD5 ja mittlerweile so unsicher) nennt man nicht Entschlüsseln o.o

md5 ist ein zu kurzer/unsicherer hash für passwörter? o0
wenn du jetz von binären dateien gesprochen hättest ok, aber für normale passwörter sollte ein md5 hash vollkommen ausreichend sein.

um den sicher cracken zu können müsste man sich vorher eine datenbank per bruteforce erzeugen lassen, welche mindestens 2^127 einträge umfasst.
(die warscheinlichkeit das die md5-hashes 2er passwörter identisch sind liegt damit also bei 1 : (2^127))

da das allerdings selbst mit allen superrechnern unsres planeten nicht unter 1mio jahren machbar wäre ist das ganze wohl als unknackbar anzusehen =)

geht man von einem unsicheren passwort aus, so lassen sich sämtliche hash-arten gleichermaßen effizient per dictionary-attack cracken

MrSm!th · 08/01/2011, 19:14

Ja, ich sprach von großen Datenmengen.
Wobei ich auch mal gelesen habe, dass MD5 auch für Passwörter nicht mehr so optimal sein soll, weshalb er oft mit Salt (oder so ;O) verwendet wird, genaueres kann ich aber nicht dazu sagen, so kenn ich mich mit Datenbanksicherheit nicht aus :x

link · 08/01/2011, 22:05

Ein MD5-Hash, der aus einem 6-stelligen Passwort errechnet wurde, das aus a-zA-Z0-9 besteht, benötigt zwischen 2 Sekunden und 3 Minuten mit BarsWF (bei 350m hashes/sec), um gecrackt zu werden.
Ein gehashtes 8-stelliges Passwort zwischen 3 Stunden und 7 Tagen.
Ein 10-stelliges Passwort benötigt zwischen 447 Tagen und 76 Jahren.

Von Rainbow Tables habe ich nur gelesen, dass sie sehr effizient bei kürzeren Passwörtern seien, allerdings weniger gebräuchlich bei langen wegen der Größe des Wörterbuchs, das viel Rechenzeit bei der Erstellung und Speicherplatz braucht, und nutzlos bei gesalzenen Hashes.