Neuigkeiten:

still alive...

Hauptmenü

Jemand Lust auf eine versalzene Suppe?

Begonnen von k00ni, 25. März 2009, 22:42:49

Vorheriges Thema - Nächstes Thema

k00ni

Ich habe gerade etwas vom http://de.wikipedia.org/wiki/Salt_(Kryptologie)\" rel=\"external nofollow\">Salzen gelesen.
Wikipedia sagt dazu folgendes:
In der Kryptographie versteht man unter dem Begriff Salt (englisch für ,,Salz") eine zufällig gewählte Bitfolge, die mit einem gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion konkateniert wird, um die Entropie der Eingabe zu erhöhen.[/quote]
Man könnte dies für das pSys nutzen. Eine Kombination aus z.B. dem Usernamen + Passwort + Datenbankname würde eine für jede Seite andere zufällige Bitfolge generieren. Diese dann an das eigentliche Passwort angehangen und dann md5-verschlüsselt speichern. Damit umgeht man sogenannte http://de.wikipedia.org/wiki/Rainbow_Table\" rel=\"external nofollow\">Regenbogen-Tabellen-Angriffe. Ein Regenbogen-Tabellen-Angriff macht grob gesagt folgendes: man nimmt sich einen md5-Wert und gibt dazu den gespeicherten Plain-Text aus.
Die Implementierung wäre auch recht einfach zu realisieren. Man nimmt sich 3 oder 4 Variablen, die sich bei verschiedenen Domains immer unterscheiden. Diese sollten vielleicht auch nicht öffentlich sein.
 

$username = \"foo\";
$password = \"bar\";
$db = \"foobar\";

 
 
Dann diese bei der Generierung eines Passwortes einbeziehen.
 

...
$mein_pwd = md5 ( $username . $password . $db . \'mein_password\'  );
...

 
 
Fragt man nun bei einem Login das Passwort ab, hängt man die 3 Variablen einfach wieder vorne an und fertig.
Problem: Bei Änderung einer der 3 Variablen würden alle Passwörter sofort ungültig werden. Alternative wäre man generiert aus einer Zufallszahl einen md5-Hash und speichert diesen mit in der config. Diese wird statt der 3 Variablen einfach vorne angestellt und weiterhin ist sie portabel.
 
Was meint ihr ?

mahe

md5 ist broken!
ansonsten ... ja mach ich eh schon immer @work so ähnlich /uploads/emoticons/icon_e_biggrin.gif.1a84f5257b36e14b36d04985314f877f.gif\" alt=\":-D\" />

http://blog.mahe.at\" rel=\"external nofollow\">http://blog.mahe.at/wp-content/uploads/2007/06/88x31_1.jpg\" alt=\"88x31_1.jpg\">


Ja, diese Signatur dient zur Werbung!


Und dass ich meine Posts wiederfinde ...


k00ni

md5 ist broken![/quote]
Was stattdessen nehmen? SHA1, 2 oder gar 3? Oder crypt?

all your base are belong to us / Discord