Jump to content
Sign in to follow this  
k00ni

Jemand Lust auf eine versalzene Suppe?

Recommended Posts

Ich habe gerade etwas vom Salzen gelesen.


Wikipedia sagt dazu folgendes:


In der Kryptographie versteht man unter dem Begriff Salt (englisch für „Salz“) eine zufällig gewählte Bitfolge, die mit einem gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion konkateniert wird, um die Entropie der Eingabe zu erhöhen.


Man könnte dies für das pSys nutzen. Eine Kombination aus z.B. dem Usernamen + Passwort + Datenbankname würde eine für jede Seite andere zufällige Bitfolge generieren. Diese dann an das eigentliche Passwort angehangen und dann md5-verschlüsselt speichern. Damit umgeht man sogenannte Regenbogen-Tabellen-Angriffe. Ein Regenbogen-Tabellen-Angriff macht grob gesagt folgendes: man nimmt sich einen md5-Wert und gibt dazu den gespeicherten Plain-Text aus.


Die Implementierung wäre auch recht einfach zu realisieren. Man nimmt sich 3 oder 4 Variablen, die sich bei verschiedenen Domains immer unterscheiden. Diese sollten vielleicht auch nicht öffentlich sein.

 

$username = "foo";
$password = "bar";
$db = "foobar";

 

Dann diese bei der Generierung eines Passwortes einbeziehen.

 

...
$mein_pwd = md5 ( $username . $password . $db . 'mein_password'  );
...

 

Fragt man nun bei einem Login das Passwort ab, hängt man die 3 Variablen einfach wieder vorne an und fertig.


Problem: Bei Änderung einer der 3 Variablen würden alle Passwörter sofort ungültig werden. Alternative wäre man generiert aus einer Zufallszahl einen md5-Hash und speichert diesen mit in der config. Diese wird statt der 3 Variablen einfach vorne angestellt und weiterhin ist sie portabel.



Was meint ihr ?

Share this post


Link to post
Share on other sites
Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...