blabub
11.04.11, 15:54
Edit:
Nachdem ich es jetzt geschrieben habe, wird mir alles klar. :)
Es geht natürlich darum die Passwörter von einem Wörterbuchangriff zu schützen. Mit dem Salt müsste man natürlich dann alles neu ausrechnen, was Zeit kostet und so unattraktiv wird.
Abgesehen davon, dass sichere Passwörter entsprechend eh schwer zu knacken sind.
Hallo zusammen
Ich habe mich jetzt die letzten Tage in sichere Passwotverschlüsselung eingelesen. Jedoch verstehe ich ein paar Aspekte nicht so ganz.
Laut diversen Quellen sollte der Vorgang wie folgt ablaufen:
- Passwort md5en und salzen
- Den Salz-String separat abspeichern vom Passwort
- Der Salz-String sollte für jedes Passwort anders sein
- Benutzer meldet sich an
- Password md5en und salzen mit dem Salz-String der beim Erstellen gespeichert wurde
Offene Fragen:
Gehe ich jetzt davon aus, dass jemand Zugriff auf den Server erhält, erhält er Zugriff auf die verschlüsselten Passwörter, die Salz-Strings und die Zuweisungen von Passwort zu Salz-String.
In diesem Moment war ja die ganze Aktion für nichts gewesen?
Ich bin nun nicht sicher, ob ich einfach grundlegend etwas falsch verstanden habe. Ich muss in absehbarer Zeit ein Loginsystem implementieren und möchte es sicher haben. Daher will ich die Materie verstehen und anwenden können, bevor ich was Implementiere.
Danke und Gruss
blabub
Nachdem ich es jetzt geschrieben habe, wird mir alles klar. :)
Es geht natürlich darum die Passwörter von einem Wörterbuchangriff zu schützen. Mit dem Salt müsste man natürlich dann alles neu ausrechnen, was Zeit kostet und so unattraktiv wird.
Abgesehen davon, dass sichere Passwörter entsprechend eh schwer zu knacken sind.
Hallo zusammen
Ich habe mich jetzt die letzten Tage in sichere Passwotverschlüsselung eingelesen. Jedoch verstehe ich ein paar Aspekte nicht so ganz.
Laut diversen Quellen sollte der Vorgang wie folgt ablaufen:
- Passwort md5en und salzen
- Den Salz-String separat abspeichern vom Passwort
- Der Salz-String sollte für jedes Passwort anders sein
- Benutzer meldet sich an
- Password md5en und salzen mit dem Salz-String der beim Erstellen gespeichert wurde
Offene Fragen:
Gehe ich jetzt davon aus, dass jemand Zugriff auf den Server erhält, erhält er Zugriff auf die verschlüsselten Passwörter, die Salz-Strings und die Zuweisungen von Passwort zu Salz-String.
In diesem Moment war ja die ganze Aktion für nichts gewesen?
Ich bin nun nicht sicher, ob ich einfach grundlegend etwas falsch verstanden habe. Ich muss in absehbarer Zeit ein Loginsystem implementieren und möchte es sicher haben. Daher will ich die Materie verstehen und anwenden können, bevor ich was Implementiere.
Danke und Gruss
blabub