Frage zu Password-Hashes (SHA512)

**himitsu**

PHP-Quellcode:

			//Verschlüsseln bzw. Hashen

$salt = random_irgendwas;

$hash = crypt($globalsalt . $plaintext_to_hash, concatsalt($config_str, $salt));

/Gegenprüfung

if ($hash == crypt($globalsalt . $plaintext_to_check, $hash) {...}

**Codehunter**

Sag ich doch... Nacheinander

**Codehunter**

Wenn man sich eingehender mit der Materie befasst merkt man erstmal, wie leicht es ist da wirklich dumme Fehler einzubauen. Ich habe aber auch den Eindruck, es gibt wenig verständliche Anleitungen oder Tutorials dazu. Nicht konkret was PHP betrifft sondern ganz allgemein.

**BUG**

Ich finde die Artikel von Troy Hunt zu dem Thema Passwort/Authentifizierung ganz informativ:

**PeterPanino**

Zitat von Codehunter:

Da man ja MD5 nicht mehr verwenden soll

Wieso soll man MD5 nicht mehr verwenden? MD5 ist ein integraler Bestandteil vieler Anwendungen.

**Jumpy**

In diesem aktuelle Thread wird das auch aufgeführt:

http://www.delphipraxis.net/186647-s...nt-server.html

**BUG**

Zitat von Codehunter:

Da man ja MD5 nicht mehr verwenden soll

Our password hashing has no clothes tldr: "Normale" Hashes sind zu schnell und speichereffizient; und ermöglichen damit Brute-Force- und Wörterbuchattacken.

Abgesehen von Passwort-Hashing gibt es mittlerweile praktisch erfolgreiche Kollisionsattacken auf md5. Da das in Zukunft nicht besser wird, sollte man gleich einen heutigen Standard benutzen (SHA-2 oder SHA-3).

**PeterPanino**

Zitat von Jumpy:

In diesem aktuelle Thread wird das auch aufgeführt:

http://www.delphipraxis.net/186647-s...nt-server.html

Die Begründung in diesem Thread halte ich für Unsinn. Nur weil da steht "Das BSI sagt ...", heißt das nicht, dass man das auch glauben soll. Denn das ist eine viel zu allgemeine Aussage. Und wegen dem "Ashley-Madison-Hack" heißt das noch lange nicht, dass MD5 allgemein unsicher ist. Denn es kommt ja viel eher darauf an, wie man MD5 in ein übergreifendes Sicherheits-Konzept integriert. MD5 selbst ist ja nur ein Baustein - es wird wohl niemanden geben, der versucht, ein Haus mit einem einzigen Ziegelstein zu bauen.

Einfach allgemeinen Aussagen Glauben zu schenken halte ich für dumm.

**mkinzler**

Erster Pre-Image-Angriff 2004:

https://de.wikipedia.org/wiki/Messag...st_Algorithm_5

Erster Kollisionsangriff 2008:

http://www.heise.de/security/artikel...D5-270106.html

Aber das ist ja erst 7 Jahre her

**BUG**

Zitat von PeterPanino:

Die Begründung in diesem Thread halte ich für Unsinn. Nur weil da steht "Das BSI sagt ...", heißt das nicht, dass man das auch glauben soll.

Stimmt, das BSI ist nicht die letzte Autorität zu dem Thema; im Regelfall sind die eher zu gnädig bei Sicherheitssachen. Aber nicht nur das BSI warnt, eigentlich hört man das von allen Experten zu dem Thema.

Zitat von PeterPanino:

MD5 selbst ist ja nur ein Baustein - es wird wohl niemanden geben, der versucht, ein Haus mit einem einzigen Ziegelstein zu bauen.

Allerdings würde auch niemand bröckelige Ziegelsteine verbauen, wenn er genügend stabile Ziegelsteine hat.

Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

AW: Frage zu Password-Hashes (SHA512)

Forumregeln

Codehunter Registriert seit: 3. Jun 2003 Ort: Thüringen 2.272 Beiträge Delphi 10.4 Sydney	#12 AW: Frage zu Password-Hashes (SHA512) 26. Feb 2015, 17:33 Sag ich doch... Nacheinander Ich mache grundsätzlich keine Screenshots. Schießen auf Bildschirme gibt nämlich hässliche Pixelfehler und schadet der Gesundheit vom Kollegen gegenüber. I und E zu vertauschen hätte den selben negativen Effekt, würde aber eher dem Betriebsklima schaden
	Zitat

BUG Registriert seit: 4. Dez 2003 Ort: Cottbus 2.094 Beiträge	#14 AW: Frage zu Password-Hashes (SHA512) 26. Feb 2015, 23:33 Ich finde die Artikel von Troy Hunt zu dem Thema Passwort/Authentifizierung ganz informativ: Our password hashing has no clothes Everything you ever wanted to know about building a secure password reset feature
	Zitat

PeterPanino Registriert seit: 4. Sep 2004 1.451 Beiträge Delphi 10.4 Sydney	#15 AW: Frage zu Password-Hashes (SHA512) 21. Sep 2015, 11:23 Zitat von Codehunter: Da man ja MD5 nicht mehr verwenden soll Wieso soll man MD5 nicht mehr verwenden? MD5 ist ein integraler Bestandteil vieler Anwendungen.
	Zitat

Jumpy Registriert seit: 9. Dez 2010 Ort: Mönchengladbach 1.733 Beiträge Delphi 6 Enterprise	#16 AW: Frage zu Password-Hashes (SHA512) 21. Sep 2015, 11:30 In diesem aktuelle Thread wird das auch aufgeführt: http://www.delphipraxis.net/186647-s...nt-server.html Ralph
	Zitat

mkinzler (Moderator) Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.851 Beiträge Delphi 11 Alexandria	#19 AW: Frage zu Password-Hashes (SHA512) 21. Sep 2015, 11:54 Erster Pre-Image-Angriff 2004: https://de.wikipedia.org/wiki/Messag...st_Algorithm_5 Erster Kollisionsangriff 2008: http://www.heise.de/security/artikel...D5-270106.html Aber das ist ja erst 7 Jahre her Markus Kinzler
	Zitat