Hey ho DP,

ich habe eine Webapplikation erstellt und suche nun nach einem möglichst sicheren Verfahren wie sich dort einloggen kann.
Ein paar Einschränkungen möchte ich jedoch machen:

1. Ich hatte nicht vor mir ein SSL-Zertifikat anzulegen, also wäre über HTTPs für mich keine gute Alternative
2. Deswegen wäre es gut vor dem Abschicken das PW schon zu hashen, damit der potenzielle Angreifer da nicht so einfach "mitlesen" kann
3. Es sollte auch ein Angriff über Rainbow-Tables schwer gemacht werden, bzw. vielleicht komplett die möglichkeit entfernt werden direkt eine Seite à la login.php?name=USERNAME&pass=PASSWORT aufzurufen mit der man somit alle möglichen Passwörter / Hashes durchprobieren kann
4. Ich benutze HTML beim Client und auf dem Server arbeitet PHP5 mit einer MySQL-Datenbank.

Ich habe schon an einigen Stellen gelesen, dass man mit einem Salt am Hash das Knacken per Rainbow-Table schwer machen kann.
Aber mir ist halt noch kein praktikabler Weg für mein Vorhaben eingefallen.

Habt ihr Ideen wie man das realisieren kann oder würdet ihr etwas völlig anderes Vorschlagen?
Wie baut ihr "sichere" Logins?

Mfg,

Flare

Was soll das denn bringen? Dann schickt der Angreifer eben den mitgelesenen Hash über den Äther. Der einzige Effekt ist, dass alle Benutzerkonten geknackt sind, sobald deine Datenbank in falsche Hände gerät. Diesen Ansatz solltest du also lieber fallen lassen.

Begrenzte Logins z.b. 3

Dann kannst du sichere Logins schon vergessen. Ein einfacher Man-in-the-Middle Angriff reicht dann schon aus, um dem Angreifer ausreichend Zugangsdaten zu verschaffen. Du kannst noch einige andere Dinge einbauen, die es einem Angreifer erschweren, aber wirklich sicher ist das nicht.

Mit freundlichen Grüßen,

Valle

Wenn du einen eigenen Hash- oder einen wirklich sicheren Verschlüsselungs-Algo entwickelst, sollte das eigentlich unknackbar sein. Wobei du eher auf Hashs als auf ne Verschlüsselung setzen solltest. Wenn der Hash nun gut ist, sollte auch das knacken nicht so schnell möglich sein... Und ne Fehllogin-Limitierung sollteste auch noch einbauen
Und natürlich die PW-Hashs sicher abspeichern - einfach ne abnormale methode wählen, dann is das kein problem

MfG Z4ppy

Egal ob Hashs oder nicht, das spielt in dem Fall der Übertragungssicherheit keine Rolle. Wenn ich den zu sendenen Hash abfange und ihn dann als PHP-Parameter übergebe oder das Passwort direkt ist egal, denn so oder so wird das PHP-Skript diese Parameter als gültig hinnehmen.

negaH würde im Grabe rotieren ... ach nee, der ist ja noch garr nicht tot
(SCNR, aber die Redewendung lag mir grad soo auf der Zunge ^^)

Du solltest die Sicherheit nicht davon abhängig machen, das keiner dahinter kommt was duu machst. Sondern lieber davon, dass kluge Mathematiker bewisen haben, dass der Algorithmus mathematisch sicher ist. (= Man kann nur durch Ausprobieren aller Permutationen Infos erlangen.) Also wieseo einen Algo neu erfinden, den es schon gibt?

Falls dir MD5 zu unsicher sein sollte, kannst du SHA1 nehmen, der ist nochmal etwas länger.

Also durch "abnormale Methoden" Sicherheit zu "gewährleisen" ist schlechter, als es nicht zu tun. Denn dann täuscht man dem User eine Sicherheit vor, wo keine ist.

Und einen eigenen sicheren Hashalgo zu entwickeln ist nichts, was man mal kuuet in 2 Wochen macht

Anregungen findest du auch dort: http://www.delphipraxis.net/internal...ct.php?t=53142

Falls du keine Zertifikate verwenden willst weil sie umständlich selbst zu erstellen sind, habe
ich hier den link zu meiner Seite... hier bekommst du gratis SSL Zertifikate: http://endasmedia.ath.cx

Natürlich kommen diese nicht von einer Offiziellen Stelle jedoch bieten sie dennoch Verschlüsselung