 |
 |
 |
 |
 |
|
Antwort
|
Registriert seit: 28. Jun 2006 Ort: Düsseldorf 936 Beiträge Delphi XE2 Professional |
#11
AW: Salz und Hash in Datenbank speichern?
9. Okt 2013, 15:11
...Will man das System noch verbessern, kann man das Passwort mehrmals salzen (z.B. Salt + Password + md5(Salt))
Gruß
Cookie 
|
Zitat
|
Registriert seit: 5. Okt 2007 331 Beiträge Delphi XE2 Professional |
#12
AW: Salz und Hash in Datenbank speichern?
9. Okt 2013, 15:13
Oder das von @BUG genannte '
 PBKDF2' noch hinzufügen.
|
|
Zitat
|
|
Registriert seit: 27. Apr 2008 Ort: Rahden 630 Beiträge |
#13
AW: Salz und Hash in Datenbank speichern?
9. Okt 2013, 15:16
|
|
Zitat
|
|
Registriert seit: 28. Jun 2006 Ort: Düsseldorf 936 Beiträge Delphi XE2 Professional |
#14
AW: Salz und Hash in Datenbank speichern?
9. Okt 2013, 15:20
Darum sollte man aber besser so etwas wie
bcrypt nutzen. Das erhöht den Aufwant erheblich und wurde genau zu diesem Zweck entwickelt.
Gruß
Cookie
Geändert von cookie22 ( 9. Okt 2013 um 15:47 Uhr) |
|
Zitat
|
|
Registriert seit: 7. Jun 2006 Ort: Karlsruhe 3.724 Beiträge FreePascal / Lazarus |
#15
AW: Salz und Hash in Datenbank speichern?
9. Okt 2013, 15:26
Stimmt, so wird es kein bisschen sicherer.
Was man allerdings machen kann, ist
Delphi-Quellcode:
Damit kann man den Zeitaufwand fürs Knacken um das n-fache steigern. Hoffe ich hab jetzt keinen Denkfehler in dem Code... bin kein Kryptoexperte. Aber auf jeden Fall gibt es so eine Methode... bcrypt und Co. arbeiten glaube ich auch so ähnlich.
password := 'blume1234';
salt := irgendwas möglichst zufälliges; tmp := salt; for i := 1 to n do begin password := hash(tmp + password); tmp := hash(tmp) + password; end; // passwort und salt werden jetzt in der datenbank gespeichert. @cookie22
Kommt ein Angreifer z.B. durch SQL-Injection an die Login-Tabelle (Username, Hash, Salt), kann er sein Dictionary entsprechend salzen... Wenn der Hash aber durch weitere nebendaten (z.B. dem gehashten Salt) nochmals gesalzen wird, ist der Aufwand wesentlich höher. Man müsste also genau wissen, WIE gesalzen wird. Ein einfaches Password+Salt ist meiner Meinung nach zu einfach. |
|
Zitat
|
|
Registriert seit: 24. Mär 2004 Ort: bei Hannover 2.416 Beiträge Delphi XE5 Professional |
#16
AW: Salz und Hash in Datenbank speichern?
9. Okt 2013, 15:30
@cookie22
Kommt ein Angreifer z.B. durch SQL-Injection an die Login-Tabelle (Username, Hash, Salt), kann er sein Dictionary entsprechend salzen... Das stellt im Betrieb auch kein Problem dar, da ein Login meist nur einmalig passiert. Mehr Power kann man z.B. erreichen, indem man den Hash 100 mal mit den Salt hasht. Cracker-Bremse
Coding BOTT - Video Tutorials rund um das Programmieren -
https://www.youtube.com/@codingbott
|
|
Zitat
|
Registriert seit: 4. Dez 2003 Ort: Cottbus 2.094 Beiträge |
#17
AW: Salz und Hash in Datenbank speichern?
9. Okt 2013, 16:01
Der Trick ist eine Hashfunktion zu wählen die viel Power benötigt.
Hier gibt es übrigens eine (imho gute) Übersicht über die Verfahren.Troy Hunt hat das Problem mal am ASP.NET Membership Provider verdeutlicht. Lesenswert und sehr anschaulich.
|
|
Zitat
|
Registriert seit: 14. Jul 2008 Ort: Bern (CH) 512 Beiträge Delphi 11 Alexandria |
#18
AW: Salz und Hash in Datenbank speichern?
11. Okt 2013, 20:06
Milos
|
|
Zitat
|
|
Registriert seit: 7. Jun 2006 Ort: Karlsruhe 3.724 Beiträge FreePascal / Lazarus |
#19
AW: Salz und Hash in Datenbank speichern?
12. Okt 2013, 01:26
Wie wäre es wenn man zwischen jedem char ein bisschen verschiedenes Salz streut?
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
