Forum: Programmieren allgemein
by Matze,
11. Feb 2008
Hallo,
ach so ist das, da brauche ich dann eine Client-Software. Na das wird sich kein Mensch installieren wollen. Ich dachte, das wäre per JavaScript oder ähnlichem möglich. Wobei ich eigentlich auch nicht auf JavaScript angewiesen sein möchte.
Forum: Programmieren allgemein
by Matze,
11. Feb 2008
Hallo Hagen,
so ähnlich hast du das ja bereits geschildert. Ich habe nur die Ausgangssituation nochmals erläutert, um franktron klar zu machen, was ich ursprünglich meinte. Ich hatte ihn so verstanden.
Daher schrieb ich auch, es sind sehr interessante Aspekte erwähnt worden, von denen ich noch gar nicht wusste, dass es sie gibt. Sehr gut gefällt mir vor allem die Methode, das Passwort gar...
Forum: Programmieren allgemein
by Matze,
11. Feb 2008
Es geht mir nicht darum, die Bruteforce-Attacke auf der Website selbst zu verhindern, sondern darum, dass jemand, der an die Datenbankdaten gekommen ist, anhand der Hashs nicht ohne weiteres auf Passwörter schließen kann.
Bei einem MD5-Hash muss der Angreifer per Bruteforce lediglich alle möglichen MD5-Hashs erzeugen bis dieser mit dem gegebenen Passwort-Hash übereinstimmt. Dann wurde ein...
Forum: Programmieren allgemein
by Matze,
11. Feb 2008
Hallo
@gene: Stimmt, das st eine gute Idee.
@alle anderen: Ich lese hier fleißig mit, muss mich aber teilweise genauer mit den angesprochenen Verfahren beschäftigen, da ich diese noch nicht ganz verstanden habe und somit auch nicht sachlich mitreden kann.
Auf jedenfall klingen einige Ansätze vielversprechend.
Diskutiert ruhig weiter, ich finde es sehr interessant. :thumb:
Grüße
Forum: Programmieren allgemein
by Matze,
7. Feb 2008
Ähm hab ich richtig verstanden, der lange Text soll mir lediglich mitteilen, ich soll ein Passwort vor dem Hashen in eine Binärform bringen. :gruebel:
Forum: Programmieren allgemein
by Matze,
7. Feb 2008
Das doppelte Hashen (Bsp MD5 und SHA1) hätte den Vorteil, dass ich den bestehenden Hash einfach erneut hashen kann und so die Passwörter erhalten bleiben. Doch ich denke, da kann man auch recht leicht dahinterkommen. Vielleicht lässt sich das sogar am Hashwert erkennen.
Bei der Übertragung gebe ich dir recht, doch in Blogs (und Foren) ist das leider nicht häufig anzutreffen, zumindets kenne...
Forum: Programmieren allgemein
by Matze,
6. Feb 2008
Hallo Daniel,
sowohl das Updateskript als das doppelte Hashen gefallen mir eigentlich nicht so sehr. Wobei das Updateskript wäre noch ok, da müsste ich mich mal schlau machen, wie das funktioniert.
Meinst du, ich habe einen Salt-String in der Datenbank, der zum Hashen mitverwendet wird? Denn das kommt mir nicht sehr sicher vor, da ein Angreifer diesen "Schlüssel" zusammen mit den Daten erhält...
Forum: Programmieren allgemein
by Matze,
6. Feb 2008
Hallo zusammen,
gerade durch die phpBB.de-Geschichte, bin ich am Überlegen, ob ich die Benutzerpasswörter der Benutzer meiner Website anders hashen soll. Momentan nutze ich, wie viele andere, den MD5-Algorithmus. Ein anderer gewöhnlicher Hashalgorithmus wie SHA1 bringt meiner Meinung nach nichts, da man mittels Bruteforce, sofern der Hashalgorithmus bekannt ist, ähnlich viel erreichen kann,...