Passwordverschlüsselung
 

Hallo,
ich muß für ein Programm ein gesondertes Password abfragen und möchte dieses in einer Tabelle auf dem SQL-Server verschlüsselt speichern. Wenn die Tabelle direkt über den Enterprise Manager aufgerufen wird, sollen nur * oder so erscheinen!

Geht das? Oder wie programmiere ich es geschickter? :wiejetzt:

Re: Passwordverschlüsselung
 

Herzlich wilkommen in der DP :dp: :party:

Am geschicktesten machst du das indem du das Passwort nicht als solches abspeicherst sondern nur den Hash des Passworts (MD, SHA was immer). Bei der eingabe des Passworts erstellst du dann den Hash davon und überprüfst ob er mit dem Hashwert in der DB übereinstimmt.

Aus dem Hashwert kann das Passwort nicht rückberechnet werden. Somit kannst du das Passwort einigermaßen sicher in der DB ablegen!

Re: Passwordverschlüsselung
 

Vielen Dank für den Hinweis! Hat prima funktioniert! :-D :-D :-D

Habe nur so lange gebraucht, ehe ich rausgefunden habe, wie das geht... :gruebel:

Re: Passwordverschlüsselung
 

Diese Methode ist für Userverwaltungen eher ungeeignet, da man die Funktion "Passwort vergessen, bitte zuschicken!" nicht nutzen kann, da das PW, wie schon von Meflin gesagt, nicht wieder hergestellt werden kann. Das nur als kleinen Tip. ;)

MfG
freak

Re: Passwordverschlüsselung
 

In diesem Fall kann man ja eine der gebräuchlichen Verschlüsselungsalgorithem verwenden: 3DES, AES...

Re: Passwordverschlüsselung
 

Ist in diesem Fall nicht wichtig, weil es sich nur um einen sehr begrenzten Userkreis handelt. Es ging eher darum, dass eben niemand das PW ändern darf! (Auch keine ADMIN!)

Re: Passwordverschlüsselung
 

Ich würde MD5 nicht nehmen, weil MD5 nicht mehr sicher ist. Whirlpool oder RIPEMD-160 sind meiner Ansicht nach die bessere Wahl.
[edit]SHA-1 gestrichen.[/edit]
Ich würde einfach eine andere Funktion nutzen: "Passwort vergessen, bitte neues zuschicken!"
Ben

Re: Passwordverschlüsselung
 

Oder man bleibt beim Hash:

Wenn der User sein Passwort vergessen sollte dann wird ein neues ZufälligesPW erzeugt und von mir aus in einer anderen Tabelle abgespeichert. Dann wird des an seine email adresse geschickt und er hat 24h sich anzumelden bevor das neue PW seine gültigkeit verliert. Sobald er sich dann einloggt muss er ein neues PW angeben. Dies wird verhasht in der DB überschrieben und das zufällig erzeugt gelöscht.

Ja ich weiss des ist ein bisschen aufwändiger dafür aber viel sicherer (oder hab ich einen Denkfehler?)


//edit: @benst: Wieso ist MD5 nicht mehr sicher???

Re: Passwordverschlüsselung
 

Es ist möglich zu einem Hash ein Passwort zu generieren. BTW Sha-1 ist auch schon teilweise geknackt.

Re: Passwordverschlüsselung
 

SHA-1: Stimmt, habe ich auch gerade gesehen.
(Was meinst du mit BTW?)
[edit]Ich Dummkopf: BTW: by the way[/edit]