mrhappiness Login Script - Wie sicher?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • mrhappiness Login Script - Wie sicher?

    Hallö!

    ich dachte ich Poste das mal hier in diesem Forum... Falls es doch nicht hierher gehört, einfach abschieben

    Ich habe mal eine Frage zu dem Login-Script von mrhappiness.

    Wie sicher ist das überhaupt? Ich mein, es wird zwar mit md5() ( das z.Z. sicherste um Passwörter zu verschlüsseln? ) aber inwiefern ist es möglich, mit Hacking-Tools - kein Plan welche - evtl. sich einen Zugang zu einem "Account" zu schaffen? ich hab immer wieder lustige User, die versuchen sich mit meinen Namen anzumelden ( die werden natürlich protokolliert ) und bisher hats wohl auch noch keiner geschafft - zum Glück -
    Angenommen einer meiner Otto-Normal-User verwenden ziemlich primitive Passwörter wie z.B: "achterbahn" oder so, wie sicher wären sie vor User die "hacken" wollen? Maximallänge von 8 zeichen ist bei mir Pflicht!

    Wo wir schon bei dem Thema wären, wie gehen solche Tools vor? ( Zur Verständnis evtl. dagegen zu wirken )

    Gruß,
    Manu!

    Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
    sondern mit den Augen das Manual zu lesen.

  • #2
    kannst ja auch zur Bedingung machen das buchstaben und Zahlen benutzt werden müssen.
    mfg
    marc75

    <Platz für anderes>

    Kommentar


    • #3
      Ähm was hat denn die Verschlüsselung mit dem Wortlaut des Passwort zu tun ?
      Du verstehst anscheinend wieder was nicht!. Die Verschlüsseldung ist dafür da, weil:

      1. man soll das PW in der DB im Klartext nicht mehr sehen
      2. dito für Cookies/Session

      Sollte einer hingehen und die mit md5 verschlüsselte PW kopiert haben, dann hat
      er wenigstens ziemlich schwer, sie zu knacken. Mehr ist mit diese Verschlüsselung nicht.

      Das Passwort probieren, wenn man den Usernamen kennt, ist was ganz anderes.
      Wenn der User z.B. sein Vorname als PW nimmt, da nützt dir die beste Verschlüsselung nicht.

      Alles klar?

      Kommentar


      • #4
        Original geschrieben von asp2php
        Ähm was hat denn die Verschlüsselung mit dem Wortlaut des Passwort zu tun ?
        Du verstehst anscheinend wieder was nicht!. Die Verschlüsseldung ist dafür da, weil:

        1. man soll das PW in der DB im Klartext nicht mehr sehen
        2. dito für Cookies/Session

        Sollte einer hingehen und die mit md5 verschlüsselte PW kopiert haben, dann hat
        er wenigstens ziemlich schwer, sie zu knacken. Mehr ist mit diese Verschlüsselung nicht.

        Das Passwort probieren, wenn man den Usernamen kennt, ist was ganz anderes.
        Wenn der User z.B. sein Vorname als PW nimmt, da nützt dir die beste Verschlüsselung nicht.

        Alles klar?
        Gibt es eigentlich auch "Tool" die allen mögliche Passwörter ausprobieren?

        Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
        sondern mit den Augen das Manual zu lesen.

        Kommentar


        • #5
          ja
          Ich denke, also bin ich. - Einige sind trotzdem...

          Kommentar


          • #6
            Da hab ich auch nochmal ne frage... ich hoffe, die is jetzt richtig gestellt:

            Wenn ein user ein passwort eingibt, wird das ja im klartext übertragen(method='post') und erst in der nächsten Datei mit md5 meinetwegen verschlüsselt. dann könnte man doch eigentlich während des vorgangs der übertragung auf das unverschlüsselte passwort zugreifen. (Wie) kann man das verhindern??

            hsbux
            Eine Fehlermeldung bedeutet, dass du einen Programmierfehler gemacht hast - keine Fehlermeldung bedeutet jedoch nicht unbedingt, dass dein Script fehlerfrei ist!

            Kommentar


            • #7
              du kannst per javascript schon mit md5 verschlüsseln, musst dann aber noch einen zusätzlichen parameter mitgeben, der angibt, ob der wert schon md5 verschlüsselt ist oder nicht (js deaktiviert)

              oder du nimmst https als protokoll
              Ich denke, also bin ich. - Einige sind trotzdem...

              Kommentar


              • #8
                Original geschrieben von hsbux
                (Wie) kann man das verhindern??
                in dem du nicht über http:// gehst, sondern eine verschlüsselte SSL-verbindung über https:// benutzt.
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  Original geschrieben von hsbux
                  Da hab ich auch nochmal ne frage... ich hoffe, die is jetzt richtig gestellt:

                  Wenn ein user ein passwort eingibt, wird das ja im klartext übertragen(method='post') und erst in der nächsten Datei mit md5 meinetwegen verschlüsselt. dann könnte man doch eigentlich während des vorgangs der übertragung auf das unverschlüsselte passwort zugreifen. (Wie) kann man das verhindern??

                  hsbux
                  meinst Du wenn ein Trojaner auf dem PC ist? Also wenn ein fremdling auf einem Fremden PC Zugriff hat und die eingabe des Users abfangen könnte?

                  Gute Frage

                  Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
                  sondern mit den Augen das Manual zu lesen.

                  Kommentar


                  • #10
                    Original geschrieben von wahsaga
                    in dem du nicht über http:// gehst, sondern eine verschlüsselte SSL-verbindung über https:// benutzt.
                    das hab ich auch schon versucht... is das serverabhängig?? also bei mir hat er http404 gesagt (Browser IE6, Webspace Lycos Webcenter)
                    Eine Fehlermeldung bedeutet, dass du einen Programmierfehler gemacht hast - keine Fehlermeldung bedeutet jedoch nicht unbedingt, dass dein Script fehlerfrei ist!

                    Kommentar


                    • #11
                      Original geschrieben von hsbux
                      das hab ich auch schon versucht... is das serverabhängig??
                      natürlich muss der server SSL unterstützen, und ein gültiges zertifikat sollte(!) ebenfalls vorhanden sein - kostet natürlich geld.
                      I don't believe in rebirth. Actually, I never did in my whole lives.

                      Kommentar


                      • #12
                        ok, danke! dann nehm ich halt javascript...
                        Eine Fehlermeldung bedeutet, dass du einen Programmierfehler gemacht hast - keine Fehlermeldung bedeutet jedoch nicht unbedingt, dass dein Script fehlerfrei ist!

                        Kommentar


                        • #13
                          Original geschrieben von hsbux
                          ok, danke! dann nehm ich halt javascript...
                          macht das nicht Probleme, wenn ein User JV abgeschaltet hat?

                          Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
                          sondern mit den Augen das Manual zu lesen.

                          Kommentar


                          • #14
                            Original geschrieben von wahsaga
                            natürlich muss der server SSL unterstützen, und ein gültiges zertifikat sollte(!) ebenfalls vorhanden sein - kostet natürlich geld.
                            kennst Du ein gutes TUT darüber oder eine Page, in der sich "Grundlagen" etc. beschrieben werden?

                            Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
                            sondern mit den Augen das Manual zu lesen.

                            Kommentar


                            • #15
                              Original geschrieben von xManUx
                              macht das nicht Probleme, wenn ein User JV abgeschaltet hat?
                              JV?

                              also, wenn er JS abgeschaltet hat, dann is das u. U. suboptimal, aber das hab ich schon geschrieben
                              Ich denke, also bin ich. - Einige sind trotzdem...

                              Kommentar

                              Lädt...
                              X