Passwortschutz (sicherheit)

schwer zu sagen, man muss wissen, wie der rest aussieht. sollte er schlecht konzipiert sein, reicht es als z.b. user eines boards im cookie userid auf 1 setzen und schon wäre man administrator.

1. Wenn Du in einem Link mittels dem Target-TAG ein neues Browser-Fenster öffnest, schon!

2. könntest Du mal nach maxlifetime suchen. kommt darauf an wie du deine sessions_cookies einstellst. 0 = -> bis zum schließen des browsers gültig != 0 -> gültigkeit in sekunden des cookies.

Vorteil: Serverseitig

Nö die ID ist ein Timestamp; also nichts mit ID 1 = admin.

?

Wozu ein Timestamp hä?

Was würde widersprechen das verschlüsselte PW + dessen UserID zu verwenden und das ganze mit Stripslashes maskieren und mit serialize als ein String abzulegen?

Ja, bin gerne bereit eine andere Variante als Cookis zu verwenden.

Was sind Stripslashes und serialize?

Schau ins Manual....

Ups meinte natürlich addslashes()....stripslashes() ist der Gegenpart

nochmal kurz zu md5 und sha1

md5 ist ein 128bit starker hash-algorithmus, d. h. ein böser mensch hat nachdurchschnittlich 2^64 versuchen einen wert gefunden, der exakt den gleichen wert ergibt, wie der ursprünglich gehashte

sha1 ist im prinzip das gleiche, nur mit 160 statt 128bit => durchschnittlich 2^80 versuche

2^64:           18.446.744.073.709.551.616
2^80: 1.208.925.819.614.629.174.706.176

die idee das passwort mehrmals zu "md5en" ist - gelinde gesagt - schwachsinnig, mir als eindringling ist das nämlich schnurzpiepegal

O.K. - So gesehen gibt es kein sicheren Schutz für ein Adminbereich. Oder?

Klar mit einem mehrfach geMD5-ten Passwort hast Du einfach einbisschen länger bis es gefunden wird!

Man kann lediglich Berrieren einbauen; wie schon erwähnt IP sperre (auch nicht über jeden Zweifel erhaben), Keine Wörterbuchworte Gross/Kleinschreibweise. Aber auch ein PHP erstelltes Bild mit zusätzlich verzerrtem Code....usw.

Ausser man hat ein crypto tool? Stimmt das?

Aber nichts destotrotz kommt es auch auf die persönliche Einstellung an! Denn ich kenne schliesslich keine bösen Leute, oder so! ;-)

Und zudem ist es auch möglich in meine Wohnung einzubrechen wenn man es umbedingt will. Auch hier gäbe es manigfache Sicherheitstools um das eingenen Haus zu schützen; Nur sollte man selber nicht auf den Verfolgungswahn kommen, denn so zieht man das Umheil erst recht auf sich!

Fazit: Ruhig Blut und normaler Schutz mit php MySQL udn Sesssion ev. MD5 reicht völlig aus! Und so lange ich keine öffentliche Person bin, hatt kaum jemand interesse die Zeit zu investieren um mich zu hacken. Und wenn, was soll es habe ja von allem Backups, ist lediglich ein kleiner zeitaufwand alles wieder herstellen zu müssen. ERGO - Cool down

Gruss René

du hast es immer noch nicht verstanden.

es kommt nicht darauf an, das "richtige" passwort zu finden - sondern eins, das den selben MD5-hash ergibt.

und gegen diese möglichkeit schützt mehrfaches anwenden von MD5 selbstverständlich nicht im geringsten.

Ja, verstanden! Habe es auch im Fazit ausgeschlossen!!!!!

und wie ist dann die zitierte aussage zu verstehen ...?

Wie ich es schon geschreiben habe!!!

Alles klar? Mir schon - Danke!

Und zu Deiner Beruhigung ich werde nie ein MD5 mehrfach hashen!
Bringt eh nichts denn auch ein anderes Wort kann den Hashwert beinhalten! Ist sogar noch schlechter als ohne, denn so sind auch mehrere Passworte gültig!

in deinem fazit gehst du auf die von dir selbst gemachte aussage, dass mehrfaches anwenden von MD5 sinnvoll wäre, überhaupt nicht mehr ein - du lässt sie also einfach so stehen.

Ja, weil ich aus Eureren Aussagen gelernt habe, lasse ich dieses Thema fallen!


Und zu Deiner Beruhigung ich werde nie ein MD5 mehrfach hashen!
Bringt eh nichts denn auch ein anderes Wort kann den Hashwert beinhalten! Ist sogar noch schlechter als ohne, denn so sind auch mehrere Passworte gültig!