Passwortschutz (sicherheit)

Und was ist, wenn man sha1 mit md5 & anderen kombiniert ?

was soll dann sein?

md5 = md5 = relativ sicher²
sha1=sha1 = relativ sicher³


es ist egal wie oft, oder mit was man es in einen hash-wert umwandelt..

ist verdammt unwahrscheinlich, dass zwei worte gleiche hashs haben. letztens erst gelesen - nach langer suche wurden zwei matrizen gefunden (ca. 12x6, meine ich), die sich in 3 elementen unterscheiden und trotzdem den gleichen hash-wert haben. die wissenschaftler, die es geschafft haben, meinten jedoch - nur durch bruteforce gefunden.

md5+sha1 ist nicht sinnvoller, als md5+md5 (ich meine 2md5 natürlich ), s. oben.

p.s. xManUx - wenn auch (2^64)*(2^80) = 2^144 versuche - die stochastik schließt keine möglichkeit aus, beim zweiten mal das richtige ergebnis zu finden

ich dachte, ich hätte mich richtig genug ausgedrückt, dass ich es verstanden habe und es egal ist - mit was kombiniert oder wie oft ein string in einen hash-wert umgewandelt wird... :P



md5 = 128 bit = 2^64: 18.446.744.073.709.551.616 => egal wie oft der string m5d durchlief oder/und verschlüsselt wurde durch ascii

sha1 = 160 bit = 2^80: 1.208.925.819.614.629.174.706.176
=> egal wie oft der string m5d oder/und sha1 durchlief oder/und verschlüsselt wurde durch ascii

Kann man nicht andere (eigene) Algorythmen noch verwenden, um die sicherheit zu erhöhen?

du gehst irgendwie davon aus, dass der böse junge von nebenan dein verschlüsseltes passwort bereits hat und schon mit der entschlüsselung angefangen hat.

die sicherheit wird in erster linie durch richtige konfiguration des servers und die qualität deiner anwendung erreicht. wie gesagt - richtig programmiertes script kann schonmal die möglichkeit ausschließen (oder nahezu ausschließen), dass jemand an den hash deines passworts drankommt - und wenn er das geschafft hat, dann ist nicht md5 oder sh1 schuld, sondern deine anwengung.

Das kannst du ganz sicher. Und solange niemand die Methode der Codierung kennt, ist die Verschlüsselung sehr sehr sicher v.a. wenn du Einmal-Schlüssel verwendest.

Folgende Frage stellt sicher aber: Wenn du Daten verschlüsselt austauschen willst, dann muss dein Gegenüber die Art der Verschlüsselung kennen. Da dann aber die Methode bekannt ist, ist die Sicherheit gleich gross wie bei md5().
Klar wenn du ganz grosse Schlüssel verwendest, kannst du die Sicherheit noch erhöhen.
Das heisst aber nur, dass ein BruteForcer länger braucht bis er alle Möglichkeiten durchprobiert hat

Die nach heutigem Stand sicherste Verschlüsselung sind asymetrische Schlüssel, wie sie z.B. PGP verwendet d.h. es existiert ein öffentlicher Schlüssel zum Verschlüsseln und ein Privater zu Entschlüsselung. Wenn du dann die Schlüssel bei PGP regelmässig änderst, dann kommst du an so etwas wie Sicherheit heran.
Absolute Sicherheit gibt's aber ned...


Gruss


tobi

was die sicherheit natuerlich noch etwas erhöhen könnte, wärte den kompletten login über eine https abfrage laufen zu lassen,
das sorgt zumindestens dafür dass deine daten die du sendest nicht
so leicht abgefangen werden können ...

denn sonst bringt der beste algo.. nix, wenn du deine daten im klartext durch das ganze netz jagst ...

allerdings bleibt da immer noch zu überlegen, wieviel sicherheit man wirklich brauch ...

wenn dein server aber ssl unterstützt wär das auf jedenfall ne möglichkeit ....

gruss
iglo