Tweet
Hi,
ich habe mir ein Passwort-Script geschrieben, welches meine Passwörter in ner MySQL-DB abspeichert.
Nun wollte ich euch fragen, was ihr davon haltet:
1. Das Userpasswort ist sha1-verschlüsselt in der DB abgespeichert
2. Beim Login muss man einen Sicherheitsschlüssel abgeben, von welchem nur die ersten 5 Zeichen in der user-tabelle abgespeichert werden. Dieser S-Schlüssel ist zuvor mit sha1 und dann mit md5 behandelt worden.
3. Die abgespeicherten Passwörter sind mit der Krypto-Klasse von Abraxax (so richtig?) verschlüsselt worden:
a) mit einem fest im Script eingetragenen Key
b) danach mit dem S-Schlüssel
genauso werden sie dann wieder entschlüsselt!
4. Die Login-Dauer ist auf 10 Minuten begrenzt! Die Seiten aktualisieren sich alle 30 Sekunden und man wird nach dem Überschreiten der 10 Minuten automatisch ausgeloggt!
5. Der komplette Login-Bereich arbeitet ausschließlich mit Sessions
6. Wie oben erwähnt, werden die ersten 5 Zeichen des S-Schlüssels mit dem User abgespeichert! Sollte beim nächsten Login der S-Schüssel in den ersten 5 Zeichen anders aussehen, wird der User darüber benachrichtigt (um Rechtschreibfehler zu entdecken!). Zudem ist bei diesem Login kein Bearbeiten der Daten möglich! Sollte man sich dann erneut mit dem falschen Schlüssel einloggen, erscheint die Meldung nicht mehr (also nur eine Überprüfung auf den letzten Schlüssel).
7. Das ganze ist Multi-User-Fähig (was hat das mit Sicherheit zu tun?) ^-^
Unten hab ich mal die Klasse von Abraxax dranngehängt.
Ich hab leider kein anderes Verschlüsselungsverfahren gefunden, welches in beide Richtungen funktioniert!
Was könnte man noch verbessern?
Ich glaube, der einzige Schwachpunkt könnte das Verschlüsselungsverfahren sein, oder?
ich habe mir ein Passwort-Script geschrieben, welches meine Passwörter in ner MySQL-DB abspeichert.
Nun wollte ich euch fragen, was ihr davon haltet:
1. Das Userpasswort ist sha1-verschlüsselt in der DB abgespeichert
2. Beim Login muss man einen Sicherheitsschlüssel abgeben, von welchem nur die ersten 5 Zeichen in der user-tabelle abgespeichert werden. Dieser S-Schlüssel ist zuvor mit sha1 und dann mit md5 behandelt worden.
3. Die abgespeicherten Passwörter sind mit der Krypto-Klasse von Abraxax (so richtig?) verschlüsselt worden:
a) mit einem fest im Script eingetragenen Key
b) danach mit dem S-Schlüssel
genauso werden sie dann wieder entschlüsselt!
4. Die Login-Dauer ist auf 10 Minuten begrenzt! Die Seiten aktualisieren sich alle 30 Sekunden und man wird nach dem Überschreiten der 10 Minuten automatisch ausgeloggt!
5. Der komplette Login-Bereich arbeitet ausschließlich mit Sessions
6. Wie oben erwähnt, werden die ersten 5 Zeichen des S-Schlüssels mit dem User abgespeichert! Sollte beim nächsten Login der S-Schüssel in den ersten 5 Zeichen anders aussehen, wird der User darüber benachrichtigt (um Rechtschreibfehler zu entdecken!). Zudem ist bei diesem Login kein Bearbeiten der Daten möglich! Sollte man sich dann erneut mit dem falschen Schlüssel einloggen, erscheint die Meldung nicht mehr (also nur eine Überprüfung auf den letzten Schlüssel).
7. Das ganze ist Multi-User-Fähig (was hat das mit Sicherheit zu tun?) ^-^
Unten hab ich mal die Klasse von Abraxax dranngehängt.
Ich hab leider kein anderes Verschlüsselungsverfahren gefunden, welches in beide Richtungen funktioniert!
Was könnte man noch verbessern?
Ich glaube, der einzige Schwachpunkt könnte das Verschlüsselungsverfahren sein, oder?
Kommentar