Logindaten Verschlüsseln?

**jahlives** · 04.06.2007, 12:03

Daten werden mit base64 verschlüsselt...

keine Verschlüsselung, nur Codierung

Brauchst du auch nicht weil es keine zusätzliche Sicherheit bringt. Wenn der String abgefangen wird wendet man einfach base64_decode() darauf an.

In der DB stehen die PWs im Klartext

Grosses Fehler ! Würde ich niemals so machen...

Möchte den Loginteil so sicher wie möglich machen und würde mich über ein paar Tipps freuen

HTTPS verwenden !

Gruss

tobi

**TobiaZ** · 04.06.2007, 12:08

Jupp, wie schon gesagt, daten über SSL verschlüsselt senden.

In der DB wird nur ein Hash (MD5, SHA) gespeichert.

**carapau** · 04.06.2007, 12:11

Ok, dann werde ich die PWs mit md5 speichern.

HTTPS.. kennst du da n gutes Tutorial?

Gruß
carapau

**penizillin** · 04.06.2007, 12:19

fang nicht mit einem tutorial an, sondern finde heraus, was das ist und wie es funktioniert.

**carapau** · 04.06.2007, 12:27

hast recht. so dauerts zwar länger, aber prägt sich besser ein.

**ghostgambler** · 04.06.2007, 13:04

Und nimm statt md5 gleich sha1, siehe Kollisions-Gefahr

**jahlives** · 04.06.2007, 13:30

...siehe Kollisions-Gefahr

Gibt's denn überhaupt einen Hash der keine Kollisionen haben kann

Ich denke bei md5 werden einige Versuche nötig sein, ehe man eine Kollision gefunden hat (habe noch was von 2^45 im Kopf, weiss aber ned ob das noch aktuell ist)

Gruss

tobi

**wahsaga** · 04.06.2007, 13:36

Original geschrieben von jahlives
Gibt's denn überhaupt einen Hash der keine Kollisionen haben kann

Wohl kaum.
Sinn eines Hashes ist es ja, eine große Datenmenge auf einen verhältnismäßig winzigen Bereich abzubilden.

Ich denke bei md5 werden einige Versuche nötig sein, ehe man eine Kollision gefunden hat (habe noch was von 2^45 im Kopf, weiss aber ned ob das noch aktuell ist)

Wohl eher nicht mehr - "die" Chinesen hatten es ja immerhin in vertretbarer Zeit geschafft.

**jahlives** · 04.06.2007, 13:58

Wohl eher nicht mehr - "die" Chinesen hatten es ja immerhin in vertretbarer Zeit geschafft.

Dann hast du auch einen

Auf einem IBM-P690-Cluster benötigte ihr erster Angriff eine Stunde, davon ausgehend ließen sich weitere Kollisionen innerhalb von maximal fünf Minuten finden

bei dir zu Hause

Und für PW besteht imho nicht eine so grosse Gefahr, weil man normalerweise PW nur als md5 Hash speichert. Und wenn man nur den Hash hat (und nicht das Klartext PW) ist es praktisch unmöglich eine Kollision zu finden. Da wäre bestenfalls eine zufällige Kollision und die Chinesen waren im Besitz der Klartextnachricht.
Die Gefahr liegt eher bei digitalen Signaturen als bei gehashten PWs

Gruss

tobi

**wahsaga** · 04.06.2007, 14:03

Original geschrieben von jahlives
Die Gefahr liegt eher bei digitalen Signaturen als bei gehashten PWs

Fein, du hast also auch bei der Wikipedia nachgelesen :-)

**jahlives** · 04.06.2007, 14:11

Fein, du hast also auch bei der Wikipedia nachgelesen :-)

Lesen bildet

**ghostgambler** · 04.06.2007, 14:28

Die Frage ist wieso ich auf md5 setzen sollte, wenn ich genauso gut sha1 verwenden kann und die Kollisionsgefahr geringer ist?!...

Es gibt ja auch so unglaublich lustige Leute, die das Passwort zwei mal durch md5 scheuchen allá viel bringt viel *headdesk*

**jahlives** · 04.06.2007, 14:33

Es gibt ja auch so unglaublich lustige Leute, die das Passwort zwei mal durch md5 scheuchen allá viel bringt viel *headdesk*

Oder gleich noch ein Tripple-DES oder AES oder Blowfish & Co drüberlassen

Logindaten Verschlüsseln?