Verhütung (von Daten)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Verhütung (von Daten)

    Moin,

    habe eine grundlegende Frage:
    sollte man Passwörter in Datenbanken verschlüsseln ? z.B. mit md5()
    wie sichert man Kontodaten - wenn die verschlüsselt sind kommt man ja nicht mehr ran ..


    benutze LAMP

    danke vielmals

  • #2
    mit einer 2 wege verschlüsselung


    problem is nur, wenn einer den server knackt, sieht er _wie_ und mit welchen _passwort_ du verschlüsselst...


    An mich bitte keine unaufgeforderten E-Mails senden (ausser ihr seid bereit geld zu zahlen, dann gerne )

    Kommentar


    • #3
      Grundregel: Passwortdaten NIE in plain text abspeichern!
      Am Besten mit md5() und co... also hash-wert generieren.

      Für Kto-Daten wäre evtl. eine umkehrbare Verschlüsselung angebracht..
      [COLOR=royalblue]Ein großes DANKE an alle, die sich auf selbstlose Weise im Forum einbringen.[/COLOR]

      [COLOR=silver]btw: REAL PROGRAMMERs aren't afraid to use GOTOs![/COLOR]

      [color=indigo]Etwas ernster, aber auch nicht weiter tragisch, sieht die Situation bei Software-Patenten aus. Software-Patente sind eine amerikanische Erfindung und stehen auf dem selben Blatt wie genveränderte Babynahrung, die im Supermarkt nicht mehr als solche gekennzeichnet werden soll, um die Hersteller nicht gegenüber denen natürlicher Produkte zu diskriminieren ...[/color]
      (from here)

      Kommentar


      • #4
        Original geschrieben von Meillo
        Grundregel: Passwortdaten NIE in plain text abspeichern!
        Was ist der GRUND dieser REGEL ?
        Was kann passierenm, wenn ich es als plain abspeichere ?


        Aber wenn jemand das Datenbank-Passwort knackt,
        ist es doch egal, ob das Passwort verschlüsselt oder in PlainText drin steht.
        Es ist ja sowieso alles sichtbar und die Passwörter könnten beliebig neu gesetzt werden.
        Zuletzt geändert von matzinger; 12.04.2005, 09:56.

        Kommentar


        • #5
          ... und weshalb sollte man auf das "bisschen" kostenlose Mehrsicherheit verzichten?

          btw: Lese- und Schreib-Zugriff auf eine DB sind 2 paar Schuhe!
          [COLOR=royalblue]Ein großes DANKE an alle, die sich auf selbstlose Weise im Forum einbringen.[/COLOR]

          [COLOR=silver]btw: REAL PROGRAMMERs aren't afraid to use GOTOs![/COLOR]

          [color=indigo]Etwas ernster, aber auch nicht weiter tragisch, sieht die Situation bei Software-Patenten aus. Software-Patente sind eine amerikanische Erfindung und stehen auf dem selben Blatt wie genveränderte Babynahrung, die im Supermarkt nicht mehr als solche gekennzeichnet werden soll, um die Hersteller nicht gegenüber denen natürlicher Produkte zu diskriminieren ...[/color]
          (from here)

          Kommentar


          • #6
            Original geschrieben von Meillo
            ... und weshalb sollte man auf das "bisschen" kostenlose Mehrsicherheit verzichten?

            btw: Lese- und Schreib-Zugriff auf eine DB sind 2 paar Schuhe!
            Kannst du mir konkret sagen, wo es mehr Sicherheit bringt.

            Kommentar


            • #7
              z.B. ein nicht abgesicherter select-Befehl, und schon kann man Daten auslesen, jedoch nicht schreiben.
              Es soll ja auch Möglichkeiten eines DB-Zugriffs außer dem Root-PW geben....

              Ich meine, es ist dein Risiko das du eingehst - ich jedenfalls (und die meisten anderen auch) verschlüssle grundsätzlich alle Passworter. (welche Vorteile gibt es denn sie nicht zu verschlüsseln?)
              [COLOR=royalblue]Ein großes DANKE an alle, die sich auf selbstlose Weise im Forum einbringen.[/COLOR]

              [COLOR=silver]btw: REAL PROGRAMMERs aren't afraid to use GOTOs![/COLOR]

              [color=indigo]Etwas ernster, aber auch nicht weiter tragisch, sieht die Situation bei Software-Patenten aus. Software-Patente sind eine amerikanische Erfindung und stehen auf dem selben Blatt wie genveränderte Babynahrung, die im Supermarkt nicht mehr als solche gekennzeichnet werden soll, um die Hersteller nicht gegenüber denen natürlicher Produkte zu diskriminieren ...[/color]
              (from here)

              Kommentar


              • #8
                Original geschrieben von Meillo
                [B](welche Vorteile gibt es denn sie nicht zu verschlüsseln?)[/B
                Wenn ein User sein PW vergessen hat, kann man ihm das Original-PW per Mail zuschicken.
                Wenn es jedoch mit md5 verschlüsselt ist, kann man nur ein neues generieren lassen.

                Kommentar


                • #9
                  ... ich jedenfalls hätte an dieser Vorgehensweise (aus der Sicht des Users) etwas auszusetzten: Meine Passworter gehen nur mich was an.

                  Es ist Administations-/Support-Alltag, dass Passworter zurückgesetzt werden und der User dann mit dem ersten Login das Passwort wieder ändern muss.

                  Gründe u.a.:
                  > Das PW kann "unterwegs" nicht abgehört werden, wenn du es den User sagst.
                  > Administatoren können sich nicht ohne Zustimmung des Users mit dessen Logindaten in seinen Account einloggen (Denk mal an "Interne Revision"!)
                  > Positiver Nebeneffekt: der User ändert sein PW häufiger


                  [das war mein letzter Post zu diesem Thema]
                  [COLOR=royalblue]Ein großes DANKE an alle, die sich auf selbstlose Weise im Forum einbringen.[/COLOR]

                  [COLOR=silver]btw: REAL PROGRAMMERs aren't afraid to use GOTOs![/COLOR]

                  [color=indigo]Etwas ernster, aber auch nicht weiter tragisch, sieht die Situation bei Software-Patenten aus. Software-Patente sind eine amerikanische Erfindung und stehen auf dem selben Blatt wie genveränderte Babynahrung, die im Supermarkt nicht mehr als solche gekennzeichnet werden soll, um die Hersteller nicht gegenüber denen natürlicher Produkte zu diskriminieren ...[/color]
                  (from here)

                  Kommentar


                  • #10
                    Original geschrieben von Meillo
                    ...

                    > Das PW kann "unterwegs" nicht abgehört werden, wenn du es den User sagst.


                    [das war mein letzter Post zu diesem Thema]
                    Wenn ich das PW den User schicke, muss ich dort sowieso in Plain Text schicken. Also ist doch egal ob och das alte aus der DB hole oder neues generiere.


                    Erst mal Danke an Meillo.

                    Aber hat noch jemand anders was zu sagen dazu

                    Kommentar


                    • #11
                      Original geschrieben von matzinger
                      Aber hat noch jemand anders was zu sagen dazu
                      nein, da gibt's, wenn man es halbwegs ernsthaft betrachtet, keinen anderen standpunkt als den von Meillo.
                      I don't believe in rebirth. Actually, I never did in my whole lives.

                      Kommentar


                      • #12
                        Dem kann ich mich nur anschliessen!

                        Gruss René

                        Kommentar


                        • #13
                          Original geschrieben von matzinger
                          Aber hat noch jemand anders was zu sagen dazu
                          Klar gibt's auch noch 'nen anderen Grund ... nämlich den das die meisten Troll-User ein und dasselbe Kennwort für alles und jedes verwenden ... ist nun der direkte Zugriff auf diese Daten möglich, fördert das den Missbrauch ... z.B. durch einen potentiellen Hacker, aber auch durch den System-Betreiber ... man nennt das "Verantwortung des Programmierers" alles dafür zu tun diesen zu vermeiden!

                          Ich persönlich würde mich bei einem System von dem ich weiss das Kennworte im Klartext oder mit bidirektonaler Verschlüsselung gespeichert werden nicht anmelden ... .
                          carpe noctem

                          [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                          [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                          Kommentar

                          Lädt...
                          X