[Erledigt] Noch eine Passwort-Frage

DEdK4ever · 07.01.2012, 15:57

Hallo, ich hatte mir mal ein Loginsystem auszudenken und bin dabei auf ein logisches Problem gestoßen. Jetzt wirds wieder dringend und deshalb nerve ich euch damit

Wie wird ein Passwort sicher übertragen UND sicher gespeichert?
Feind 1: Hacker, welche die Passwortdatenbank klauen
Feind 2: Firesheep oder ähnliches
Ich meine, man kann das Passwort einfach übertragen, auf dem Server hashen und mit dem schon gespeicherten Hash vergleichen (Salts mal ignoriert). Dann kann 1 nichts mehr machen und 2 freut sich.
Oder man hasht die Passwörter per JavaScript mit einem zufälligen Salt, dann ist zwar die Übertragung sicher aber die Passworttabelle nicht mehr, falls sie jemandem in die Hände fällt!

Habe ich nur einen Denkfehler oder schließt das eine das andere wirklich aus?
Gruß

07.01.2012, 16:14

Wenn du Formulardaten sicher übertragen möchtest, brauchst du ein Zertifikat (kann auch ein selbsterstelltes sein), um mit https arbeiten zu können. Gehast wird immer auf dem Server.

DEdK4ever · 07.01.2012, 16:21

SSL ist für die meisten Inhalte die reinste Ressourcenverschwendung, das würde ich gerne vermeiden. Es muss nämlich nur ein Passwort abgeglichen werden - sonst nichts.

nikosch · 07.01.2012, 16:29

Zitat:

das würde ich gerne vermeiden

Dann bekommst Du es halt nicht sicher. Punkt.

DEdK4ever · 07.01.2012, 17:40

Also ist es nur möglich, eines von beiden zu sichern und meine Vermutung stimmt?

P.S: Warum denn gleich so feindselig? Wünsche eine gute Besserung.

nikosch · 07.01.2012, 20:47

Was auch immer Du mit Mysql-Diebe meinst. Und wo auch immer Du Feindseligkeit gesehen haben willst.

DEdK4ever · 07.01.2012, 21:18

ups, klingt etwas uneindeutig. Gemeint sind die, die die Datenbank mit den Passworthashes klauen.

Flor1an · 08.01.2012, 15:04

Passwörter übertragen und Passwörter speichern sind zwei paar Schuhe die direkt eigentlich nichts mit einander zutun haben.

Speichern: Du solltest immer die gehashten Passwörter mit nem Salt abspeichern. Nie im Plaintext.

Übertragen: Wenn du die Passwörter sicher übertragen möchtest solltest du auf SSL setzen. Außerdem kennen die User das Schlüsselsymbol und wissen dadurch das die Verbindung gesichert ist, das hast du bei einem selbst gebauten Ding nicht.

Wenn du dein Passwort auf dem Client-Rechner hasht und dann nur das gehashte übertragst und 1:1 mit dem in der DB abgleichst hast du nicht viel gewonnen. Ein Angreifer der die Verbindung abfängt bekommt zwar nur das gehashte Passwort, aber er kann es ja selbst so übertragen um sich einzuloggen, entsprechend hat der Angreifer zwar nicht das originale Passwort, aber rein kommt er trotzdem! Es bringt dir also im Grunde nichts.

Die einzigste gute Möglichkeit ist SSL zu verwenden. Und würdest du auf dem Client das PWD hashen kostet das auch mehr Resourcen.

DEdK4ever · 08.01.2012, 16:39

Danke für Deine Antwort.

Zitat:

Zitat von Flor1an

Die einzigste gute Möglichkeit ist SSL zu verwenden. Und würdest du auf dem Client das PWD hashen kostet das auch mehr Resourcen.

Stimmt, aber nicht meine

Hm. Irgendwie ist es logisch nicht möglich, nur mit Hash-Funktionen ein Passwort sicher zu übertragen UND sicher zu speichern..
Gruß

08.01.2012, 16:51

Zitat:

Zitat von DEdK4ever

Hm. Irgendwie ist es logisch nicht möglich, nur mit Hash-Funktionen ein Passwort sicher zu übertragen UND sicher zu speichern..

Eine sichere Übertragung ist ausschließlich nur per ssh/ssl möglich. Wenn Du wüßtest, wie einfach in einem Netz POP3/SMTP, telnet, FTP und *SQL Paßwörter gesnift werden könnten, würdest Du eher fragen, wo es preisgünstige ssh/ssl Zertifikate gibt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Imap - Verbindung mit sha1 verschlüsseltem Passwort?	lucloef	PHP-Fortgeschrittene	4	30.11.2011 14:14
[benötigt Tipps] Passwort zurücksetzen Skript // Es wird keine Email verschickt	ghorki	PHP Einsteiger	10	18.10.2011 11:32
Passwort aus Login weiterhin nutzen	mhdd	PHP Tipps 2010	3	16.05.2010 17:08
Passwort vergessen MD5	darkicenetwork	PHP Tipps 2010	12	25.03.2010 16:33
[Erledigt] Passwort verstecken... Request: mal gehts, mal nicht	defcut	JavaScript, Ajax und mehr	21	04.03.2010 00:19
passwort vergleich funktioniert leider nicht	coyboc	PHP Tipps 2010	10	11.02.2010 17:32
Einfaches Passwort vergessen Script	sakanoue	PHP Tipps 2009	7	23.12.2009 14:22
Passwort versenden	pixtr-2009	PHP Tipps 2009	1	10.11.2009 09:25
Passwort vergessen Funktion	Gravenstein	PHP Tipps 2009	17	18.08.2009 09:43
bildanzeige bei falschem passwort	chrissie	PHP Tipps 2006	1	22.08.2006 15:37
Eingabefenster für Passwort	Nevermind	PHP Tipps 2007	10	18.12.2005 15:36
[Erledigt] Passwort und Nutzerverwaltung in Php und Mysql		PHP Tipps 2005-2	7	23.06.2005 17:46
3 Seiten durch Passwort schützen mit einmaliger PW-Eingabe?		PHP Tipps 2005	12	19.04.2005 22:41
[Erledigt] Passwort vergessen-Script		PHP Tipps 2004-2	8	11.11.2004 18:56
HTACCESS Passwort per PHP erzeugen!	Broadcast	PHP-Fortgeschrittene	14	07.11.2004 23:17

07.01.2012, 15:57
DEdK4ever Erfahrener Benutzer Registriert seit: 06.05.2011 Beiträge: 183 PHP-Kenntnisse: Anfänger	[Erledigt] Noch eine Passwort-Frage Hallo, ich hatte mir mal ein Loginsystem auszudenken und bin dabei auf ein logisches Problem gestoßen. Jetzt wirds wieder dringend und deshalb nerve ich euch damit Wie wird ein Passwort sicher übertragen UND sicher gespeichert? Feind 1: Hacker, welche die Passwortdatenbank klauen Feind 2: Firesheep oder ähnliches Ich meine, man kann das Passwort einfach übertragen, auf dem Server hashen und mit dem schon gespeicherten Hash vergleichen (Salts mal ignoriert). Dann kann 1 nichts mehr machen und 2 freut sich. Oder man hasht die Passwörter per JavaScript mit einem zufälligen Salt, dann ist zwar die Übertragung sicher aber die Passworttabelle nicht mehr, falls sie jemandem in die Hände fällt! Habe ich nur einen Denkfehler oder schließt das eine das andere wirklich aus? Gruß Geändert von DEdK4ever (07.01.2012 um 21:20 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

07.01.2012, 16:14
php.de Gast Beiträge: n/a	Wenn du Formulardaten sicher übertragen möchtest, brauchst du ein Zertifikat (kann auch ein selbsterstelltes sein), um mit https arbeiten zu können. Gehast wird immer auf dem Server.

07.01.2012, 16:21
DEdK4ever Erfahrener Benutzer Registriert seit: 06.05.2011 Beiträge: 183 PHP-Kenntnisse: Anfänger	SSL ist für die meisten Inhalte die reinste Ressourcenverschwendung, das würde ich gerne vermeiden. Es muss nämlich nur ein Passwort abgeglichen werden - sonst nichts.

07.01.2012, 17:40
DEdK4ever Erfahrener Benutzer Registriert seit: 06.05.2011 Beiträge: 183 PHP-Kenntnisse: Anfänger	Also ist es nur möglich, eines von beiden zu sichern und meine Vermutung stimmt? P.S: Warum denn gleich so feindselig? Wünsche eine gute Besserung.

07.01.2012, 20:47
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Was auch immer Du mit Mysql-Diebe meinst. Und wo auch immer Du Feindseligkeit gesehen haben willst. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

07.01.2012, 21:18
DEdK4ever Erfahrener Benutzer Registriert seit: 06.05.2011 Beiträge: 183 PHP-Kenntnisse: Anfänger	ups, klingt etwas uneindeutig. Gemeint sind die, die die Datenbank mit den Passworthashes klauen.

08.01.2012, 15:04
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Passwörter übertragen und Passwörter speichern sind zwei paar Schuhe die direkt eigentlich nichts mit einander zutun haben. Speichern: Du solltest immer die gehashten Passwörter mit nem Salt abspeichern. Nie im Plaintext. Übertragen: Wenn du die Passwörter sicher übertragen möchtest solltest du auf SSL setzen. Außerdem kennen die User das Schlüsselsymbol und wissen dadurch das die Verbindung gesichert ist, das hast du bei einem selbst gebauten Ding nicht. Wenn du dein Passwort auf dem Client-Rechner hasht und dann nur das gehashte übertragst und 1:1 mit dem in der DB abgleichst hast du nicht viel gewonnen. Ein Angreifer der die Verbindung abfängt bekommt zwar nur das gehashte Passwort, aber er kann es ja selbst so übertragen um sich einzuloggen, entsprechend hat der Angreifer zwar nicht das originale Passwort, aber rein kommt er trotzdem! Es bringt dir also im Grunde nichts. Die einzigste gute Möglichkeit ist SSL zu verwenden. Und würdest du auf dem Client das PWD hashen kostet das auch mehr Resourcen.