php.de

Zurück   php.de > Webentwicklung > PHP-Fortgeschrittene
Sicheres verschlüsseln mit mcrypt? Sicheres verschlüsseln mit mcrypt?
Wiki Registrieren Grundlagen Suchen Heutige Beiträge Alle Foren als gelesen markieren

PHP-Fortgeschrittene Arbeiten mit PHP ohne Einschränkungen

Antwort
Seite 3 von 3 < 12 3
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 1,00 durchschnittlich.
Alt 05.05.2008, 17:56  
Neuer Benutzer
 
Registriert seit: 10.11.2007
Beiträge: 18
t.animal befindet sich auf einem aufstrebenden Ast
Standard
Zitat:
Zitat von pacey Beitrag anzeigen
Bitte bitte bitte keine Hashing oder Kennwortalgorithmen mischen. Anstelle der (erwarteten) höheren Sicherheit erhöht sich die Gefahr durch Schwachstellen zweier eingesetzter Mathematischer Algorithmen enorm.
Gut. Wenn wir evtl. Fehler im Hash-Algorithmus mal außer acht lassen, würde die Sicherheit des verschlüsselten Parts durch folgende Aktion steigen (abgesehen natürlich von Brute-Force, s.u.)?
PHP-Code:
$keyhash('sha512''Password'true);
//$Key = æÈ;(*ë.(DYW!Ì�»ÚGË$S|yù»„ð@9ágnk¨W>X¡%㪠2©åXy®"°ÂÖ!6ü >…ø» 
Zitat:
Zitat von Thomas Beitrag anzeigen
Hi,

Was soll das bringen? User gibt als Passwort abc an und du verlängerst es nun auf abcabc. Jetzt gibt nun der Hacker das Passwort abc ein und ist drin, da es auch auf abcabc verlängert wird. Willst du aber dem User das veränderte Passwort mitteilen, damit er das längere benutzen muss, dann kannst du ihm auch gleich sagen, er soll ein vernünftiges Passwort erstellen oder ein zufälliges sichereres Passwort erstellen.

Gruß Thomas
Ich dachte daran, dem User nicht mitzuteilen,dass sein Passwort verlängert wird. Verwendet er abc rechne ich intern mit abcabc. verwendet er abcdefg verwende ich eben abcdefg. Verwendet er mehr als 32 Zeichen (ÜPHP: mcrypt_enc_get_supported_key_sizes - Manual), dann muss ich eben beschneiden.

Zitat:
Zitat von Hu5eL Beitrag anzeigen
könnest du ein sicheres password zu erstellen immer ein salt (nennt man so?) hinten dranhänhen, also zb: password+"$s344j3§" ... dann sieht schonmal backups von der db "knacksicherer"...
die einfachste methode wäre dich das pw 2 x per MD5() zu "verschlüsseln"...
Das ist imho nicht richtig. S.: PHP: mcrypt_module_open - Manual

Zum Thema Salt: Salts bringen's doch nur dann, wenn ich sie nicht gemeinsam mit dem Nutzernamen speichere, oder? Und wie soll ich das bewerkstelligen?

PS: Verdammt, wie machen die Jungs von TrueCrypt das denn?
t.animal ist offline   Mit Zitat antworten
Sponsor Mitteilung
PHP Code Flüsterer

Registriert seit: 21.08.2005
Beiträge: 4682
PHP-Kenntnisse:
Fortgeschritten

Alt 05.05.2008, 18:17  
Erfahrener Benutzer
 
Benutzerbild von David
 
Registriert seit: 05.09.2007
Beiträge: 5.044
David wird schon bald berühmt werden
Standard
Zitat:
Zitat von t.animal Beitrag anzeigen
Gut. Wenn wir evtl. Fehler im Hash-Algorithmus mal außer acht lassen, würde die Sicherheit des verschlüsselten Parts durch folgende Aktion steigen (abgesehen natürlich von Brute-Force, s.u.)?
PHP-Code:
$keyhash('sha512''Password'true);
//$Key = æÈ;(*ë.(DYW!Ì�»ÚGË$S|yù»„ð@9ágnk¨W>X¡%㪠2©åXy®"°ÂÖ!6ü >…ø» 
Ja und nein. Ja, wenn Du nur den hash speicherst und Dein System irgendwo ein Leck hat (zum Beispiel sql inject vulnerability) wird `nur´ der Hash des Passwortes bekannt. Bei einem hinreichend sicheren Hashalgorithmus ist das Passwort nicht sofort kompromittiert. Nein, es macht aus einem `dummen´ Passwort keine sichere Sache. Wenn der Benutzer bei Deinem "mindestens sechs Zeichen"-Passwortsystem aaaaaa oder 123456 wählt, wird daraus durch hash('sha512', $userinput, true) kein besseres Passwort.

Salt muss erkennbar und im Klartext mit gespeichert werden, sonst kannst Du keinen vergleichbaren Hash aus der Klartexteingabe erstellen. Es dient nur gegen Rainbow-Tables und der Verschleierung gleicher Passwörter verschiedener Benutzer.
David ist offline   Mit Zitat antworten
Alt 05.05.2008, 18:34  
Neuer Benutzer
 
Registriert seit: 10.11.2007
Beiträge: 18
t.animal befindet sich auf einem aufstrebenden Ast
Standard
Zitat:
Zitat von David Beitrag anzeigen
Ja und nein. Ja, wenn Du nur den hash speicherst und Dein System irgendwo ein Leck hat (zum Beispiel sql inject vulnerability) wird `nur´ der Hash des Passwortes bekannt. Bei einem hinreichend sicheren Hashalgorithmus ist das Passwort nicht sofort kompromittiert. Nein, es macht aus einem `dummen´ Passwort keine sichere Sache. Wenn der Benutzer bei Deinem "mindestens sechs Zeichen"-Passwortsystem aaaaaa oder 123456 wählt, wird daraus durch hash('sha512', $userinput, true) kein besseres Passwort.
Warum nicht? Geht es dir nur um brute force-Angelegenheiten? Angenommen die verschlüsselten Daten lecken ins Netz. Wäre es dann nicht schwerer, den Text der mit "æÈ;(*ë.(DYW!Ì�»ÚGË$S|yù»„ð@9ágnk¨W>X ¡%㪠2©åXy®"°ÂÖ!6ü >…ø»" verschlüsselt wurde zu entschlüsseln, als einen der als Key nur "password" verwendet hat?

EDIT: Ah... ich glaube ich verstehe. Die Sicherheit erhöht sich dadurch *nicht*, richtig? Weil ja der User rein theoretisch auch alle Sonderzeichen etc verwenden kann?!

EDIT2: AES-256 erfordert einen 32-Zeichen schlüssel, richtig? Um diesen zu generieren bietet sich doch aber diese hash-geschichte an!? Ich kann ja von niemandem verlangen, sich 32 Zeichen zu merken.

Zitat:
Zitat von David Beitrag anzeigen
Salt muss erkennbar und im Klartext mit gespeichert werden, sonst kannst Du keinen vergleichbaren Hash aus der Klartexteingabe erstellen. Es dient nur gegen Rainbow-Tables und der Verschleierung gleicher Passwörter verschiedener Benutzer.
Ah. Verstehe endlich...
Geändert von t.animal (05.05.2008 um 18:52 Uhr).
t.animal ist offline   Mit Zitat antworten
Alt 05.05.2008, 20:23  
Erfahrener Benutzer
 
Benutzerbild von David
 
Registriert seit: 05.09.2007
Beiträge: 5.044
David wird schon bald berühmt werden
Standard
  • Wenn bekannt ist, dass Du das Passwort erst durch einen Hashalgorithmus schickst, nutzt Dir das nichts. Der `Angreifer´ kann das ja auch.
  • PHP: mcrypt_generic_init - Manual
    Zitat:
    The maximum length of the key should be the one obtained by calling mcrypt_enc_get_key_size() and every value smaller than this is legal.
David ist offline   Mit Zitat antworten
Antwort
Seite 3 von 3 < 12 3

« Datei von Server zu Server übertragen | openTimetool Installation »

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Rijndael ohne mcrypt Jacks Rache PHP-Fortgeschrittene 13 28.04.2008 18:20
[solved] mcrypt frage DonTermi PHP Tipps 2007 19 12.09.2007 19:54
mcrypt notyyy PHP Tipps 2006 1 12.11.2006 22:23
htaccess basiertes bzw ganz sicheres loginsystem phpfortgeschrittener PHP Tipps 2007 21 17.09.2006 14:24
Sicheres Login System? PHP Tipps 2006 11 14.03.2006 15:05
MCRYPT Problem solitaer PHP-Fortgeschrittene 2 17.01.2006 10:58
Sicheres PHP-Script? xXx PHP Tipps 2005-2 17 08.10.2005 13:39
Sicheres Passwort Mano PHP Tipps 2005-2 5 16.09.2005 14:57
[Erledigt] Suche sicheres Login-System PHP-Fortgeschrittene 4 23.08.2005 09:43
sicheres Backup für Kunden Datenbanken 16 18.05.2005 23:02
Entschlüsselung mit mcrypt PHP Tipps 2005 4 08.04.2005 15:52
publickey und secretkey mit mcrypt bitte um hilfe PHP Tipps 2005 0 17.01.2005 13:18
mcrypt win32 PHP Tipps 2004-2 0 30.12.2004 14:07
Sicheres Login-Script DirkHo PHP Tipps 2004-2 4 08.11.2004 22:23
Sicheres Verfahren, um Site zu schützen HTML, Usability und Barrierefreiheit 6 25.09.2004 01:57

Besucher kamen über folgende Suchanfragen bei Google auf diese Seite
sichere verschlüsselung php, php sichere verschlüsselung, php verschlüsselung mcrypt, mcrypt sicherheit, sicherste verschlüsselung php, php mcrypt sicherheit, sicherste php verschlüsselung, php sicher verschlüsseln, mcrypt verschlüsselung, sichere php verschlüsselung, php mcrypt, php passwort sicher verschlüsseln, http://www.php.de/php-fortgeschrittene/1012-sicheres-verschluesseln-mit-mcrypt-3.html, php verschlüsseln mcrypt, php sicherste verschlüsselung, mcrypt datei verschlüsseln, verschlüsselung php mcrypt, mcrypt php datei verschlüsseln, php mcrypt sicher, verschlüsseln mit mcrypt

Alle Zeitangaben in WEZ +2. Es ist jetzt 19:11 Uhr.

php.de - Das deutsche PHP-Forum - Kontakt - Impressum - Forenregeln - Archiv - Nach oben



Powered by vBulletin® Version 3.7.2 (Deutsch)
Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.2.0
Aprilia-Forum, Aquaristik-Forum, Liebeskummer-Forum, Zierfisch-Forum, Geizkragen-Forum