Frage zu verschlüsselten Passwörter - Seite 5

phpdummi · 17.03.2005, 14:10

wollt ihr euch eigentlich noch weiterstreiten?

wenn er der ansicht ist (und sich nicht von anderen überzeugen lässt)
das er kein passwort braucht DANN LASST IHN DOCH!

ich würde ihm das einfach so sagen:
warum machen es wohl 90% der Leute mit verschlüsselung?
be easy!

Waq · 17.03.2005, 14:11

Zitat:

Zitat von sike

wie sieht es mit der sicherheit aus wenn er zugriff auf deine verschlüsselungseintellungen hat?

Das ist der worst-case, von dem ich hier normalerweise ausgehe.

Zitat:

Zitat von sike

soweit ich das beurteilen kann ist es dann kein problem alles zu entschlüsseln oder?

Das kommt drauf an. Asymmetrische und symmetrische Verschlüsselungen gelten zwar als nur mit astronomischem Aufwand knackbar und dementsprechend sicher, aber der Schlüssel zum entschlüsseln der Passwörter liegt normalerweise auf dem System, dass heisst wenn der Angreifer vollen Zugriff hat, kann er die Passworter direkt entschlüsseln. Deswegen verwendet sowas keiner.
Gegen Prüfsummen und Passwortverschlüsselugen hilft nur brute-Force, wobei der Aufwand der Brute-Force-Attacke hier weniger vom Verschlüsselungsmechanismus abhängt als vom Passwort selbst. Ist dieses ein ganzes Wort oder ziemlich kurz, fällt es einer Wörterbuchgestützten Attacke ziemlich schnell zum Opfer.
Der Unterschied zwischen Salt und nicht-Salt ist folgender: Für gesalzene Passwörter muss man den Bruteforce-Aufwand für jedes einzelne Passwort betreiben, wogegen man bei ungesalzenen (oder gleich gesalzenen) Passwörtern reicht, den Aufwand einmal für die ganze Liste zu betreiben (im Zweifelsfall die ganze DB).

Kannst ja mal probieren, mit John the Ripper ein paar Passwörter zu knacken. Bei einer beliebig langen md5-gehashten Liste oder einer sehr kurzen Liste gesalzener Passwörter sollten in ein paar Stunden wohl die meisten schwachen Passwörter geknackt sein.
Hat man hingegen 1000 gesalzene Passwörter, könnte das auch ein paar tausend Stunden dauern, da der aufwand zur Anzahl der Passwörter proportional ist.

Waq · 17.03.2005, 14:17

Zitat:

Zitat von meikel

Was sonst?

Das habe ich mehrfach versucht, Dir beizubringen, ohne irgendwelche Hinweise darauf, dass es bei Dir angekommen ist. Du solltest vielleicht erleutern, welchen Teil davon Du nicht verstehst, denn sonst können wir es Dir nicht erklären.

Zitat:

Zitat von meikel

Wenn einer so ins System einbricht, daß er Zugriff auf DB Tabellen hat, dann ist eh alles im Eimer.

Ach deswegen machen das ALLE Unixoiden Betriebssysteme so, weil es nichts bringt...

phpdummi · 17.03.2005, 14:32

@florianwendland:

worum geht es dir eigentlich?

willst du allen hier beweisen das du kein Passwort brauchst oder wie?

ich halt mich da raus ....

Waq · 17.03.2005, 15:50

Zitat:

Zitat von phpdummi

@Waq:

worum geht es dir eigentlich?

Um die Frage des OP:

Zitat:

aus welchem Grund macht es denn Sinn inerhalb seines Scripts die Passwörter zu verschlüsseln?

Zitat:

Zitat von phpdummi

willst du allen hier beweisen das du kein Passwort brauchst oder wie?

Ich habe keine Ahnung, wovon Du jetzt redest.

Basti · 17.03.2005, 16:05

Zitat:

Zitat von meikel

Viel gefährlicher sind die Zugangsdaten zur jeweiligen Datenbank in den config.php, weil dort alles im Klartext steht.

Noch schlimmer wäre folgendes:
safe_mode = Off
config.php = 0666
Ist häufig der Fall!

Noch gefährlcher wäre es, die FTP-Zugangsdaten auf der Homepage zu veröffentlichen. *g* Aber darum geht es doch hier nicht. Es geht einfach darum, dass man versucht, den Schaden, der durch ein "gefallenes" System entsteht zu minimieren. Natürlich sollte das erste Anliegen sein, die Angriffspunkte auf das System selbst dicht zu machen, aber, wie gesagt, das ist ein anderes Thema.

Zitat:

Zitat von meikel

Wenn einer so ins System einbricht, daß er Zugriff auf DB Tabellen hat, dann ist eh alles im Eimer.

Eben nicht. Das angegriffene Sytem ist futsch, okay. Aber, da eben Benutzer oft die selben Passwörter vewenden, ist dieses System als Subsystem eines größeren zu sehen, bestehend aus deren Mailboxen, Hosting-, eBay- und Amazon-Accounts - nicht zuletzt von deren eigenen Rechnern. Und hier gilt es, den Schaden weitgehend auf das Subsystem zu begrenzen und eine Ausweitung so gut als möglich zu verhindern.

Natürlich kannst du sagen: Meine Verantwortung als Webanwendungsentwickler endet an der Grenze dieses Systems - aber das ist ja nicht dein Argument contra eine Verschlüsselung der Passwörter in der Datenbank.

Insofern hab ich immernoch nicht kapiert, was denn nun wirklich dagegen spricht - das es Vorrangiges gibt, darüber müssen wir nicht streiten.

Basti

phpdummi · 17.03.2005, 16:12

@Waq:
mein fehler!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Frage zu spam bots und captcha	litterauspirna	PHP Tipps 2008	6	20.05.2008 23:56
Frage zu Typen und Performence	notyyy	PHP-Fortgeschrittene	13	14.11.2007 02:18
Frage zu Session	SmileMan	PHP Tipps 2008	1	08.10.2007 11:22
Smarty frage: switch($action)		PHP Tipps 2007	5	30.12.2006 18:07
Access Frage - Datenbankverbindung abfragen	reimondo	Off-Topic Diskussionen	1	01.10.2005 18:24
Frage zu Speicherreservierung in PHP	FiSiHRO	PHP Tipps 2005-2	4	13.09.2005 12:00
.htaccess - Frage	Stümper	PHP Tipps 2005	11	30.05.2005 11:56
Performence Frage		PHP-Fortgeschrittene	10	06.05.2005 19:00
Frage zu einem Editformular		PHP Tipps 2005	3	25.04.2005 14:58
mal ne Frage		PHP Tipps 2005	7	14.04.2005 09:46
Frage zu einer Liste?		HTML, Usability und Barrierefreiheit	2	15.02.2005 16:56
[Erledigt] Frage zur Funkrionen?		PHP Tipps 2004-2	10	01.12.2004 09:42
Kurze Frage an die Php Profis		PHP Tipps 2004-2	11	24.11.2004 17:38
Frage zur Formatierung von Text	obi	PHP Tipps 2004	1	03.11.2004 13:35
[Erledigt] Frage!		PHP Tipps 2004	4	27.07.2004 11:25

17.03.2005, 14:10
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	wollt ihr euch eigentlich noch weiterstreiten? wenn er der ansicht ist (und sich nicht von anderen überzeugen lässt) das er kein passwort braucht DANN LASST IHN DOCH! ich würde ihm das einfach so sagen: warum machen es wohl 90% der Leute mit verschlüsselung? be easy! __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

17.03.2005, 14:32
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	@florianwendland: worum geht es dir eigentlich? willst du allen hier beweisen das du kein Passwort brauchst oder wie? ich halt mich da raus .... __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things

17.03.2005, 16:12
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	@Waq: mein fehler! __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things