Frage zu verschlüsselten Passwörter

15.03.2005, 14:37

Hallo Leute,
aus welchem Grund macht es denn Sinn inerhalb seines Scripts die Passwörter zu verschlüsseln. Die Daten gelangen doch im KLartext an den Server, abgesehen es wird SSL verwendet.
Und wenn die Daten am Sever angelabngt sind, für wen kodiere ich dann noch die Eingaben? Jeder Netzwerksniffer (ethereal lässt grüßen) schreibt die Daten doch vor dem Server mit. Wenn die Daten erst mal beim Server sind und das Script ausgeführt wird, ist doch die brenzlige Phase des Ausspionierens längst vorbei!
Oder habe ich mich da so geirrt?
Gruß
Florian Wendland

15.03.2005, 15:18

Du codierst das passwort im Grunde nur für eine Datenbank.
Wenn das Passwort im Klartext in einer Datenbank gespeichert würde, und dies herauskommt, gibt ordentlich mecker

Du bekommst das passwort durch da Formular, verschlüsselst es, und vergleichst es dann mit dem Passwort welches verschlüsselt in der Datenbank liegt, ganz einfach.

bye Oecken

15.03.2005, 16:01

Okay, dass man das Passwort verschlüsselt in eine DB legt kann ich evtl. noch verstehen, auch wenn das eigentlich überflüssig ist. Das Passwort aus der DB wird ja von einem Script ausgelesen und gar icht via HTTP verschickt. Spricht, es gibt ja gar keinen Transfer des Passwortes.
Und wenn jemand sich in meine DB hackt, dann ist das verschlüsselte Passwort doch auch egal, denn dann ist die DB ja bereits geknackt.

Und der ganzen Schmarn von wegen Verschlüsselungsalgorithmen, welcher nun nun besser, sicherer ist, etc. ist doch eigentlich auch überflüssig. Wenn man eh nur für sich verschlüsselt, und das ganze prinzipiell genauso sicher ist, als würde man nciht verschlüsseln, warum wird denn so viel über die verschiedenen Algorithmen diskutiert?

15.03.2005, 16:21

Ein verschlüssteltes Passwort (z.B. md5) macht insofern Sinn, da auch der Admin bzw. der Webmaster der Zugriff auf die DB hat die Passwörter nicht sehen sollte. Es gibt immerhin viele Leute die das selbe Passwort so gut wie überall im Internet verwenden.

Das betrifft zum Beispiel den Fall ich ich von einem Freund gehört habe. Er ist Webmaster einer größeren Game Community Site und diese hatten kurzzeitig eine Konkurrenz. Der Admin der Konkurrenz hat aber die Passwörter seines Sitesystems nicht verschlüsselt, und da sich auch bekannte elite Spieler angemeldet haben, hatte dieser mit ein paar Passwörtern Zugriff auf die Gamingserveraccoutns dieser Spieler...

Um das zu verhindern nimmt man Checksum Funktionen wie md5 :wink:

greetz
xzibit

Waq · 15.03.2005, 16:23

Zitat:

Zitat von florianwendland

Und wenn jemand sich in meine DB hackt, dann ist das verschlüsselte Passwort doch auch egal, denn dann ist die DB ja bereits geknackt.

Nein, es ist eben nicht egal.
"DB geknackt, Passwort immer noch sicher" ist in diesem Fall der gewünschte Zustand.
Menschen haben ein begrenztes Gedächtnis und benutzen ganz gerne mal das gleiche Passwort an mehreren Stellen. Wenn die Passwörter bekannt werden, kompromittiert das mehr als deine Datenbank.

Waq · 15.03.2005, 16:31

Zitat:

Zitat von xzibit

Um das zu verhindern nimmt man Checksum Funktionen wie md5

Prüfsummen-Algorithmen benutzt man NICHT für Passwörter, dafür gibt es spezielle Verschlüsselungsalgorithmen.
Und um es ein für alle mal klarzustellen, md5 ist keine Verschlüsselung. Ich weiss, "Verschlüsselung" klingt besser, aber "f|cken" klingt auch besser als "wichsen" und trotzdem haben die Wörter verschiedene Bedeutungen.

15.03.2005, 16:37

Alleine schon der Gedanke daran, dass meine Passwörter irgendwo in irgendeiner Datenbank unverschlüsselt liegen, läßt mir einen kalten Schauen über den Rücken laufen...

Und wenn es nur der Admin ist der zugriff auf die DB hat, das wäre eine Person zu viel die mein Passswort kennt!!

15.03.2005, 16:38

tja sry das ich deine achso guten PHP Kenntnisse beleidigt habe, indem ich sagte md5 wäre eine Checksum Funktion O_o
Es geht hier ums Prinzip und nicht um dein Ego...

Und ich verwende md5 für Passwörter meiner MySQL db, wie ach so viele andere auch. Es ist mir eigentlich recht egal was für eine Funktion md5 genau ist, solange sie ihren zweck erfüllt. Aber hier kommen ja die ganze Zeit irgendwelche php nerd comments..

Waq · 15.03.2005, 16:55

Zitat:

Zitat von xzibit

Es geht hier ums Prinzip und nicht um dein Ego...

Eben. Denn wenn es ums Prinzip geht, sind Verfahren ohne Salt, da viel zu Anfällig gegen Wörterbuchattacken, einfach Unsinn für die Passwortverschlüsselung.

Zitat:

Zitat von xzibit

Und ich verwende md5 für Passwörter meiner MySQL db, wie ach so viele andere auch.

Dass dieser Fehler von so vielen gemacht wird, und die auch noch meinen darauf bestehen zu müssen, wenn man sie darauf hinweist, dass sie Scheisse bauen, ist ja gerade dass, was mich so aufregt.

Zitat:

Zitat von xzibit

Es ist mir eigentlich recht egal was für eine Funktion md5 genau ist, solange sie ihren zweck erfüllt.

Sie erfüllt ihren Zweck eben nur unzureichend.

Zitat:

Zitat von xzibit

Aber hier kommen ja die ganze Zeit irgendwelche php nerd comments..

OMG, jetzt kommen die Universalbeleidigungen. Als nächstes wirfst Du mir vor, ich wäre neidisch auf dein Geschlechtsorgan. Waren wir gerade beim Thema Ego?

15.03.2005, 16:59

Bis jetzt wars ja stinklangweilig: Prüfsumme ./. mcrypt

Aber jetzt wirds interessant:

Zitat:

Als nächstes wirfst Du mir vor, ich wäre neidisch auf dein Geschlechtsorgan.

Vielleicht isses das passende Gegenstück...?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Frage zu spam bots und captcha	litterauspirna	PHP Tipps 2008	6	20.05.2008 23:56
Frage zu Typen und Performence	notyyy	PHP-Fortgeschrittene	13	14.11.2007 02:18
Frage zu Session	SmileMan	PHP Tipps 2008	1	08.10.2007 11:22
Smarty frage: switch($action)		PHP Tipps 2007	5	30.12.2006 18:07
Access Frage - Datenbankverbindung abfragen	reimondo	Off-Topic Diskussionen	1	01.10.2005 18:24
Frage zu Speicherreservierung in PHP	FiSiHRO	PHP Tipps 2005-2	4	13.09.2005 12:00
.htaccess - Frage	Stümper	PHP Tipps 2005	11	30.05.2005 11:56
[Erledigt] Performence Frage		PHP-Fortgeschrittene	10	06.05.2005 19:00
Frage zu einem Editformular		PHP Tipps 2005	3	25.04.2005 14:58
mal ne Frage		PHP Tipps 2005	7	14.04.2005 09:46
Frage zu einer Liste?		HTML, Usability und Barrierefreiheit	2	15.02.2005 16:56
[Erledigt] Frage zur Funkrionen?		PHP Tipps 2004-2	10	01.12.2004 09:42
Kurze Frage an die Php Profis		PHP Tipps 2004-2	11	24.11.2004 17:38
Frage zur Formatierung von Text	obi	PHP Tipps 2004	1	03.11.2004 13:35
[Erledigt] Frage!		PHP Tipps 2004	4	27.07.2004 11:25

15.03.2005, 14:37
Gast Beiträge: n/a	Frage zu verschlüsselten Passwörter Hallo Leute, aus welchem Grund macht es denn Sinn inerhalb seines Scripts die Passwörter zu verschlüsseln. Die Daten gelangen doch im KLartext an den Server, abgesehen es wird SSL verwendet. Und wenn die Daten am Sever angelabngt sind, für wen kodiere ich dann noch die Eingaben? Jeder Netzwerksniffer (ethereal lässt grüßen) schreibt die Daten doch vor dem Server mit. Wenn die Daten erst mal beim Server sind und das Script ausgeführt wird, ist doch die brenzlige Phase des Ausspionierens längst vorbei! Oder habe ich mich da so geirrt? Gruß Florian Wendland


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

15.03.2005, 15:18
Gast Beiträge: n/a	Du codierst das passwort im Grunde nur für eine Datenbank. Wenn das Passwort im Klartext in einer Datenbank gespeichert würde, und dies herauskommt, gibt ordentlich mecker Du bekommst das passwort durch da Formular, verschlüsselst es, und vergleichst es dann mit dem Passwort welches verschlüsselt in der Datenbank liegt, ganz einfach. bye Oecken

15.03.2005, 16:01
Gast Beiträge: n/a	Okay, dass man das Passwort verschlüsselt in eine DB legt kann ich evtl. noch verstehen, auch wenn das eigentlich überflüssig ist. Das Passwort aus der DB wird ja von einem Script ausgelesen und gar icht via HTTP verschickt. Spricht, es gibt ja gar keinen Transfer des Passwortes. Und wenn jemand sich in meine DB hackt, dann ist das verschlüsselte Passwort doch auch egal, denn dann ist die DB ja bereits geknackt. Und der ganzen Schmarn von wegen Verschlüsselungsalgorithmen, welcher nun nun besser, sicherer ist, etc. ist doch eigentlich auch überflüssig. Wenn man eh nur für sich verschlüsselt, und das ganze prinzipiell genauso sicher ist, als würde man nciht verschlüsseln, warum wird denn so viel über die verschiedenen Algorithmen diskutiert?

15.03.2005, 16:21
Gast Beiträge: n/a	Ein verschlüssteltes Passwort (z.B. md5) macht insofern Sinn, da auch der Admin bzw. der Webmaster der Zugriff auf die DB hat die Passwörter nicht sehen sollte. Es gibt immerhin viele Leute die das selbe Passwort so gut wie überall im Internet verwenden. Das betrifft zum Beispiel den Fall ich ich von einem Freund gehört habe. Er ist Webmaster einer größeren Game Community Site und diese hatten kurzzeitig eine Konkurrenz. Der Admin der Konkurrenz hat aber die Passwörter seines Sitesystems nicht verschlüsselt, und da sich auch bekannte elite Spieler angemeldet haben, hatte dieser mit ein paar Passwörtern Zugriff auf die Gamingserveraccoutns dieser Spieler... Um das zu verhindern nimmt man Checksum Funktionen wie md5 :wink: greetz xzibit

15.03.2005, 16:37
Gast Beiträge: n/a	Alleine schon der Gedanke daran, dass meine Passwörter irgendwo in irgendeiner Datenbank unverschlüsselt liegen, läßt mir einen kalten Schauen über den Rücken laufen... Und wenn es nur der Admin ist der zugriff auf die DB hat, das wäre eine Person zu viel die mein Passswort kennt!!

15.03.2005, 16:38
Gast Beiträge: n/a	tja sry das ich deine achso guten PHP Kenntnisse beleidigt habe, indem ich sagte md5 wäre eine Checksum Funktion O_o Es geht hier ums Prinzip und nicht um dein Ego... Und ich verwende md5 für Passwörter meiner MySQL db, wie ach so viele andere auch. Es ist mir eigentlich recht egal was für eine Funktion md5 genau ist, solange sie ihren zweck erfüllt. Aber hier kommen ja die ganze Zeit irgendwelche php nerd comments..