[Erledigt] Login nach Emailbestätigung - Seite 2

20.01.2005, 14:28

jo mit md5 wäre wohl das besten. Da fällt mir ein bei wikipedia hab ich gelesen das das md5 mal von irgendwem entschlüsselt worden ist. Mit nem Hochleistungsrechner usw. könnt es euch ja mal durchlesen

20.01.2005, 15:26

hm, die ein-tabellen lösung gefällt mir nicht so, weil du dann entweder sinnlos eine spalte mit zufallszahlen rumschleppst, oder, wenn du es in nur einem feld machst, du einen viel zu großen wertebereich brauchst um dann am ende nur ne 1 drin zu speichern. lieber zwei tabellen.
btw: md5 kann man nicht entschlüsseln sondern nur gleichwertige schlüssel finden (meines wissens nach)

sc911

20.01.2005, 21:45

MD5 (Message Digest Algorithm 5) ist eine weitverbreitete kryptografische Hashfunktion, die einen 128-Bit-Hashwert erzeugt. MD5 wurde 1991 von Ronald L. Rivest entwickelt. Im August 2004 wurden ernsthafte Sicherheitsmängel in MD5 entdeckt, und viele Systeme, die MD5 verwenden, werden möglicherweise auf sicherere Alternativen umsteigen.

und

MD5 ist ein Vertreter aus einer Reihe von Hashfunktionen, die von Professor Ronald L. Rivest am MIT entwickelt wurden. Als Analysen ergaben, dass MD5s Vorgänger — MD4 — wahrscheinlich unsicher war, wurde MD5 1991 als sicherer Ersatz entwickelt. Tatsächlich wurden später von Hans Dobbertin Schwächen in MD4 gefunden.

1996 meldete Dobbertin eine Kollision in der Kompressionsfunktion von MD5. Dies war zwar kein Angriff auf die vollständige MD5-Funktion, dennoch empfahlen Kryptographen bereits damals, wenn möglich auf sicherere Algorithmen wie SHA-1 oder RIPEMD-160 umzusteigen. Im August 2004 fanden chinesische Forscher Kollisionen für die vollständige MD5-Funktion. Wie sich diese Entdeckung auf die Verwendung von MD5 auswirkt, bleibt abzuwarten.

besonders vorletzterer Satz Kollisionen für die vollständige MD5 Funktion.

Aber so genau weiss man nun auch nicht was das heisst

21.01.2005, 09:42

1. über md5 wurde in diesem forum an anderer stelle schon genug geschrieben, die boardsuche hilft.
2. würde ich mich freuen, wenn du zitate auch als solche erkenntlich machst.
3. steht in der englischen ausgabe von wikipedia folgendes zur "collision attack" und auch der artikel über md5 is etwas ausführlicher.

Zitat:

Zitat von wikipedia

A collision attack on a cryptographic hash tries to find two different inputs that will produce the same hash value, i.e. a hash collision. Unlike a hash collision, a collision attack normally aims to find an alternate input that still makes sense, rather than a just a nonsense input.

4. würde ich dennoch ungerne das pw oder den username in diesem link haben, auch wenn es nur die hashwerte von selbigen sind. ein zufallsstring, der eindeutig zugeordndet ist und nur, sagen wir 24 stunden lang gültig ist, gefällt mir besser.
5. ist das hier eh egal, denn das problem ist ja wohl gelöst, oder?

TeazY · 12.03.2009, 16:03

man könnte auch einfach das registrierungsdatum + ID in eine md5-hash klatschen. Dann bräuchte man auch kein extra feld in der tabelle da datum und id schon vorhanden sind.

Bei der überprüfung wird dann einfach das datum + ID abgefragt, in einen has gesteckt und mti dem hash aus dem Link vergleichen. Wenn er übereinstimmt wird der user auf "aktiviert" gesetzt. Wenn nicht, gibts eine nette fehlermeldung und das wars.

Zum Thema 24 Stunden gültigkeit: Wenn cih mich jetzt registriere und dann nicht direkt in mein postfach schaue um den account zu aktivieren. Weiss man ja nciht wann cih wieder komme und meine E-Mail checke. Sollte der Aktivierungslink dann schon veraltet sien brauchst du eine weitere funktion die mir einen neuen aktivierungslink zuschickt den cih dann wieder bestätigen muss. das ist unnötiger mehraufwand . also lieber keine gültigkeitsdauer einbauen. Ich verwende da lieber vorhande werte die sich nicht ändern.

nikosch · 13.03.2009, 21:12

Zitat:

Zum Thema 24 Stunden gültigkeit: Wenn cih mich jetzt registriere und dann nicht direkt in mein postfach schaue um den account zu aktivieren. Weiss man ja nciht wann cih wieder komme und meine E-Mail checke. Sollte der Aktivierungslink dann schon veraltet sien brauchst du eine weitere funktion die mir einen neuen aktivierungslink zuschickt den cih dann wieder bestätigen muss. das ist unnötiger mehraufwand . also lieber keine gültigkeitsdauer einbauen.

Jede Minute erhöht aber die Möglichkeit eines Bruteforce Angriffs. Login auf eine fremde Emailadresse und dann fröhlich losprobieren.

Btw: Der Thread ist 4 Jahre alt.

TeazY · 14.03.2009, 00:02

hab ihn aber aus der liste "neue beiträge" xD

Der zugriff auf fremde email adresse ist in diesem fall doch aber nciht so gefährlich oder? ich mien man bekommt ja "nur" einen link mit einem verschlüsselten code oder einem hash im link mit dem man nicht ausser den account aktivieren kann. Andere daten sind doch dadurch erstmal nicht gefärdet, oder?

nikosch · 15.03.2009, 02:22

Immerhin kannst Du Dich auf eine fremde Emailadresse anmelden.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Login erstellen	coraplanet	PHP Tipps 2008	33	21.04.2008 16:49
Forum Login per curl	leb0rtran	PHP Tipps 2008	1	19.03.2008 12:47
Etwas komplexerer Login --> Keine Angst, Suche benutzt	dethlef14	PHP Tipps 2006	7	02.10.2006 00:35
.htaccess Login über HTML Login Felder gestalten	php1	PHP-Fortgeschrittene	2	09.08.2006 13:53
Session Logout Login Navigation	TailerD	PHP Tipps 2006	10	24.06.2006 17:12
Frage zu Login	Kein Genie	PHP Tipps 2006	5	16.06.2006 12:34
phpBB Loginscript in eigenes Login Script einbinden	2wuck	PHP Tipps 2007	4	19.12.2005 23:10
Problem mit Login Script		PHP Tipps 2007	4	15.11.2005 17:29
Problem mit Login Bereich (Sessions, MySQL)	nicobischof	PHP Tipps 2005-2	6	19.10.2005 09:54
Login Script...		Beitragsarchiv	1	16.08.2005 02:21
Login Bereich		PHP Tipps 2005-2	12	15.08.2005 23:27
Login, LogIn, Anmelden, Einloggen -&amp;amp;gt; ???		Off-Topic Diskussionen	20	14.07.2005 11:01
[Erledigt] Windows XP Login Namen verwenden?		PHP-Fortgeschrittene	14	17.03.2005 15:37
login mit session id		PHP Tipps 2005	10	26.01.2005 12:32
[Erledigt] Zurück-Button beim Login		PHP Tipps 2005	7	25.01.2005 17:22

20.01.2005, 14:28
Gast Beiträge: n/a	jo mit md5 wäre wohl das besten. Da fällt mir ein bei wikipedia hab ich gelesen das das md5 mal von irgendwem entschlüsselt worden ist. Mit nem Hochleistungsrechner usw. könnt es euch ja mal durchlesen


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

20.01.2005, 15:26
Gast Beiträge: n/a	hm, die ein-tabellen lösung gefällt mir nicht so, weil du dann entweder sinnlos eine spalte mit zufallszahlen rumschleppst, oder, wenn du es in nur einem feld machst, du einen viel zu großen wertebereich brauchst um dann am ende nur ne 1 drin zu speichern. lieber zwei tabellen. btw: md5 kann man nicht entschlüsseln sondern nur gleichwertige schlüssel finden (meines wissens nach) sc911

20.01.2005, 21:45
Gast Beiträge: n/a	MD5 (Message Digest Algorithm 5) ist eine weitverbreitete kryptografische Hashfunktion, die einen 128-Bit-Hashwert erzeugt. MD5 wurde 1991 von Ronald L. Rivest entwickelt. Im August 2004 wurden ernsthafte Sicherheitsmängel in MD5 entdeckt, und viele Systeme, die MD5 verwenden, werden möglicherweise auf sicherere Alternativen umsteigen. und MD5 ist ein Vertreter aus einer Reihe von Hashfunktionen, die von Professor Ronald L. Rivest am MIT entwickelt wurden. Als Analysen ergaben, dass MD5s Vorgänger — MD4 — wahrscheinlich unsicher war, wurde MD5 1991 als sicherer Ersatz entwickelt. Tatsächlich wurden später von Hans Dobbertin Schwächen in MD4 gefunden. 1996 meldete Dobbertin eine Kollision in der Kompressionsfunktion von MD5. Dies war zwar kein Angriff auf die vollständige MD5-Funktion, dennoch empfahlen Kryptographen bereits damals, wenn möglich auf sicherere Algorithmen wie SHA-1 oder RIPEMD-160 umzusteigen. Im August 2004 fanden chinesische Forscher Kollisionen für die vollständige MD5-Funktion. Wie sich diese Entdeckung auf die Verwendung von MD5 auswirkt, bleibt abzuwarten. besonders vorletzterer Satz Kollisionen für die vollständige MD5 Funktion. Aber so genau weiss man nun auch nicht was das heisst

12.03.2009, 16:03
TeazY Erfahrener Benutzer Registriert seit: 12.12.2007 Beiträge: 137	man könnte auch einfach das registrierungsdatum + ID in eine md5-hash klatschen. Dann bräuchte man auch kein extra feld in der tabelle da datum und id schon vorhanden sind. Bei der überprüfung wird dann einfach das datum + ID abgefragt, in einen has gesteckt und mti dem hash aus dem Link vergleichen. Wenn er übereinstimmt wird der user auf "aktiviert" gesetzt. Wenn nicht, gibts eine nette fehlermeldung und das wars. Zum Thema 24 Stunden gültigkeit: Wenn cih mich jetzt registriere und dann nicht direkt in mein postfach schaue um den account zu aktivieren. Weiss man ja nciht wann cih wieder komme und meine E-Mail checke. Sollte der Aktivierungslink dann schon veraltet sien brauchst du eine weitere funktion die mir einen neuen aktivierungslink zuschickt den cih dann wieder bestätigen muss. das ist unnötiger mehraufwand . also lieber keine gültigkeitsdauer einbauen. Ich verwende da lieber vorhande werte die sich nicht ändern. __________________ Kommt Zeit, Kommt Rat! .visit » TNK-Studios.de .visit » TolgaFFM @ YouTube.de

14.03.2009, 00:02
TeazY Erfahrener Benutzer Registriert seit: 12.12.2007 Beiträge: 137	hab ihn aber aus der liste "neue beiträge" xD Der zugriff auf fremde email adresse ist in diesem fall doch aber nciht so gefährlich oder? ich mien man bekommt ja "nur" einen link mit einem verschlüsselten code oder einem hash im link mit dem man nicht ausser den account aktivieren kann. Andere daten sind doch dadurch erstmal nicht gefärdet, oder? __________________ Kommt Zeit, Kommt Rat! .visit » TNK-Studios.de .visit » TolgaFFM @ YouTube.de

15.03.2009, 02:22
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.248 PHP-Kenntnisse: Fortgeschritten	Immerhin kannst Du Dich auf eine fremde Emailadresse anmelden. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --