Michi26206

Hi,

ich bin neu hier und habe ne frage:

Ich habe eine Page mit Login geschrieben nun habe ich erfahren das man MD5 via Rainbowtabellen wieder "entschlüsseln" kann. Nun füge ich dem ganzen noch einen varialen Salt hinzu dann ist es wieder sicher. Wie mach ich es dann, dass ich das Passwort beim Login wieder vergleichen kann? Da ich ja einen variablen Salt habe bin ich bis jetzt noch nicht dahinter gekommen wie ich das am besten machen soll.

Gruß Michi26206

PS: Danke schon mal für die Hilfe.

Mister Ad

nikosch

Salt (Kryptologie – Wikipedia)

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

Chriz

Den SALT musst du zu einem spaeteren Zeitpunkt natuerlich noch kennen.
Es reicht aber auch ein statischer SALT um die Rainbowtabellen unwirksam zu machen.

Nur ist ja klar, wer an den MD5 rankommt, ist schon so tief in deinem Server drin, dass er wahrscheinlich auch an den SALT rankommt bzw. schon hat was er moechte.

Also nicht zuviel Zeit reininvestieren

Flor1an

Wenn du einen dynamischen Salt hast dann wirds schwierig. Wie erstellst du ihn? Du müsstest ihn halt reproduzieren können wenn sich der User einloggt.

Und der md5 Hash kann immer noch über Rainbowtables zurückgeführt werden wenn du einen Salt nutzt. Angenommen du hängst nur einen String an dass Passwort an "passwortSALT" dann bekommste genau das wieder zurück wenn du den Hash durch ne Rainbowtable jagst. Und dann kann man damit probieren das Passwort zu finden das ist dann nicht so schwer.

__________________
▇█▓▒░◕‿‿◕░▒▓█▇

Manko10

Wer außer mir ist noch der Meinung, dass dies kein Fortgeschrittenen-Thema ist?

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

Flor1an

Aber es wäre auch z.b. praktisch wenn du z.b. ein Team an Entwicklern hast und möchtest nicht dass jeder die Passwörter der User einsehen kann. Den auch wenn der Entwickler den Salt kennt müsste er dafür extra ne Rainbowtable erstellen, ist natürlich möglich, verhindert aber Gelegenheitsdiebe

__________________
▇█▓▒░◕‿‿◕░▒▓█▇

Chriz

Ob ich mir jetz den statischen SALT oder die Funktion die ihn mir dynamisch erzeugt klaue ist doch Bims. Du hast kaum Mehrwert der einen Aufwand lohnt.

robo47

Vom Bruteforce-Aufwand her macht es einen sehr großen Unterschied, weil wenn man EINEN statischen Salt hat, kann man davon EINE Rainbow-Tabelle erstellen und hat ne Tabelle die für alle Passwörter gilt.

Ist der SALT dynamisch, muss man ihn erst für jeden Datenbankeintrag berechnen und mit jedem dieser SALTs dann die Rainbow-Tabelle dazu erstellen.

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Michi26206

@ Manko10:

sry. wusst ich net hab einen Salt beitrag unter Fortgeschritten gefunden. Deshalb dachte ich es passt. Fals nich pls verschieben.

@ robo47:

genau das war mein Zeil

@ all :

also kann ich mir Salt im Prinzip sparen oder wenn ich das Passwort "salze" muss ich das Salz es mit in denHash reinschmeißen.
Hab ich das richtig verstanden?

Gruß Michi26206

Manko10

Fortgeschritten oder nicht misst sich an dir selbst, nicht am Thema.

Themenmoderation:
[→] Verschoben von PHP-Fortgeschrittene

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”