mediengestalter.info
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter

Aktuelles Datum und Uhrzeit: So 25.02.2024 10:40 Benutzername: Passwort: Auto-Login

Thema: Passwort speichern vom 16.12.2010


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Tipps & Tricks für Nonprint -> Passwort speichern
Autor Nachricht
choise
Threadersteller

Dabei seit: 01.02.2007
Ort: Würzburg
Alter: 35
Geschlecht: Männlich
Verfasst Do 16.12.2010 11:25
Titel

Passwort speichern

Antworten mit Zitat Zum Seitenanfang

http://codahale.com/how-to-safely-store-a-password/

Meinungen?

Ich denke diesen Mechanismus sollte man mal unabhängig von den Interface-Sicherungen betrachten (gehen wir einfach mal von einer dict-brute-force Attacke direkt gegen den password-hash aus), also von 3 maliger passwort eingabe, nur alle 10 sek submit usw.

Ich bin nicht ganz sicher was ich davon halten soll. Spannend klingt es zumindest.


Zuletzt bearbeitet von choise am Do 16.12.2010 11:26, insgesamt 1-mal bearbeitet
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
Smooth-Graphics

Dabei seit: 22.05.2006
Ort: -
Alter: -
Geschlecht: Männlich
Verfasst Do 16.12.2010 11:56
Titel

Antworten mit Zitat Zum Seitenanfang

Nunja. Klingt ja ganz schön, aber die Performance ist nicht zu verachten.
Ich denke auch, dass man das anwendungsabhängig betrachten sollte.
Man nehme das MGi, lege die Last des bcrypt drauf und schon ist die Performance im Eimer, benötigt wird das ganze sowieso nicht, weil (sind wir doch mal ehrlich) hier sowieso keine wichtigen Daten drin sind.
Für hochsicherheits Anwendungen wie Zahlungsinformationen etc. finde ich es hingegen sehr gut. Heutzutage bieten ja Services wie Amazon S3 die nötige Rechenkapazität dafür auch an.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
Anzeige
Anzeige
bacon

Dabei seit: 24.10.2007
Ort: -
Alter: -
Geschlecht: -
Verfasst Fr 17.12.2010 12:26
Titel

Antworten mit Zitat Zum Seitenanfang

Hm weißnicht. Ich bin kein Experte, höchstens in sofern, dass ich mich an meine Krypto-Klausur mit Grauen erinnere.

Gängige Meinung ist sowieso, "Passwörter niemals encrypten, sondern immer hashen" => Einweg vs. Zweiweg-Passwort-Verschlüsselung. Zweiweg (symmetrisch) kann man immer wieder entschlüsseln, einweg wenigstens in der Theorie - nicht.

Zitat:
Because of this, bcrypt can keep up with Moore’s law. As computers get faster you can increase the work factor and the hash will get slower.


Jaja - klar. Leider kann man diesen Faktor - wenigstens in der aktuellen php5.3-Implementierung, die Blowfish bzw. bcrypt in der Theorie nativ unterstützt - nicht einstellen. Man kann zwar einen Salt festlegen, aber nur in festen Grenzen.

Genausogut kann ich Hash-Funktionen benutzen und die Passwortlänge immer weiter erhöhen. Alles unter 8 Zeichen macht tatsächlich keinen großen Sinn, aber zeig' mir mal den Angriff, der es schafft, über HTTP ein Passwort von 12 und mehr Zeichenlänge via Bruteforce oder Rainbotables oder beidem innerhalb weniger Stunden zu ermitteln.

Dann ist das ganze in Versionen < 5.3.x auch noch Plattformabhängig - das heißt, man weiß nicht unbedingt, welche Methode crypt() benutzt, um Passwörter zu ver- und entschlüsseln.


Zuletzt bearbeitet von bacon am Fr 17.12.2010 12:29, insgesamt 2-mal bearbeitet
  View user's profile Private Nachricht senden
 
Ähnliche Themen [php / MySQL] Passwort Reminder
Passwort-Qualität überprüfen
Dateien in CGI-bin per Passwort schützen?
Passwort geschützte Seiten.....
Passwort Schutz in html
Google als Passwort-Cracker?
Neues Thema eröffnen   Neue Antwort erstellen
MGi Foren-Übersicht -> Tipps & Tricks für Nonprint


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.