Willkommen auf dem Portal für Mediengestalter
|
|
Autor |
Nachricht |
choise
Threadersteller
Dabei seit: 01.02.2007
Ort: Würzburg
Alter: 35
Geschlecht:
|
Verfasst Do 16.12.2010 12:25
Titel Passwort speichern |
|
|
http://codahale.com/how-to-safely-store-a-password/
Meinungen?
Ich denke diesen Mechanismus sollte man mal unabhängig von den Interface-Sicherungen betrachten (gehen wir einfach mal von einer dict-brute-force Attacke direkt gegen den password-hash aus), also von 3 maliger passwort eingabe, nur alle 10 sek submit usw.
Ich bin nicht ganz sicher was ich davon halten soll. Spannend klingt es zumindest.
Zuletzt bearbeitet von choise am Do 16.12.2010 12:26, insgesamt 1-mal bearbeitet
|
|
|
|
|
Smooth-Graphics
Dabei seit: 22.05.2006
Ort: -
Alter: -
Geschlecht:
|
Verfasst Do 16.12.2010 12:56
Titel
|
|
|
Nunja. Klingt ja ganz schön, aber die Performance ist nicht zu verachten.
Ich denke auch, dass man das anwendungsabhängig betrachten sollte.
Man nehme das MGi, lege die Last des bcrypt drauf und schon ist die Performance im Eimer, benötigt wird das ganze sowieso nicht, weil (sind wir doch mal ehrlich) hier sowieso keine wichtigen Daten drin sind.
Für hochsicherheits Anwendungen wie Zahlungsinformationen etc. finde ich es hingegen sehr gut. Heutzutage bieten ja Services wie Amazon S3 die nötige Rechenkapazität dafür auch an.
|
|
|
|
|
Anzeige
|
|
|
bacon
Dabei seit: 24.10.2007
Ort: -
Alter: -
Geschlecht: -
|
Verfasst Fr 17.12.2010 13:26
Titel
|
|
|
Hm weißnicht. Ich bin kein Experte, höchstens in sofern, dass ich mich an meine Krypto-Klausur mit Grauen erinnere.
Gängige Meinung ist sowieso, "Passwörter niemals encrypten, sondern immer hashen" => Einweg vs. Zweiweg-Passwort-Verschlüsselung. Zweiweg (symmetrisch) kann man immer wieder entschlüsseln, einweg wenigstens in der Theorie - nicht.
Zitat: | Because of this, bcrypt can keep up with Moore’s law. As computers get faster you can increase the work factor and the hash will get slower. |
Jaja - klar. Leider kann man diesen Faktor - wenigstens in der aktuellen php5.3-Implementierung, die Blowfish bzw. bcrypt in der Theorie nativ unterstützt - nicht einstellen. Man kann zwar einen Salt festlegen, aber nur in festen Grenzen.
Genausogut kann ich Hash-Funktionen benutzen und die Passwortlänge immer weiter erhöhen. Alles unter 8 Zeichen macht tatsächlich keinen großen Sinn, aber zeig' mir mal den Angriff, der es schafft, über HTTP ein Passwort von 12 und mehr Zeichenlänge via Bruteforce oder Rainbotables oder beidem innerhalb weniger Stunden zu ermitteln.
Dann ist das ganze in Versionen < 5.3.x auch noch Plattformabhängig - das heißt, man weiß nicht unbedingt, welche Methode crypt() benutzt, um Passwörter zu ver- und entschlüsseln.
Zuletzt bearbeitet von bacon am Fr 17.12.2010 13:29, insgesamt 2-mal bearbeitet
|
|
|
|
|
|
|
|
Ähnliche Themen |
[php / MySQL] Passwort Reminder
Passwort-Qualität überprüfen
Dateien in CGI-bin per Passwort schützen?
Passwort geschützte Seiten.....
Passwort Schutz in html
Google als Passwort-Cracker?
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
|