Sicherheit bei Passwörtern
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
anzeigen
apache
datei
daten
datenbank
eingabe
erste
folgende methode
interpretiert beitrag
klartext
lord
men
pawort
private
salzen
schliee
speicher
tip
verzeichnis
vielen dank
-
Ich wollte mal schnell wissen, wie ihr das so macht mit den Passwörtern für MySQL-Datenbanken. Sind die bei euch in Klartext gespeichert oder kann man die irgendwie verschlüsseln (md5-ähnlich). Ich denke, dass es nicht sicher genug ist, diese in Klartext zu speichern (z.B. wenn man heikle Daten wie Adressen gespeichert hat). Was denkt ihr dazu? Habt ihr Tips? Vielen Dank.
Beitrag geändert: 29.7.2007 19:37:58 von multicontrol -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Wenn man sie im Privaten Menü unter Datenbanken anzeigen kann, so sind sie auf jeden Fall nicht Einwegverschlüsselt.
Wenn du sensible Daten hast, dann miete dir lieber einen eigenen Server, denn hier ist das Hosting kostenlos, also erwarte auch nicht zu viel, auch wenn lima durchaus mit normalen Hostern mithalten kann. -
Daran hab ich gar nicht gedacht, ist ja logisch wenn sie im Privaten Menü anzeigen kann;).
Ist es möglich, eine PHP-Datei als normalen Code anzeigen zu lassen (dann wären ja auch die Passwörter ersichtlich). Wenn ich in meinem Verzeichnis eine *.php-Datei öffne, wird sie immer gleich interpretiert.
Beitrag geändert: 29.7.2007 19:47:33 von multicontrol -
Daran hab ich gar nicht gedacht, ist ja logisch wenn sie im Privaten Menü anzeigen kann;).
Ist es möglich, eine PHP-Datei als normalen Code anzeigen zu lassen (dann wären ja auch die Passwörter ersichtlich). Wenn ich in meinem Verzeichnis eine *.php-Datei öffne, wird sie immer gleich interpretiert.
Beitrag geändert: 29.7.2007 19:47:33 von multicontrol
Ja, theoretisch schon. Aber da müsste der Lord Apache ausschalten und das würde er sicher nie absichtlich tun ^^ -
Ich schliesse daraus, dass es sehr unwahrscheinlich ist, dass jemand an meine Passwörter rankommt?!
-
Ich schliesse daraus, dass es sehr unwahrscheinlich ist, dass jemand an meine Passwörter rankommt?!
Da liegst du richtig ;)
Allerdings solltest du dein Passwort, dass du hier bei lima verwendest, bei keinen anderen Anbietern/Projekten verwenden (sicher ist sicher) ;) -
OK. Dann ist meine Frage beantwortet. Allen Beteiligten vielen Dank für die SCHNELLE Antwort.
-
Natürlich kannst du auch mal folgende Methode ausprobieren:
Als erstes benötigst du ein Passwort. Beispiel: pwd.
Nun verschlüsselst du dieses PAsswort via md5. Dazu kannst du entweder einen selbst erstellten md5-Gen nehmen, es schnell mit einem Script lösen
$crypt = md5("pwd");
oder den von http://www.php-einfach.de verwenden.
Dann musst du das Passwort nurnoch so abfragen (Es wurde das Passwort via Formular gepostet):
$pwd = "pwd"; $crypt = md5($pwd); $eingabe = $_POST[pwd]; if ($crypt == eingabe) { print "Das Passwort ist richtig." } else { print "Das Passwort ist falsch." }
Das müsste eigentlich funktionieren. Aber du weißt bestimmt, was ich meine^^ -
Natürlich kannst du auch mal folgende Methode ausprobieren:
Als erstes benötigst du ein Passwort. Beispiel: pwd.
Nun verschlüsselst du dieses PAsswort via md5. Dazu kannst du entweder einen selbst erstellten md5-Gen nehmen, es schnell mit einem Script lösen
$crypt = md5("pwd");
oder den von http://www.php-einfach.de verwenden.
Dann musst du das Passwort nurnoch so abfragen (Es wurde das Passwort via Formular gepostet):
$pwd = "pwd"; $crypt = md5($pwd); $eingabe = $_POST[pwd]; if ($crypt == eingabe) { print "Das Passwort ist richtig." } else { print "Das Passwort ist falsch." }
Das müsste eigentlich funktionieren. Aber du weißt bestimmt, was ich meine^^
Mit deinem Code wird das Passwort niemals richtig sein, es sei denn der User gibt die md5-Checksumme von "pwd" ein. Und ich glaube kaum, dass sich jemand diese 30 Zeiche lange Folge merken wird.
Wenn dann so:
<? if($crypt==md5($_POST['pwd'])) ?>
Aber auch md5 ist nicht mehr das Wahre, ich sag nur http://md5.rednoize.com/ -
Sehr interessant, ich habe sämtliche Passwörter (ausser eben dem für die MySQL-Datenbank) md5-verschlüsselt - bringt ja wohl nicht viel, wenn es rückgängig gemacht werden kann;). Es ist nur lustig, dass es überall heisst Zitat: "md5 nicht umkehrbar, blablabla...". Vielen Dank für deine Information bzw. den Link, tct.
-
Bei http://md5.rednoize.com/ werden lediglich bekannte schlüssel verwendet!
Die dort in ner Datenbank stehen,... Lesen hilft :P
Klar, wenn du als Passwort Admin nimmst, und man DANK EINES EXPLOITS von deiner uralten webspell (? oder so) Installation den MD5Hash bekommen hat, DANN kann man ihn knacken. Aber sobald du Adminoma2opa genommen hast, nützt es dem *häcker* schon nichtsmehr.
Was lernst du daraus? Keine Standartpasswört, was eingenes ausdenken, und nicht "zum test" mal bei http://md5.rednoize.com/ verschlüsseln ;). Von mir sind in der datenbank auch 4 alte PWs von denen ich mal schnell nen MD5 Hash gebraucht habe
-
Dann werde ich wohl oder übel das nächste Mal auch ein bisschen mehr lesen
Vielen Dank für die Infos
übrigens, für die die's interessiert (damit ihr eure pw's nicht auf Seiten wie http://md5.rednoize.com/ verschlüsseln müsst)
<?php if (isset($_POST['text'])) { $md5 = md5($_POST['text']); } echo('<html><body><form method="post"><input type="text" name="text"'); if (isset($md5)) { echo(' value='.$md5.' '); } echo('><input type="submit" value="verschlüsseln"></body></html>'); ?>
Sehr einfach - aber sollte funktionieren. Und das PW wird in keiner db gespeichert:P
Beitrag geändert: 30.7.2007 21:54:27 von multicontrol -
Bei Lima reicht auch nur der MD5 des eigenen passworts zum einloggen, denn der wird ja in den cookie geschrieben
ps3web -
Ich würde sagen, Verschlüsselungen halten einiges ab aber nicht ist 100% Sicher ausser der Tod.
Alles erschwert das Hacken/Cracken aber verhindert es nicht ! -
Ich wollte mal schnell wissen, wie ihr das so macht mit den Passwörtern für MySQL-Datenbanken.
md5() + Salz http://de.wikipedia.org/wiki/Salz_(Kryptologie) , um Kollisionen um ein Vielfaches unwahrscheinlicher zu machen.
Sind die bei euch in Klartext gespeichert oder kann man die irgendwie verschlüsseln (md5-ähnlich). Ich denke, dass es nicht sicher genug ist, diese in Klartext zu speichern (z.B. wenn man heikle Daten wie Adressen gespeichert hat). Was denkt ihr dazu? Habt ihr Tips? Vielen Dank.
Deine Aussage ist nicht ganz eindeutig. Was willst du verschlüsseln? Das Passwort oder die Daten?
Falls du den 2. Fall meinst, dann hast du nicht verstanden, was ein Hash-Algorithmus ist.
sesch schrieb:
Ja, theoretisch schon. Aber da müsste der Lord Apache ausschalten und das würde er sicher nie absichtlich tun ^^
Dann würden die Server aber auch keine Daten ausliefern^^.
Es müsste wenn schon nur das PHP-Modul deaktiviert werden.
multicontrol schrieb:
Zitat: 'md5 nicht umkehrbar, blablabla...'. Vielen Dank für deine Information bzw. den Link, tct.
md5 ist auf jeden Fall nicht eindeutig umkehrbar, weil es eben verschiedene Strings mit dem gleichen Hash gibt.
Deswegen sollte man eben auch Salz in die Passwörter geben. -
Ganz einfach, passwörter immer md5 verschlüssen, ud auch so beim einloggen vergleichen.
So muss es nie weider entschlüsselt werden !! ;)
Warum md5, ist sicher !!
Warum keine eigene Verschlüsselung, auch einfach...nur etwa 5% von euch wäre in der Lage einen
wirksamen Allgorytmus zu entwickeln...ist keine Beleidigung, aber die meißten von uns sind einfach nicht Intelligent genug um eine eigene verschlüsselung zu schreiben !! ;) -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
