Md5 "Verschlüsselung" in eine sichere ändern!
Hallo zusammen,
was wäre der einfachste weg die User-Passwörter VMS1.2 nicht mehr in MD5 zu "verschlüsseln" sondern in etwas sichereres?
Kann mir jemand sagen WO ich das ändere und was eine GUTE Alternative zu MD5 ist, da scheiden sich wieder die Geister. Das einzige was sicher ist das MD5 WERTLOS geworden ist!
Re: Md5 "Verschlüsselung" in eine sichere ändern!
Man könnte die Passwörter Salzen (Hash-Werte salzen) oder einfach mehrfach verschlüsseln.
Fertige Lösungen wären zb. bcrypt, scrypt, crypt etc.
Ich würde es mit Sha256 und salt machen.
Dabei sollte für jedes Passwort ein eigener, zufälliger Salt verwendet werden, der ebenfalls in Datenbank gespeichert wird.
Zusammen mit einem zeitaufwändigen Verwahren (bcrypt, scrypt) verspricht das eine sehr hohe Sicherheit.
Wenn PHP 5.5 verfügbar ist solltest du dir mal die Crypt-API anschauen. (password_hash)
Ändern kannst du das ganze in
Zeile 77: content/intern/anmelden.php
Zeile 44: lib/session.lib.php
Am besten noch einen Passwort-Generator bei der Registirerung einbauen.
Und darauf hinweisen das die User keine einfachen Passwörter verwenden, das Passwort mindestens 10 Zeichen haben muss, keine Passwörter doppelt verwenden etc.
Ich selbst benutze für jede Seite ein anderes Passwort, dafür verwende ich KeePass.
Gibt aber auch noch andere Möglichkeiten wie zb. Login mit Klamm-ID und Losepasswort.
Da hast du garnichts mit den Passwörtern zutun ;)
MfG
Marco
Re: Md5 "Verschlüsselung" in eine sichere ändern!
Hallo und Danke für die Antwort!
Die Grundsicherheitssachen sind mir schon klar, würde es reichen in der Sessions.lib einfach die Zeile:
'".md5($_POST['passwort']). in '".sha256($_POST['passwort']). Zu ändern oder muss ich noch irgent etwas an der Datenbank schrauben etc. pp?
Re: Md5 "Verschlüsselung" in eine sichere ändern!
Hey,
Zitat:
Ändern kannst du das ganze in
Zeile 77: content/intern/anmelden.php <-- NICHT VERGESSEN
Zeile 44: lib/session.lib.php
Die Datei Datei:
content/intern/daten.php
musst du auch noch anpassen.
Zitat:
.sha256($_POST['passwort']
Richtig wäre:
Zitat:
.hash(‘sha256′, $_POST['passwort'])
In der Datenbank musst du noch "char(32)" in "char(64)" ändern.
Jedoch ist jetzt immer noch eine einfache Kollision möglich.(Rainbow-Table)
Du musst das ganze noch salzen (salt)
Schau doch erstmal welche PHP-Version du benutzt.
Erstelle dir eine PHP-Datei mit folgendem Code:
Hochladen->Aufrufen
PS: Bedenke das die User sich dann mit dem altem Passwort nicht mehr Anmelden können!!!
Ich übernehme keine Verantwortung ;)
Re: Md5 "Verschlüsselung" in eine sichere ändern!
Ich werde heute Abend mal was kleines basteln und stelle es dann hier frei zur Verfügung.
Re: Md5 "Verschlüsselung" in eine sichere ändern!
So...
Habe mich mal kurz ans werk gemacht.
Klick Mich
Re: Md5 "Verschlüsselung" in eine sichere ändern!
Zitat:
Zitat von
maeggi07
So...
Habe mich mal kurz ans werk gemacht.
Klick Mich
Hey Super! Das schau ich mir mal an.!
5.6.3 ist die aktuelle Version.