Man könnte die Passwörter Salzen (Hash-Werte salzen) oder einfach mehrfach verschlüsseln.
Fertige Lösungen wären zb. bcrypt, scrypt, crypt etc.
Ich würde es mit Sha256 und salt machen.
Dabei sollte für jedes Passwort ein eigener, zufälliger Salt verwendet werden, der ebenfalls in Datenbank gespeichert wird.
Zusammen mit einem zeitaufwändigen Verwahren (bcrypt, scrypt) verspricht das eine sehr hohe Sicherheit.
Wenn PHP 5.5 verfügbar ist solltest du dir mal die Crypt-API anschauen. (password_hash)
Ändern kannst du das ganze in
Zeile 77: content/intern/anmelden.php
Zeile 44: lib/session.lib.php
Am besten noch einen Passwort-Generator bei der Registirerung einbauen.
Und darauf hinweisen das die User keine einfachen Passwörter verwenden, das Passwort mindestens 10 Zeichen haben muss, keine Passwörter doppelt verwenden etc.
Ich selbst benutze für jede Seite ein anderes Passwort, dafür verwende ich KeePass.
Gibt aber auch noch andere Möglichkeiten wie zb. Login mit Klamm-ID und Losepasswort.
Da hast du garnichts mit den Passwörtern zutun
MfG
Marco
Zitieren