Hallo zusammen,
was wäre der einfachste weg die User-Passwörter VMS1.2 nicht mehr in MD5 zu "verschlüsseln" sondern in etwas sichereres?
Kann mir jemand sagen WO ich das ändere und was eine GUTE Alternative zu MD5 ist, da scheiden sich wieder die Geister. Das einzige was sicher ist das MD5 WERTLOS geworden ist!
Geändert von Alpha10 (16.01.2015 um 09:02 Uhr)
Man könnte die Passwörter Salzen (Hash-Werte salzen) oder einfach mehrfach verschlüsseln.
Fertige Lösungen wären zb. bcrypt, scrypt, crypt etc.
Ich würde es mit Sha256 und salt machen.
Dabei sollte für jedes Passwort ein eigener, zufälliger Salt verwendet werden, der ebenfalls in Datenbank gespeichert wird.
Zusammen mit einem zeitaufwändigen Verwahren (bcrypt, scrypt) verspricht das eine sehr hohe Sicherheit.
Wenn PHP 5.5 verfügbar ist solltest du dir mal die Crypt-API anschauen. (password_hash)
Ändern kannst du das ganze in
Zeile 77: content/intern/anmelden.php
Zeile 44: lib/session.lib.php
Am besten noch einen Passwort-Generator bei der Registirerung einbauen.
Und darauf hinweisen das die User keine einfachen Passwörter verwenden, das Passwort mindestens 10 Zeichen haben muss, keine Passwörter doppelt verwenden etc.
Ich selbst benutze für jede Seite ein anderes Passwort, dafür verwende ich KeePass.
Gibt aber auch noch andere Möglichkeiten wie zb. Login mit Klamm-ID und Losepasswort.
Da hast du garnichts mit den Passwörtern zutun
MfG
Marco
Geändert von maeggi07 (14.01.2015 um 20:46 Uhr)
Hallo und Danke für die Antwort!
Die Grundsicherheitssachen sind mir schon klar, würde es reichen in der Sessions.lib einfach die Zeile:
'".md5($_POST['passwort']). in '".sha256($_POST['passwort']). Zu ändern oder muss ich noch irgent etwas an der Datenbank schrauben etc. pp?
Hey,
Die Datei Datei:Ändern kannst du das ganze in
Zeile 77: content/intern/anmelden.php <-- NICHT VERGESSEN
Zeile 44: lib/session.lib.php
content/intern/daten.php
musst du auch noch anpassen.
Richtig wäre:.sha256($_POST['passwort']
In der Datenbank musst du noch "char(32)" in "char(64)" ändern..hash(‘sha256′, $_POST['passwort'])
Jedoch ist jetzt immer noch eine einfache Kollision möglich.(Rainbow-Table)
Du musst das ganze noch salzen (salt)
Schau doch erstmal welche PHP-Version du benutzt.
Erstelle dir eine PHP-Datei mit folgendem Code:
Hochladen->Aufrufen<?php
phpinfo();
PS: Bedenke das die User sich dann mit dem altem Passwort nicht mehr Anmelden können!!!
Ich übernehme keine Verantwortung
Geändert von maeggi07 (15.01.2015 um 12:36 Uhr)
Ich werde heute Abend mal was kleines basteln und stelle es dann hier frei zur Verfügung.
So...
Habe mich mal kurz ans werk gemacht.
Klick Mich
Hey Super! Das schau ich mir mal an.!Zitat von maeggi07
5.6.3 ist die aktuelle Version.
Berechtigungen
Zitieren