AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP] Sicherer Login

Offene Frage von "Flare"
Ein Thema von Flare · begonnen am 19. Okt 2008 · letzter Beitrag vom 23. Okt 2008
Antwort Antwort
Flare

Registriert seit: 26. Jan 2006
Ort: Leipzig
529 Beiträge
 
Delphi 7 Professional
 
#1

[PHP] Sicherer Login

  Alt 19. Okt 2008, 20:37
Hey ho DP,

ich habe eine Webapplikation erstellt und suche nun nach einem möglichst sicheren Verfahren wie sich dort einloggen kann.
Ein paar Einschränkungen möchte ich jedoch machen:

1. Ich hatte nicht vor mir ein SSL-Zertifikat anzulegen, also wäre über HTTPs für mich keine gute Alternative
2. Deswegen wäre es gut vor dem Abschicken das PW schon zu hashen, damit der potenzielle Angreifer da nicht so einfach "mitlesen" kann
3. Es sollte auch ein Angriff über Rainbow-Tables schwer gemacht werden, bzw. vielleicht komplett die möglichkeit entfernt werden direkt eine Seite à la login.php?name=USERNAME&pass=PASSWORT aufzurufen mit der man somit alle möglichen Passwörter / Hashes durchprobieren kann
4. Ich benutze HTML beim Client und auf dem Server arbeitet PHP5 mit einer MySQL-Datenbank.

Ich habe schon an einigen Stellen gelesen, dass man mit einem Salt am Hash das Knacken per Rainbow-Table schwer machen kann.
Aber mir ist halt noch kein praktikabler Weg für mein Vorhaben eingefallen.

Habt ihr Ideen wie man das realisieren kann oder würdet ihr etwas völlig anderes Vorschlagen?
Wie baut ihr "sichere" Logins?

Mfg,

Flare
Willy Scheibel
  Mit Zitat antworten Zitat
Apollonius

Registriert seit: 16. Apr 2007
2.325 Beiträge
 
Turbo Delphi für Win32
 
#2

Re: [PHP] Sicherer Login

  Alt 19. Okt 2008, 20:41
Zitat von Flare:
Deswegen wäre es gut vor dem Abschicken das PW schon zu hashen, damit der potenzielle Angreifer da nicht so einfach "mitlesen" kann
Was soll das denn bringen? Dann schickt der Angreifer eben den mitgelesenen Hash über den Äther. Der einzige Effekt ist, dass alle Benutzerkonten geknackt sind, sobald deine Datenbank in falsche Hände gerät. Diesen Ansatz solltest du also lieber fallen lassen.
Wer erweist der Welt einen Dienst und findet ein gutes Synonym für "Pointer"?
"An interface pointer is a pointer to a pointer. This pointer points to an array of pointers, each of which points to an interface function."
  Mit Zitat antworten Zitat
Benutzerbild von MSSSSM
MSSSSM

Registriert seit: 18. Apr 2008
223 Beiträge
 
Delphi 7 Professional
 
#3

Re: [PHP] Sicherer Login

  Alt 19. Okt 2008, 21:10
Begrenzte Logins z.b. 3
Marius
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#4

Re: [PHP] Sicherer Login

  Alt 19. Okt 2008, 21:14
Zitat von Flare:
1. Ich hatte nicht vor mir ein SSL-Zertifikat anzulegen, also wäre über HTTPs für mich keine gute Alternative
Dann kannst du sichere Logins schon vergessen. Ein einfacher Man-in-the-Middle Angriff reicht dann schon aus, um dem Angreifer ausreichend Zugangsdaten zu verschaffen. Du kannst noch einige andere Dinge einbauen, die es einem Angreifer erschweren, aber wirklich sicher ist das nicht.

Mit freundlichen Grüßen,

Valle
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Z4ppy

Registriert seit: 25. Apr 2008
269 Beiträge
 
Delphi 7 Enterprise
 
#5

Re: [PHP] Sicherer Login

  Alt 23. Okt 2008, 16:57
Wenn du einen eigenen Hash- oder einen wirklich sicheren Verschlüsselungs-Algo entwickelst, sollte das eigentlich unknackbar sein. Wobei du eher auf Hashs als auf ne Verschlüsselung setzen solltest. Wenn der Hash nun gut ist, sollte auch das knacken nicht so schnell möglich sein... Und ne Fehllogin-Limitierung sollteste auch noch einbauen
Und natürlich die PW-Hashs sicher abspeichern - einfach ne abnormale methode wählen, dann is das kein problem

MfG Z4ppy
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#6

Re: [PHP] Sicherer Login

  Alt 23. Okt 2008, 17:25
Zitat von Z4ppy:
Wenn du einen eigenen Hash- oder einen wirklich sicheren Verschlüsselungs-Algo entwickelst, sollte das eigentlich unknackbar sein.
Egal ob Hashs oder nicht, das spielt in dem Fall der Übertragungssicherheit keine Rolle. Wenn ich den zu sendenen Hash abfange und ihn dann als PHP-Parameter übergebe oder das Passwort direkt ist egal, denn so oder so wird das PHP-Skript diese Parameter als gültig hinnehmen.
  Mit Zitat antworten Zitat
Benutzerbild von jfheins
jfheins

Registriert seit: 10. Jun 2004
Ort: Garching (TUM)
4.579 Beiträge
 
#7

Re: [PHP] Sicherer Login

  Alt 23. Okt 2008, 17:27
Zitat von Z4ppy:
Wenn du einen eigenen Hash- oder einen wirklich sicheren Verschlüsselungs-Algo entwickelst, sollte das eigentlich unknackbar sein. Wobei du eher auf Hashs als auf ne Verschlüsselung setzen solltest. Wenn der Hash nun gut ist, sollte auch das knacken nicht so schnell möglich sein... Und ne Fehllogin-Limitierung sollteste auch noch einbauen
Und natürlich die PW-Hashs sicher abspeichern - einfach ne abnormale methode wählen, dann is das kein problem

MfG Z4ppy


negaH würde im Grabe rotieren ... ach nee, der ist ja noch garr nicht tot
(SCNR, aber die Redewendung lag mir grad soo auf der Zunge ^^)

Du solltest die Sicherheit nicht davon abhängig machen, das keiner dahinter kommt was duu machst. Sondern lieber davon, dass kluge Mathematiker bewisen haben, dass der Algorithmus mathematisch sicher ist. (= Man kann nur durch Ausprobieren aller Permutationen Infos erlangen.) Also wieseo einen Algo neu erfinden, den es schon gibt?

Falls dir MD5 zu unsicher sein sollte, kannst du SHA1 nehmen, der ist nochmal etwas länger.

Also durch "abnormale Methoden" Sicherheit zu "gewährleisen" ist schlechter, als es nicht zu tun. Denn dann täuscht man dem User eine Sicherheit vor, wo keine ist.

Und einen eigenen sicheren Hashalgo zu entwickeln ist nichts, was man mal kuuet in 2 Wochen macht

Anregungen findest du auch dort: http://www.delphipraxis.net/internal...ct.php?t=53142
  Mit Zitat antworten Zitat
hedie

Registriert seit: 12. Dez 2005
Ort: Schweiz
1.024 Beiträge
 
Delphi XE6 Starter
 
#8

Re: [PHP] Sicherer Login

  Alt 23. Okt 2008, 18:39
Falls du keine Zertifikate verwenden willst weil sie umständlich selbst zu erstellen sind, habe
ich hier den link zu meiner Seite... hier bekommst du gratis SSL Zertifikate: http://endasmedia.ath.cx

Natürlich kommen diese nicht von einer Offiziellen Stelle jedoch bieten sie dennoch Verschlüsselung
Claudio
Tu was du nicht lassen kannst
- http://endasmedia.ch
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:26 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz