Zitat von
Matze:
Hallo zusammen,
gerade durch die phpBB.de-Geschichte, bin ich am Überlegen, ob ich die Benutzerpasswörter der Benutzer meiner Website anders hashen soll. Momentan nutze ich, wie viele andere, den MD5-Algorithmus. Ein anderer gewöhnlicher Hashalgorithmus wie SHA1 bringt meiner Meinung nach nichts, da man mittels Bruteforce, sofern der Hashalgorithmus bekannt ist, ähnlich viel erreichen kann, wie bei einem HD5-Hash.
phpBB2 speichert seine Passwörter, man kann die Passwörter also zurück berechnen. Ich hab mal vor einem Jahr ein Bruteforce Programm geschrieben und brauchte für ein 6 Zeichen Passwort etwa einen halben Tag. Bei 7 Zeichen wären das schon 36 mal halbe Tage. Da muß man schon sehr das Passwort wollen. Bei 8 wird es schon schwierig.
Ich stand selbst mal vor so einem Problem und hab damals das so gelöst, daß ich das Passwort vergrößert habe. Ich hab das Passwort mehrmals zusammen gefügt und noch etwas Salz dazu gegeben. Somit ist das Passwort künstlich verlängert worden. Somit konnte auch ein drei Zeichen Passwort nicht so leicht berechtet werden.