AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Passwort *****

Ein Thema von SaFu · begonnen am 17. Feb 2007 · letzter Beitrag vom 19. Feb 2007
Antwort Antwort
Seite 2 von 2     12   
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#11

Re: Passwort *****

  Alt 17. Feb 2007, 21:52
Ein Hash-Verfahren ist ein mathematische nicht ein-eindeutiges Abbildungsverfahren. Statt einem Hash könntest du das Passwort auch verschlüsselt in der Datenbank ablegen.
Markus Kinzler
  Mit Zitat antworten Zitat
Thanatos81
(Gast)

n/a Beiträge
 
#12

Re: Passwort *****

  Alt 17. Feb 2007, 21:59
Ich bevorzuge eigentlich Hashes (MD5/SHA), da es dann nahezu unmöglich ist, dass jemand das Original-PW zurückrechnet. Viele Benutzer nutzen leider ja ein PW für alles. Ich sehe die Verwendung eines Hashes zur Authentifizierubng gegenüber der Verwendung einer verschlüsselten Verbindung/einer verschlüsselten Datenablage eher als Schutz des Anwenders vor sich selbst
  Mit Zitat antworten Zitat
Benutzerbild von Dani
Dani

Registriert seit: 19. Jan 2003
732 Beiträge
 
Turbo Delphi für Win32
 
#13

Re: Passwort *****

  Alt 17. Feb 2007, 22:11
Zitat von Thanatos81:
Ich bevorzuge eigentlich Hashes (MD5/SHA), da es dann nahezu unmöglich ist, dass jemand das Original-PW zurückrechnet. Viele Benutzer nutzen leider ja ein PW für alles. Ich sehe die Verwendung eines Hashes zur Authentifizierubng gegenüber der Verwendung einer verschlüsselten Verbindung/einer verschlüsselten Datenablage eher als Schutz des Anwenders vor sich selbst
Dem stimme ich zu, mit dem Zusatz, dass du nach Möglichkeit einen modifizierten Hash-Algorithmus verwenden solltest, da für Standardverfahren Möglichkeiten bestehen, sehr schnell vom Hash auf das Passwort zu schließen. (siehe z.B. http://www.milw0rm.com/md5/list.php)

Andererseits schützt so ein Hash wirklich nur den Benutzer vor dem Serverbetreiber, oder bei kompromittierten Login-Datenbanken. Daher empfiehlt es sich, wie Thantanos schon gesagt hat, eine Verschlüsselung zu verwenden, wobei die Schlüssel (Zertifikate) unbedingt vor den Transaktionen über ein "sicheres" Medium (z.B PGP/GPG verschlüsselte Mails) verteilt werden müssen.
Dani H.
At Least I Can Say I Tried
  Mit Zitat antworten Zitat
Thanatos81
(Gast)

n/a Beiträge
 
#14

Re: Passwort *****

  Alt 17. Feb 2007, 23:23
Richtig, eine Modifikation bringt ein Sicherheitsplus, allerdings ist dieses imho bei Passwörtern, die ja meist nicht sonderlich lang sind nicht so erheblich. Die Nutzung von Zertifikaten und deren Verteilung per PGP/GPG wäre natürlich wünschenswert, ist abr meist nur im professionellen Umfeld durchführbar. Stell dir mal vor, Lieschen Müller wollte eBay nutzen und müsste sich erst mit oben genannten Dingen auseinander setzen.

Das mit dem Punkt, dass die Verwendung eines Hashes nur vorm Severbetreiber schützt, würde ich so nicht unterschreiben. Folgendes Szenario: PW wird als Kalrtext gespeichert. Ein Angreifer kommt an die Daten, der Benutzer nutzt mit der selben E-Mail-Adresse-Passwort-Kombi auch noch eBay und Amazon... Ähnliches gilte bei schwach verschlüsselten Daten, oder wenn der Cracker ebenfalls an den Schlüssel kommen kann. Kommt der Cracker hingegen nur an Hashes, schaut der erstmal in die Röhre

Aber, eine Diskussion über die Vor- und/oder Nachteile verschiedener Möglichkeiten PWs unkenntlich zu machen gehören nicht hier hin, dafür sollten wir dann nen Thread im K&T aufmachen.

Deswegen mal wieder On-Topic:
fuknersascha, falls du eine MD5-Implementation inklusive Quelltext haben willst, sag Bescheid. Irgendwo auf meiner Platte liegt noch eine, die du dann also auch modifizieren könntest
  Mit Zitat antworten Zitat
Benutzerbild von SaFu
SaFu

Registriert seit: 8. Nov 2006
1.360 Beiträge
 
Delphi 10.3 Rio
 
#15

Re: Passwort *****

  Alt 19. Feb 2007, 23:39
Danke für die Anworten aber es ist eigentlich nicht so wichtig bei dem Programm wie sicher es ist, denn man kann icht soviel schaden anrichten wenn man das passwort weis

Wollte das passwort eigentlich nur mit Platzhaltern ausfüllen

aber danke für die Informationen
"... Wie gesagt, die Nutzer von 10, 12, 14 Zoll Display's werden deine Seite nicht in voller Pracht sehen können, ...

Surft Ihr mit dem Taschenrechner?"
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:49 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz