Delphi-PRAXiS
Seite 2 von 3     12 3      

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   Frage zu Password-Hashes (SHA512) (https://www.delphipraxis.net/184062-frage-zu-password-hashes-sha512.html)

himitsu 26. Feb 2015 11:58

AW: Frage zu Password-Hashes (SHA512)
 
PHP-Quellcode:
//Verschlüsseln bzw. Hashen
$salt = random_irgendwas;
$hash = crypt($globalsalt . $plaintext_to_hash, concatsalt($config_str, $salt));

/Gegenprüfung
if ($hash == crypt($globalsalt . $plaintext_to_check, $hash) {...}

Codehunter 26. Feb 2015 18:33

AW: Frage zu Password-Hashes (SHA512)
 
Sag ich doch... Nacheinander :-D

Codehunter 26. Feb 2015 23:29

AW: Frage zu Password-Hashes (SHA512)
 
Wenn man sich eingehender mit der Materie befasst merkt man erstmal, wie leicht es ist da wirklich dumme Fehler einzubauen. Ich habe aber auch den Eindruck, es gibt wenig verständliche Anleitungen oder Tutorials dazu. Nicht konkret was PHP betrifft sondern ganz allgemein.

BUG 27. Feb 2015 00:33

AW: Frage zu Password-Hashes (SHA512)
 
Ich finde die Artikel von Troy Hunt zu dem Thema Passwort/Authentifizierung ganz informativ:

PeterPanino 21. Sep 2015 12:23

AW: Frage zu Password-Hashes (SHA512)
 
Zitat:

Zitat von Codehunter (Beitrag 1291076)
Da man ja MD5 nicht mehr verwenden soll

Wieso soll man MD5 nicht mehr verwenden? MD5 ist ein integraler Bestandteil vieler Anwendungen.

Jumpy 21. Sep 2015 12:30

AW: Frage zu Password-Hashes (SHA512)
 
In diesem aktuelle Thread wird das auch aufgeführt:

http://www.delphipraxis.net/186647-s...nt-server.html

BUG 21. Sep 2015 12:44

AW: Frage zu Password-Hashes (SHA512)
 
Zitat:

Zitat von Codehunter (Beitrag 1291076)
Da man ja MD5 nicht mehr verwenden soll

Our password hashing has no clothes tldr: "Normale" Hashes sind zu schnell und speichereffizient; und ermöglichen damit Brute-Force- und Wörterbuchattacken.

Abgesehen von Passwort-Hashing gibt es mittlerweile praktisch erfolgreiche Kollisionsattacken auf md5. Da das in Zukunft nicht besser wird, sollte man gleich einen heutigen Standard benutzen (SHA-2 oder SHA-3).

PeterPanino 21. Sep 2015 12:46

AW: Frage zu Password-Hashes (SHA512)
 
Zitat:

Zitat von Jumpy (Beitrag 1316482)
In diesem aktuelle Thread wird das auch aufgeführt:

http://www.delphipraxis.net/186647-s...nt-server.html

Die Begründung in diesem Thread halte ich für Unsinn. Nur weil da steht "Das BSI sagt ...", heißt das nicht, dass man das auch glauben soll. Denn das ist eine viel zu allgemeine Aussage. Und wegen dem "Ashley-Madison-Hack" heißt das noch lange nicht, dass MD5 allgemein unsicher ist. Denn es kommt ja viel eher darauf an, wie man MD5 in ein übergreifendes Sicherheits-Konzept integriert. MD5 selbst ist ja nur ein Baustein - es wird wohl niemanden geben, der versucht, ein Haus mit einem einzigen Ziegelstein zu bauen.

Einfach allgemeinen Aussagen Glauben zu schenken halte ich für dumm.

mkinzler 21. Sep 2015 12:54

AW: Frage zu Password-Hashes (SHA512)
 
Erster Pre-Image-Angriff 2004: https://de.wikipedia.org/wiki/Messag...st_Algorithm_5

Erster Kollisionsangriff 2008:
http://www.heise.de/security/artikel...D5-270106.html

Aber das ist ja erst 7 Jahre her ;)

BUG 21. Sep 2015 12:58

AW: Frage zu Password-Hashes (SHA512)
 
Zitat:

Zitat von PeterPanino (Beitrag 1316490)
Die Begründung in diesem Thread halte ich für Unsinn. Nur weil da steht "Das BSI sagt ...", heißt das nicht, dass man das auch glauben soll.

Stimmt, das BSI ist nicht die letzte Autorität zu dem Thema; im Regelfall sind die eher zu gnädig bei Sicherheitssachen. Aber nicht nur das BSI warnt, eigentlich hört man das von allen Experten zu dem Thema.

Zitat:

Zitat von PeterPanino (Beitrag 1316490)
MD5 selbst ist ja nur ein Baustein - es wird wohl niemanden geben, der versucht, ein Haus mit einem einzigen Ziegelstein zu bauen.

Allerdings würde auch niemand bröckelige Ziegelsteine verbauen, wenn er genügend stabile Ziegelsteine hat.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:20 Uhr.
Seite 2 von 3     12 3      

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz