AW: Frage zu Password-Hashes (SHA512)
 

AW: Frage zu Password-Hashes (SHA512)
 

Sag ich doch... Nacheinander :-D

AW: Frage zu Password-Hashes (SHA512)
 

Wenn man sich eingehender mit der Materie befasst merkt man erstmal, wie leicht es ist da wirklich dumme Fehler einzubauen. Ich habe aber auch den Eindruck, es gibt wenig verständliche Anleitungen oder Tutorials dazu. Nicht konkret was PHP betrifft sondern ganz allgemein.

AW: Frage zu Password-Hashes (SHA512)
 

Ich finde die Artikel von Troy Hunt zu dem Thema Passwort/Authentifizierung ganz informativ:

• Our password hashing has no clothes
• Everything you ever wanted to know about building a secure password reset feature

AW: Frage zu Password-Hashes (SHA512)
 

Wieso soll man MD5 nicht mehr verwenden? MD5 ist ein integraler Bestandteil vieler Anwendungen.

AW: Frage zu Password-Hashes (SHA512)
 

In diesem aktuelle Thread wird das auch aufgeführt:

http://www.delphipraxis.net/186647-s...nt-server.html

AW: Frage zu Password-Hashes (SHA512)
 

Our password hashing has no clothes tldr: "Normale" Hashes sind zu schnell und speichereffizient; und ermöglichen damit Brute-Force- und Wörterbuchattacken.

Abgesehen von Passwort-Hashing gibt es mittlerweile praktisch erfolgreiche Kollisionsattacken auf md5. Da das in Zukunft nicht besser wird, sollte man gleich einen heutigen Standard benutzen (SHA-2 oder SHA-3).

AW: Frage zu Password-Hashes (SHA512)
 

Die Begründung in diesem Thread halte ich für Unsinn. Nur weil da steht "Das BSI sagt ...", heißt das nicht, dass man das auch glauben soll. Denn das ist eine viel zu allgemeine Aussage. Und wegen dem "Ashley-Madison-Hack" heißt das noch lange nicht, dass MD5 allgemein unsicher ist. Denn es kommt ja viel eher darauf an, wie man MD5 in ein übergreifendes Sicherheits-Konzept integriert. MD5 selbst ist ja nur ein Baustein - es wird wohl niemanden geben, der versucht, ein Haus mit einem einzigen Ziegelstein zu bauen.

Einfach allgemeinen Aussagen Glauben zu schenken halte ich für dumm.

AW: Frage zu Password-Hashes (SHA512)
 

Erster Pre-Image-Angriff 2004: https://de.wikipedia.org/wiki/Messag...st_Algorithm_5

Erster Kollisionsangriff 2008:
http://www.heise.de/security/artikel...D5-270106.html

Aber das ist ja erst 7 Jahre her ;)

AW: Frage zu Password-Hashes (SHA512)
 

Stimmt, das BSI ist nicht die letzte Autorität zu dem Thema; im Regelfall sind die eher zu gnädig bei Sicherheitssachen. Aber nicht nur das BSI warnt, eigentlich hört man das von allen Experten zu dem Thema.

Allerdings würde auch niemand bröckelige Ziegelsteine verbauen, wenn er genügend stabile Ziegelsteine hat.