ComputerBase Menü
Aktuelles

htpasswd - Passwort wieviele Stellen?

72 Byte = 72 Zeichen in ASCII.... sicher genug, würd ich sagen.

...und sowohl PBKDF2 als auch SHA2 mit mehreren Iterationen sind hier schlichtweg nicht MÖGLICH. Die sicherste Methode, die Apache unterstützt, ist bcrypt. Daher auch: Ist der aktuell sicherste verfügbare Algorithmus.

Man könnte jetzt natürlich PBKDF2 in Apache integrieren. Genauso könnte man ein Salt-Verfahren für die bestehenden Hash-Verfahren einbauen. Könnte man... Upstream MACHT es aber keiner. Es IST nicht vorhanden. Es ist also schlichtweg scheißegal, was du mit deinen 5 Affen treibst. Hier wird dir auch der letzte Affe noch sagen: Lies die Dokumentation. Was du machen willst funktioniert nicht. Implementiere es selbst oder nimm, was da ist.
 
Daaron schrieb:
72 Byte = 72 Zeichen in ASCII.... sicher genug, würd ich sagen.
Zum Vergrößern anklicken....
widerspricht aber deiner Aussage, eines Supports für unendlich lange Passwörter

Daaron schrieb:
...und sowohl PBKDF2 als auch SHA2 mit mehreren Iterationen sind hier schlichtweg nicht MÖGLICH. Die sicherste Methode, die Apache unterstützt, ist bcrypt. Daher auch: Ist der aktuell sicherste verfügbare Algorithmus.
Zum Vergrößern anklicken....
der sicherste unter diesen Einschränkungen!
 
Die Apache-Dokumentation sagt schlichtweg nichts über ein Zeichenlimit von bcrypt aus, während sie bei Crypt Hash explizit auf die 8 Zeichen hinweist. Ob und wie bcrypt dann doch limitiert, darüber habe ich keine Aussage getroffen... und es spielt hier auch keine Rolle. Schließlich soll hier ein 30-40 Zeichen langes PW verwendet werden.

Und mal ernsthaft: Wie lang ist dein längstes PW?

Ach ja: Bcrypt über 50 Zeichen ist immer noch deutlich besser als MD5 oder SHA (ohne Salt) über 500 Zeichen.... Also was solls? Haarspalterei.
 
@ice-breaker
Mich würde noch interessieren warum es schlimm ist wenn bcrypt nur die erste 72 Bytes Verwendet.
Die meisten werden sich gar keine 72 Bytes merken können.
Schlimmstenfalls kann man ja mit SHA vorhashen.
Wahrscheinlich ist es derzeit egal ob man nun bcrypt or PBKDF2 nimmt.
 
Na ja, ein Problem existiert: Wenn du eine Wortgruppe (z.B. einen Songtitel + Interpret) als Passwort verwendest.
Wobei das selbst bei "The Misinterpretation Of Silence And Its Disastrous Consequences (Wombs and Tombs Mix)" von Type 0 Negative noch kein Problem wäre... Und wie du schon sagtest: vorher Hashen und gut.

Egal ob man vorher hasht oder nicht. Zum aktuellen Zeitpunkt ist bcrypt (und im gleichen Atemzug die neue Crypt-API von PHP) die beste Wahl hinsichtlich Entwicklungsaufwand und Sicherheit. Leichter zu schreiben als MD5+Salt, sicherer als 50 Iterationen von SHA.
 
IMakeULoveMe schrieb:
Mich würde noch interessieren warum es schlimm ist wenn bcrypt nur die erste 72 Bytes Verwendet.
Die meisten werden sich gar keine 72 Bytes merken können.
Zum Vergrößern anklicken....
es ist nicht unbedingt ein Problem, weil 72 Zeichen für ein Passwort ausreichen sind. Aber so ganz optimal ist es für so einen Algorithmus auch nicht, wenn er seine Eingabemenge begrenzt.

IMakeULoveMe schrieb:
Schlimmstenfalls kann man ja mit SHA vorhashen.
Zum Vergrößern anklicken....
sollte man nicht tun. Sowas sollte man den Kryptologen überlassen solche Systeme zu entwerfen, schlimmstenfalls verschlechtert man seinen Hashing-Prozess damit deutlich.

IMakeULoveMe schrieb:
Wahrscheinlich ist es derzeit egal ob man nun bcrypt or PBKDF2 nimmt.
Zum Vergrößern anklicken....
vermutlich ja, aber eben nur solange wie bcrypt eben noch weiterhin als so sicher gilt, wie es aktuell ist. Was eben daher rührt, das keine großartigen Forschungen in Richtung Kryptoangriffen gemacht wurden.
Es ist eben wie mit RSA, man kann dessen Sicherheit nicht beweisen, erachtet es aber trotzdem als sicher.

Daaron schrieb:
Leichter zu schreiben als MD5+Salt, sicherer als 50 Iterationen von SHA.
Zum Vergrößern anklicken....
50 Iterationen sind ja auch lächerlich. Vor einigen Jahren erachtete man 1000 Iterationen als sinnvoll, und das war mit schwächerer Hardware...
 
ice-breaker schrieb:
vermutlich ja, aber eben nur solange wie bcrypt eben noch weiterhin als so sicher gilt, wie es aktuell ist.
Zum Vergrößern anklicken....
Nochmal: PBKDF2 bringt nichts.
Relevant ist nicht, welche Crypto-Verfahren weltweit irgendwo existieren. Relevant ist, was die Zielgruppe nutzen kann. Apache unter Windows kann nur MD5, also nimmt man MD5. Apache unter Linux kann maximal bcrypt, also nimmt man bcrypt. Nirgendwo kann Apache PBKDF2, also nimmt man PBKDF2 nicht.

Wenn irgendwann mit Apache 2.6 oder Apache 3 oder wieauchimmer mal PBKDF2 hinzugefügt wird, ok. Dann kannst du wieder damit kommen... und dann ist da noch die Sache mit der Paketverwaltung. Kaum jemand macht sich die Mühe, manuell einen HTTPD zu kompilieren.
Zum aktuellen Zeitpunkt bieten weder Debian 7, Ubuntu 12.04 noch CentOS6 (und RHEL) überhaupt Apache 2.4 an. Die Dinger laufen ALLE noch auf Apache 2.2. Dein PBKDF2 wird also für .htaccess/.htpasswd noch 1-2 Jahrzehnte warten müssen....
 
Ich hab jetzt 32 Stellen aus a-z A-Z und 0-9 generiert. Das ganze mit SHA verschlüsselt und gut ist... ich denke die Wahrscheinlichkeit einen Hack zu erleben (im wahrsten Sinne des Wortes) ist gegen 0.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Verzeichnis mit .htpasswd schützen...10 User mit nur einem Passwort!
Antworten
3
Aufrufe
889
dreivier
D
qBiC
htpasswd - verschiedene Zeichenketten
Antworten
0
Aufrufe
1.828
qBiC
qBiC
sverebom
Siemens ME45 - Wieviele Stellen hat der Telefoncode
Antworten
0
Aufrufe
2.136
sverebom
sverebom
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz