ComputerBase Menü
Aktuelles

Login-Server programmieren, Fragen zur Datenbankanbindung etc.

Und woher bekommt die Website bzw. Du den Hash? Oder willst Du den Hash als Passwort verwenden? Was ist dann der Unterschied zu einem normalen, sicher gewählten Passwort?
 
Ich vermute, er geht von Passwörtern aus, die er auch an anderen Stellen verwendet und die womöglich relativ simpel sind. Wenn man jedoch (und das sollte man) überall andere Passwörter nutzt, die wie Würfelhusten aussehen, ist das völlig egal, ob das Klartext-PW auf dem Server landet oder schon auf dem Client gehasht wird.
 
Ja wenn das PW tatsächlich zufällig ist und immer unterschiedlich (pro Seite), dann ist das wirklich völlig egal. Aber nach meiner Schätzung ist dieser Fall äußerst selten. Meistens werden maximal eine handvoll PW verwendet und das auf dutzenden Seiten. Deshalb wäre es schön, wenn der Betreiber eben nicht erfährt, wie das PW im Klartext ist.

Abgesehen davon ist ein Hash auch wesentlich zufälliger, als das was die meisten Menschen als zufällig erachten.
 
daemon777 schrieb:
Abgesehen davon ist ein Hash auch wesentlich zufälliger, als das was die meisten Menschen als zufällig erachten.
Zum Vergrößern anklicken....
Für Menschen wie dich und mich sieht das "zufälliger" aus, aber das Wort ist in diesem Zusammenhang ohne Bedeutung. Mit einer deterministischen Abbildung kannst du keine Entropie gewinnen, sondern die vorhandene Entropie höchstens über mehr Bits verschmieren. Tatsächlich verlierst du sogar etwas, weil unendlich viele Eingaben auf den selben Hashwert abgebildet werden.

Und bevor hier einer klugscheißt: es geht nicht um Thermodynamik.

€: Ich verstehe die ganze Diskussion auch überhaupt nicht. Soll der Server sein Salt an jeden preisgeben, der einen richtigen Benutzernamen errät? Außerdem muss der Server mindestens bei der Anmeldung das Klartextpasswort erfahren, damit er den Hash in die Datenbank eintragen kann. Wenn nicht, kann er nicht entscheiden, ob der "Hash", den er bei der Anmeldung bekommen hat, tatsächlich irgendeinem Klartext entspricht, oder vielleicht einfach irgendein beliebiger Bitstream ist. Dann hat man die Übertragung eines Passworts durch Übertragung eines Bitstreams (also eines Passworts, das komisch aussieht) ersetzt.

Gewonnen hat man damit jetzt was genau?
 
Zuletzt bearbeitet:
Die Serverseite sollte als letzte Instanz immer selbst hashen (am besten mit Salt), völlig egal, was der Client liefert. Ein Angreifer sollte sich nicht mit etwas am System anmelden können, was so 1:1 in der Datebank steht. Hasht nur der Client, dann bedeutet das im Endeffekt, dass das neue Passwort (aka Hash) im Klartext in der DB landet. Das ganze würde ja nicht ausschließen, dass der Client das PW schon mal zusätzlich "vorhasht", aber der Mehrwert ist zweifelhaft.
 
Ich hab den Eindruck, in diesem Thread trifft "gefühlte Sicherheit" auf echte Security. Zum Glück ist das aber nun ja geklärt.
 
Zuletzt bearbeitet: (Thread, nicht Post.)
Echte Security gibt es nicht. Das Passwort auf Clientseite bereits zu hashen ist nicht komplett abwegig, macht aber wenig Sinn, da das Hashing dann doppelt ausgeführt wird, obwohl es bereits bis zu 0,5 Sekunden dauert, den Hash zu berechnen (oder dauern sollte).
 
Magogan schrieb:
... obwohl es bereits bis zu 0,5 Sekunden dauert, den Hash zu berechnen (oder dauern sollte).
Zum Vergrößern anklicken....

Willst du Passwörter für Atomraketensilos schützen? Ne mal im Ernst, umso länger, umso besser. Aber wenn ein Kern deiner Server-CPU bei jedem Login-Vorgang 0,5 Sekunden alleine mit dem Hash beschäftigt ist, sollte dir klar sein, dass da ziemlich schnell Schicht im Schacht sein kann.
 
Zuletzt bearbeitet:
Wenn ich richtig verstehe hast du nicht die Kenntnisse um einen eigenen Server sicher zu betreiben.
Da bleibt dir keine Wahl und du musst das von jemandem machen lassen der weiß wie es geht.
Einen Server zu betreiben ist aufwendig. Der muss regelmäßig geupdatet werden und auch die Firewall muss richtig konfiguriert sein.
Sonst wird es schnell sehr teuer.
 
WhiteShark spricht die Wahrheit.

Meine Ausführungen hier sind auch nicht als Handlungsanweisung gemeint gewesen, sondern als allgemeine Gesprächsbeiträge. Nur um das nochmal klarzustellen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz