PHP PHP - MYSQL- einfache Authentifizierung

[rejoice]

allgemein kannst du in das script auch SHA-512 einbetten... wie gesagt ich habe oben ja geschrieben das man das script noch etwas modifizieren bzw anpassen sollte...

abgesehen davon denke ich das SHA-1 inkl. salt + bestimmte anzahl der verschlüsselungswiederholungen + vorher gesetzten passwort ausreichen sollte

 

[Trainmaster]

Trotzdem brauch ich kein so aufgeblasenes Skript wenn es auch in wesentlich weniger Zeilen geht.

 

[rejoice]

Trotzdem brauch ich kein so aufgeblasenes Skript wenn es auch in wesentlich weniger Zeilen geht.

Aufgebläht? aber du hast dir das script schon angesehen? 100 Zeilen Code finde ich jetzt nicht so extrem viel wenn man sich überlegt wieviele einstellmöglichkeiten ich dadurch habe.

klar geht es auch mit weniger Zeilen - die sicherheit wird dadurch aber nur beeinträchtigt aber gerne kannst du der Community ein anderes Script vorstellen...

 

[Boeby]

Oft verschlüsselt man das eingegeben PW noch mit SHA oder MD5.

So können in abgefangenen Packeten (Man in the Middle Attacken etc) die Passwörter nicht so einfach gesehen werden.

In der Datenbank speichert man dann auch verschlüsselt ab.

Vielleicht einfach korrekterweise noch korrigiert:

Es wurde ja schon oft genug gesagt, das man mit SHA oder MD5 nicht verschlüsselt.
Und das ganze hilft auch nicht gegen mitm-Attacken.. Denn wenn abgefangen werden kann was übertragen wird, so kann das ganze auch reproduziert werden..
Für eine sichere Übertragung und gegen Man in the Middle-Attacken hilft nur SSL mit gültigem Zertifikat.

Der Hash ist lediglich da, falls jemand Zugriff auf die Datenbank erhält und diese Passwörter auslesen kann. Wenn die dort im Klartext stehen kann er sich damit einloggen und allenfalls auch bei anderen Seiten verwenden. (Es gibt viele Leute die benutzen das gleiche Passwort auf mehrere Seiten..)

So zumindest mein Wissensstand..

 

[Trainmaster]

Aufgebläht? aber du hast dir das script schon angesehen? 100 Zeilen Code finde ich jetzt nicht so extrem viel wenn man sich überlegt wieviele einstellmöglichkeiten ich dadurch habe.

Wow - wirklich viele Einstellmöglichkeiten. Und vor allem sind die so schön zugänglich. Schön wäre folgendes:

$iha = new iha();
$iha->setRounds();
$iha->setSaltLength();

etc.! Diese Funktionalität bietet diese Klasse aber nicht.

Und in Zeiten von sha512 bzw. whirlpool halte ich dieses hash x $rounds schlichtweg für überflüssig. Es genügt meiner meiner Meinung das Passwort mit sha512/whirlpool in Verbindung mit einem Salt (uniqid(mt_rand(), true)) zu hashen. Dies sollte genug Sicherheit bieten. Außerdem wurde der "improved hash algorithm" nicht vor ein paar Tagen geschrieben, sondern 2008, so wie ich das den Dateien entnehmen konnte.

 

[rejoice]

Antwort des Autors auf die Frage ob SHA-512 implementiert wird:

Hallo,
vorerst nicht. SHA-256 und SHA-512 sind als PHP-Funktion aktuell nicht implementiert. Diese per PHP zu schreiben würde gehen, wäre aber erheblich langsamer. Damit wären weniger Runden möglich und somit deutlich unsicherer als SHA-1 oder MD5, denn ein Angreifer hat dieses Problem nicht.

Allerdings kann Md5 und SHA1 noch vollkommen unbedenklich für diese Art der Verwendung verwendet werden. Ein Umstieg auf SHA2 ist da nicht notwendig.


Mit freundlichen Grüßen
N*** R***

 

[claW.]

vllt solltes du ihn mal auf folgendes hinweisen:
hash_algos
hash

 

[Trainmaster]

Antwort des Autors auf die Frage ob SHA-512 implementiert wird:

Ja ne, is klar. ! Außerdem sage ich, dass diese Runden nicht unbedingt notwendig sind bei neueren Hash-Methoden. Bei MD5 und SHA-1 ist es sinnvoll, weil diese beiden nicht mehr sicher sind.

Und ehrlich gesagt disqualifiziert sich der Autor, wenn er behauptet , dass SHA2 nicht in PHP implementiert ist. Das reicht mir, danke.

@ claW.

Danke für die Links

 

[XunnD]

Die Speicherung des Benutzerpassworts ist ja nun auch nicht der einzige Sicherheitsaspekt einer webbasierten Software.