Sicherheitsproblem

[hasch]

Hallo,
habe ein kleines Sicherheitssystem geschaffen, indem der Username und Passwort nach bestimmten Methoden verschlüsselt werden, diese können 100%ig nicht mehr entschlüsselt werden, außer mit Logik von Menschenhand, d.h. es weist mind. einem Wert zwei Buchstaben zu.
Zu meiner Frage:
Wie groß ist die Wahrscheinlichkeit, dass ein Hacker nach neuem Einwählen die gleiche IP wie die seines Opfers bekommt?
Dies wäre die einzige Sicherheitslücke bei mir, denn eine Identifikation in Verbindung mit den verschlüsselten Werten und der IP gibt den Zugang zum System, d.h. wenn ein Hacker den verschlüsselten Namen und Passwort an die URL hängt bekommt er keinen Zugang, da seine IP anders ist, wenn aber er die gleiche IP hat, wie sein bisheriges Opfer, dann bekommt er Zugang.
Würde es dafür eine Möglichkeit zur Schließung geben?

 

[syntec]

Öhm - welche Programmiersprache und zu welchem Zweck? Webinterface?

 

[hasch]

PHP, ja ist ja nur Webinterface möglich. Browser.

nachtrag:
Zweck ist, dass ein User nicht beim Browserschließen ausgeloggt ist und sicherer sein sollte, als Cookies.

 

[syntec]

Wieso nicht per session_start() und $_SESSION Variablen und Cookie?

Was machste denn mit den usernamen und passwörten md5($passwort) oder
ist es was ganz eigenes?

 

[hasch]

Was ganz eigenes + MD5(), also angeblich sicher
Naja, weil ebender User auch nach beenden des Browsers/Fensters noch eingeloggt beleiben soll, aber Cookies sind ja nicht fälschungssicher.

 

[byte]

Warum sollte man sowas mit Cookies nicht sicher lösen können?

Im Cookie die User-ID und das (MD5 Verschlüsselte) Passwort speichern.

Wenn der User die Seite betrifft, prüfen ob ein Cookie eine User-ID enthält, wenn ja, prüfen ob ein weiteres Cookie mit dem verschlüsseltem Passwort existiert.

Dann mit der Datenbank abgleichen, ob das verschlüsselte Passwort zum passwort der User-ID in der Datenbank passt.
Wenn ja -> User ist eingeloggt.

Sofern der "Hacker" das Passwort eines Benutzers nicht kennt, kann er Cookies fälschen soviel er will - wenn in Cookie #2 nicht das richtige Passwort steht, wird er nicht eingeloggt.

 

[hasch]

Ist es einem Hacker nicht möglich, einen Cookie vom Opfer zu lesen und das verschlüsselte Passwort zu speichern? Ansonsten wäre das eine gute Möglichkeit.

 

[7H3 N4C3R]

Wenn jemand eines anderen Cookies lesen kann und das ganze auf Cookies basiert, dann ist eine Webapplikation nie sicher. Ansonsten ist die Methode doch okay. Wenn Du zusätzlich zu MD5 auch noch eine Verschleierung über das Passwort legst, sind Dictionary-Attacks auch schwierig.

Zur Frage mit der IP: .. ca 1 / 4.000.000.000 ? Wenn sich beide Rechner hinter dem selben NAT-Gateway befinden, ist die Wahrscheinlichkeit aber nahezu 1.

Und btw, MD5 ist keine Verschlüsselung sondern ein 1-Way-Hash