Ergebnis 1 bis 7 von 7

Thema: Md5 "Verschlüsselung" in eine sichere ändern!

  1. #1
    Benutzer Avatar von Alpha10
    Registriert seit
    21.05.2010
    Beiträge
    62

    Md5 "Verschlüsselung" in eine sichere ändern!

    Hallo zusammen,

    was wäre der einfachste weg die User-Passwörter VMS1.2 nicht mehr in MD5 zu "verschlüsseln" sondern in etwas sichereres?

    Kann mir jemand sagen WO ich das ändere und was eine GUTE Alternative zu MD5 ist, da scheiden sich wieder die Geister. Das einzige was sicher ist das MD5 WERTLOS geworden ist!
    Geändert von Alpha10 (16.01.2015 um 10:02 Uhr)

  2. #2
    Benutzer
    Registriert seit
    05.11.2007
    Beiträge
    40

    Re: Md5 "Verschlüsselung" in eine sichere ändern!

    Man könnte die Passwörter Salzen (Hash-Werte salzen) oder einfach mehrfach verschlüsseln.
    Fertige Lösungen wären zb. bcrypt, scrypt, crypt etc.

    Ich würde es mit Sha256 und salt machen.
    Dabei sollte für jedes Passwort ein eigener, zufälliger Salt verwendet werden, der ebenfalls in Datenbank gespeichert wird.
    Zusammen mit einem zeitaufwändigen Verwahren (bcrypt, scrypt) verspricht das eine sehr hohe Sicherheit.

    Wenn PHP 5.5 verfügbar ist solltest du dir mal die Crypt-API anschauen. (password_hash)

    Ändern kannst du das ganze in
    Zeile 77: content/intern/anmelden.php
    Zeile 44: lib/session.lib.php

    Am besten noch einen Passwort-Generator bei der Registirerung einbauen.
    Und darauf hinweisen das die User keine einfachen Passwörter verwenden, das Passwort mindestens 10 Zeichen haben muss, keine Passwörter doppelt verwenden etc.
    Ich selbst benutze für jede Seite ein anderes Passwort, dafür verwende ich KeePass.

    Gibt aber auch noch andere Möglichkeiten wie zb. Login mit Klamm-ID und Losepasswort.
    Da hast du garnichts mit den Passwörtern zutun

    MfG
    Marco
    Geändert von maeggi07 (14.01.2015 um 21:46 Uhr)

  3. #3
    Benutzer Avatar von Alpha10
    Registriert seit
    21.05.2010
    Beiträge
    62

    Re: Md5 "Verschlüsselung" in eine sichere ändern!

    Hallo und Danke für die Antwort!

    Die Grundsicherheitssachen sind mir schon klar, würde es reichen in der Sessions.lib einfach die Zeile:

    '".md5($_POST['passwort']). in '".sha256($_POST['passwort']). Zu ändern oder muss ich noch irgent etwas an der Datenbank schrauben etc. pp?

  4. #4
    Benutzer
    Registriert seit
    05.11.2007
    Beiträge
    40

    Re: Md5 "Verschlüsselung" in eine sichere ändern!

    Hey,

    Ändern kannst du das ganze in
    Zeile 77: content/intern/anmelden.php <-- NICHT VERGESSEN
    Zeile 44: lib/session.lib.php
    Die Datei Datei:
    content/intern/daten.php
    musst du auch noch anpassen.


    .sha256($_POST['passwort']
    Richtig wäre:
    .hash(‘sha256′, $_POST['passwort'])
    In der Datenbank musst du noch "char(32)" in "char(64)" ändern.

    Jedoch ist jetzt immer noch eine einfache Kollision möglich.(Rainbow-Table)
    Du musst das ganze noch salzen (salt)
    Schau doch erstmal welche PHP-Version du benutzt.

    Erstelle dir eine PHP-Datei mit folgendem Code:
    <?php

    phpinfo();
    Hochladen->Aufrufen

    PS: Bedenke das die User sich dann mit dem altem Passwort nicht mehr Anmelden können!!!
    Ich übernehme keine Verantwortung
    Geändert von maeggi07 (15.01.2015 um 13:36 Uhr)

  5. #5
    Benutzer
    Registriert seit
    05.11.2007
    Beiträge
    40

    Re: Md5 "Verschlüsselung" in eine sichere ändern!

    Ich werde heute Abend mal was kleines basteln und stelle es dann hier frei zur Verfügung.

  6. #6
    Benutzer
    Registriert seit
    05.11.2007
    Beiträge
    40

    Re: Md5 "Verschlüsselung" in eine sichere ändern!

    So...
    Habe mich mal kurz ans werk gemacht.
    Klick Mich

  7. #7
    Benutzer Avatar von Alpha10
    Registriert seit
    21.05.2010
    Beiträge
    62

    Re: Md5 "Verschlüsselung" in eine sichere ändern!

    Zitat Zitat von maeggi07 Beitrag anzeigen
    So...
    Habe mich mal kurz ans werk gemacht.
    Klick Mich
    Hey Super! Das schau ich mir mal an.!

    5.6.3 ist die aktuelle Version.

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 17.12.2011, 11:39
  2. [Auktion]"Exlusiv" Button/ "Exlusiv" Banner für 1 Monat auf Kaffee-Klicker.de
    Von DJschatz27 im Forum [HD] Grafik, Server & Sonstiges
    Antworten: 4
    Letzter Beitrag: 09.12.2011, 13:25
  3. Bei "User Löschen" kommt "Wartend" in der Mail
    Von Rallef im Forum Support zum VMSone
    Antworten: 1
    Letzter Beitrag: 01.02.2010, 22:04
  4. Antworten: 0
    Letzter Beitrag: 21.10.2008, 11:40
  5. if "AktivRally=on" dann "Top5 Klicker eingeblenden" else "ausblenden"
    Von TS7 im Forum Support zu Addons & Erweiterungen
    Antworten: 6
    Letzter Beitrag: 07.11.2007, 23:09

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •