Logindaten Verschlüsseln?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Logindaten Verschlüsseln?

    Tach!

    Also.. mometan mach ich das so:

    - Log in (nick, pw)
    - Daten werden mit base64 verschlüsselt und zusammengefügt. Ein "," dient als Trennung.
    - Die Funktion loginCheck($_COOKIE[userData]) splittet den Kram auf und fragt die Daten aus der DB ab.

    In der DB stehen die PWs im Klartext

    Möchte den Loginteil so sicher wie möglich machen und würde mich über ein paar Tipps freuen

    Danke
    carapau
    Lasst euch nicht lumpen, hoch den Humpen!

  • #2
    Daten werden mit base64 verschlüsselt...
    keine Verschlüsselung, nur Codierung Brauchst du auch nicht weil es keine zusätzliche Sicherheit bringt. Wenn der String abgefangen wird wendet man einfach base64_decode() darauf an.
    In der DB stehen die PWs im Klartext
    Grosses Fehler ! Würde ich niemals so machen...
    Möchte den Loginteil so sicher wie möglich machen und würde mich über ein paar Tipps freuen
    HTTPS verwenden !

    Gruss

    tobi
    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

    Kommentar


    • #3
      Jupp, wie schon gesagt, daten über SSL verschlüsselt senden.

      In der DB wird nur ein Hash (MD5, SHA) gespeichert.

      Kommentar


      • #4
        Ok, dann werde ich die PWs mit md5 speichern.

        HTTPS.. kennst du da n gutes Tutorial?

        Gruß
        carapau
        Lasst euch nicht lumpen, hoch den Humpen!

        Kommentar


        • #5
          fang nicht mit einem tutorial an, sondern finde heraus, was das ist und wie es funktioniert.

          Kommentar


          • #6
            hast recht. so dauerts zwar länger, aber prägt sich besser ein.
            Lasst euch nicht lumpen, hoch den Humpen!

            Kommentar


            • #7
              Und nimm statt md5 gleich sha1, siehe Kollisions-Gefahr

              Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

              bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
              Wie man Fragen richtig stellt

              Kommentar


              • #8
                ...siehe Kollisions-Gefahr
                Gibt's denn überhaupt einen Hash der keine Kollisionen haben kann
                Ich denke bei md5 werden einige Versuche nötig sein, ehe man eine Kollision gefunden hat (habe noch was von 2^45 im Kopf, weiss aber ned ob das noch aktuell ist)

                Gruss

                tobi
                Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                Kommentar


                • #9
                  Original geschrieben von jahlives
                  Gibt's denn überhaupt einen Hash der keine Kollisionen haben kann
                  Wohl kaum.
                  Sinn eines Hashes ist es ja, eine große Datenmenge auf einen verhältnismäßig winzigen Bereich abzubilden.
                  Ich denke bei md5 werden einige Versuche nötig sein, ehe man eine Kollision gefunden hat (habe noch was von 2^45 im Kopf, weiss aber ned ob das noch aktuell ist)
                  Wohl eher nicht mehr - "die" Chinesen hatten es ja immerhin in vertretbarer Zeit geschafft.
                  I don't believe in rebirth. Actually, I never did in my whole lives.

                  Kommentar


                  • #10
                    Wohl eher nicht mehr - "die" Chinesen hatten es ja immerhin in vertretbarer Zeit geschafft.
                    Dann hast du auch einen
                    Auf einem IBM-P690-Cluster benötigte ihr erster Angriff eine Stunde, davon ausgehend ließen sich weitere Kollisionen innerhalb von maximal fünf Minuten finden
                    bei dir zu Hause
                    Und für PW besteht imho nicht eine so grosse Gefahr, weil man normalerweise PW nur als md5 Hash speichert. Und wenn man nur den Hash hat (und nicht das Klartext PW) ist es praktisch unmöglich eine Kollision zu finden. Da wäre bestenfalls eine zufällige Kollision und die Chinesen waren im Besitz der Klartextnachricht.
                    Die Gefahr liegt eher bei digitalen Signaturen als bei gehashten PWs

                    Gruss

                    tobi
                    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                    Kommentar


                    • #11
                      Original geschrieben von jahlives
                      Die Gefahr liegt eher bei digitalen Signaturen als bei gehashten PWs
                      Fein, du hast also auch bei der Wikipedia nachgelesen :-)
                      I don't believe in rebirth. Actually, I never did in my whole lives.

                      Kommentar


                      • #12
                        Fein, du hast also auch bei der Wikipedia nachgelesen :-)
                        Lesen bildet
                        Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                        [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                        Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                        Kommentar


                        • #13
                          Die Frage ist wieso ich auf md5 setzen sollte, wenn ich genauso gut sha1 verwenden kann und die Kollisionsgefahr geringer ist?!...

                          Es gibt ja auch so unglaublich lustige Leute, die das Passwort zwei mal durch md5 scheuchen allá viel bringt viel *headdesk*

                          Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

                          bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                          Wie man Fragen richtig stellt

                          Kommentar


                          • #14
                            Es gibt ja auch so unglaublich lustige Leute, die das Passwort zwei mal durch md5 scheuchen allá viel bringt viel *headdesk*
                            Oder gleich noch ein Tripple-DES oder AES oder Blowfish & Co drüberlassen
                            Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                            [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                            Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                            Kommentar

                            Lädt...
                            X