Man nehme den AES-Hash und einen weiteren, geheimen AES-Hash, dem Site-Key. Diese werden nach dem PGP-Verfahren miteinander verrechnet. Dabei werden beiden Hashs zeichenweise durchlaufen und ein Modulo von den ASCII-Werten erzeugt. Dabei muss der Divident immer größer als der Divisor sein.
Anschliessend wird der ausgerechnete Wert in ein ASCII-Zeichen umgewandelt und so ein neuer Hash erzeugt. Diesem wird etwas Salz vorweggestellt und nach einer zufälligen Reihenfolge vermischt, die Reihenfolge wird natürlich wie der Site-Key geheim gehalten.
Danach hat man einen deutlich schwerer knackbaren AES-Hash. Für AES kann auch MD5 oder SHA1 eingesetzt werden. Klappt so prima.
Um eines vorweg zu nehmen: Das Durchmengen und das Salz verhindert nicht das Knacken des Hashes, sehrwohl erschwert und verwirrt es den Angreifer.
Ich nutze solch ein Verfahren in meiner freien Software und das erfolgreich. :) Mir sind nämlich geknackte Accounts noch nie zu Ohren gekommen, obwohl der finale, durchgemixte und versalzene Hash per Cookie rausgeht.
http://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
/nt
Beides findet sich im Klartext im HTTP-Header.
Und zwar der versalzene und durchgewürfelte Hash. Und? :)
versalzen ist ne gute möglichekeit wenn nur wennig hash im umlauf sind
aber auflösbar.
aufwand klar
durchgewürfelt mach die sache den schon echt schwer
aber nicht unmöglich
ist halt eine nutzen/auswand sache.
aber die metoden von rolandH finde ich schon mal garnet so schlecht.
Wir prüft man dann den Hash nach, wenn der verrechnet wurde. Will das genannte Verfahren auch gerne für meine Seiten einsetzen, aber am Verständnis scheitert es. Hättest du vielleicht ein paar Codebeispiele. Dann wäre es glaube ich leichter nachzuvollziehen.
Kommentare: 170 | letzter Beitrag 15:54 Uhr
Kommentare: 94 | letzter Beitrag 26.05. 19:45
Kommentare: 68 | letzter Beitrag 14:48 Uhr
Kommentare: 67 | letzter Beitrag 16:58 Uhr
Kommentare: 64 | letzter Beitrag 26.05. 17:51
E-Mail an news@golem.de
Der japanische Spieldesigner Goichi Suda - Fans sagen schlicht "Suda 51" - ist für schräge Actionspiele bekannt. Sein nächstes Werk schickt ein scheinbar braves Schulmädchen in den Kampf gegen Zombies.
Weitgehend unbemerkt hat der US-Händler Tigerdirect die ersten Chromebox-Systeme von Google ausgeliefert. Für 330 US-Dollar bekommt der Nutzer recht gute Hardware in Nettop-Form, die sehr viel leistungsfähiger ist als die des Chromebook mit ChromeOS.
Nach der Urteilsverkündung im Rechtsstreit zwischen Youtube und Gema fühlten sich beide Seiten als Gewinner. In Wahrheit gibt es aber nur einen Verlierer, bloggt Medienrechtsexperte Thomas Hoeren: die Gema.
Renesas ist nach Elpida der zweite schwer angeschlagene japanische Chiphersteller. Renesas, das Hitachi, Mitsubishi Electric und NEC gehört, macht Verlust und will seine größte Fabrik verkaufen.
RIM soll in den kommenden Tagen erneut einen massiven Stellenabbau ankündigen. "Ich habe herausgefunden, welche Teile ich in meinem Puzzle nicht mehr benötige", sagte Firmenchef Thorsten Heins.
Ein britisches Blog will erfahren haben, dass Facebook den norwegischen Browserhersteller Opera Software kaufen will. Beide Unternehmen wollen sich dazu nicht äußern.