eher nicht mein Fall

Ich nehme weiter mein sha1 mit etwas Salz und gehörig Pfeffer.

Denn das zwingt hier nur auf PHP zu bleiben.

Trotzdem nette Idee.

Benutzer wird von Ihnen ignoriert. Anzeigen

lisgoem8 schrieb:
--------------------------------------------------------------------------------
> Ich nehme weiter mein sha1 mit etwas Salz und gehörig Pfeffer.
>
> Denn das zwingt hier nur auf PHP zu bleiben.
>
> Trotzdem nette Idee.

Wieso zwingt dich das? bcrypt ist keine PHP spezifische Funktion und existiert auch in anderen Sprachen oder kann zur Not sogar selbst nachgebaut werden.

Benutzer wird von Ihnen ignoriert. Anzeigen

Noch ein Link zur Vorstellung von Bcrypt.

Benutzer wird von Ihnen ignoriert. Anzeigen

Schattenwerk schrieb:
--------------------------------------------------------------------------------
> lisgoem8 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ich nehme weiter mein sha1 mit etwas Salz und gehörig Pfeffer.
> >
> > Denn das zwingt hier nur auf PHP zu bleiben.
> >
> > Trotzdem nette Idee.
>
> Wieso zwingt dich das? bcrypt ist keine PHP spezifische Funktion und
> existiert auch in anderen Sprachen oder kann zur Not sogar selbst
> nachgebaut werden.

Nicht auf BASH/SHell-Ebene. Da wird es dann zu kompliziert.

Ich bin ja nicht gegen bcrypt. Aber die damals MD5-Salt und nun SHA1-Salt Methode ist doch was gutes. Und lässt sich sogar in MySQL "berechnen". Bcrypt sah ich bisher dort nicht. Ich denke aber wenn PHP6 endlich mal fertig wird, sieht das dann anders aus. Aber gerade beim Passwort sollte man die bisherigen Methoden beibehalten. Nichts ist peinlicher, als wenn man seinen Nutzen sagen muss, wie haben einen neuen Passwortalgorithmus. Sipgate ist es zuletzt "passiert".

Benutzer wird von Ihnen ignoriert. Anzeigen

lisgoem8 schrieb:
--------------------------------------------------------------------------------
> Nichts ist peinlicher, als wenn man seinen Nutzen sagen muss, wie haben
> einen neuen Passwortalgorithmus.

Das muss man ja nicht, wenn man möchte kann man das auch für den Nutzer transparent gestalten.

Benutzer wird von Ihnen ignoriert. Anzeigen

lisgoem8 schrieb:
--------------------------------------------------------------------------------
> Schattenwerk schrieb:
> ---------------------------------------------------------------------------
> -----
> > lisgoem8 schrieb:
> >
> ---------------------------------------------------------------------------
>
> > -----
> > > Ich nehme weiter mein sha1 mit etwas Salz und gehörig Pfeffer.
> > >
> > > Denn das zwingt hier nur auf PHP zu bleiben.
> > >
> > > Trotzdem nette Idee.
> >
> > Wieso zwingt dich das? bcrypt ist keine PHP spezifische Funktion und
> > existiert auch in anderen Sprachen oder kann zur Not sogar selbst
> > nachgebaut werden.
>
> Nicht auf BASH/SHell-Ebene. Da wird es dann zu kompliziert.

Grad ergoogelt:
#!/bin/bash
exec aterm -T “bcrypt encrypt-decrypt” -e bcrypt “$@”

> Ich bin ja nicht gegen bcrypt. Aber die damals MD5-Salt und nun SHA1-Salt
> Methode ist doch was gutes. Und lässt sich sogar in MySQL "berechnen".

...lassen sich aber auch viiiiiiiel schneller bruteforcen:
http://hashcat.net/oclhashcat-plus/#performance

> Nichts ist peinlicher, als wenn
> man seinen Nutzen sagen muss, wie haben einen neuen Passwortalgorithmus.

Im Gegenteil. In Sicherheitskritischen Bereichen ist sogar im Design vorgesehen, dass sich der Hashingalgorithmus mit den Jahren ändern soll/kann. Das BSI gibt dazu eine Liste der zur Zeit noch als ausreichend sicher geltenden Hash-Algorithmen heraus. Wenn dein favorite Algo dann da nicht mehr auftaucht, dann solltest du umstellen.

Wenn mein Anbieter mit sagen würde, dass er auf einen sichereren Algo umstellt, dann weiß ich: Dem Anbieter liegt was an der Sicherheit.

Da das Knacken von Crypto im Grunde immer eine Frage des Aufwands ist, MÜSSEN die alten Algos irgendwann ja veralten.

Benutzer wird von Ihnen ignoriert. Anzeigen

Deswegen gibt es immer nette Hacks. Das ist so wie wenn man WEP mit 100 Zeichen verwendet, da bringt dir dein Salz auch wenig.

Btw, bcrypt hat nichts mit php zu tun. MD5 ist eben sehr viel bekannter, vor allem bei daus...

Netter Fail.

lisgoem8 schrieb:
--------------------------------------------------------------------------------
> Ich nehme weiter mein sha1 mit etwas Salz und gehörig Pfeffer.
>
> Denn das zwingt hier nur auf PHP zu bleiben.
>
> Trotzdem nette Idee.

Benutzer wird von Ihnen ignoriert. Anzeigen

flow77 schrieb:
--------------------------------------------------------------------------------
> Deswegen gibt es immer nette Hacks. Das ist so wie wenn man WEP mit 100
> Zeichen verwendet, da bringt dir dein Salz auch wenig.
>
> Btw, bcrypt hat nichts mit php zu tun. MD5 ist eben sehr viel bekannter,
> vor allem bei daus...
>
> Netter Fail.
>
> lisgoem8 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ich nehme weiter mein sha1 mit etwas Salz und gehörig Pfeffer.
> >
> > Denn das zwingt hier nur auf PHP zu bleiben.
> >
> > Trotzdem nette Idee.

Netter Fail: Für WEP kann man keine 100 Zeichen verwenden...
Und wer heute noch MD5 nutzt hat in meinen Augen auch gefailt.

Super heftig krasse Grüße,
Eichi

Ps.: Moin!

Benutzer wird von Ihnen ignoriert. Anzeigen