Moin

Du kannst md5() benutzen, da steckst du nur Strings rein, und kriegst verschlüsseltes raus (ohne Zufallselement offenbar). Das mag für deine Anwendung relativ egal sein, der Witz ist, daß mit crypt eben dieser Zufallswert ins Spiel kommt, d.h. gleiche Paßwörter sehen verschlüsselt anders aus, wenn sie unterschiedliche salt-Werte haben.

Das geht wie ich in dem anderen Posting schrieb, auch ähnlich mit MD5. crypt() hat allerdings den imensen nachteil dass es nur 8 Zeichen berücksichtigt. Ein Angreifer muss also - komme was wolle - die Brute Force-Suche nur über maximal 8 Zeichen durchführen.

--
Henryk Plötz
Grüße aus Berlin

Hi!
Erstmal vielen Dank für die Antwort.
Was ich nicht verstehe: Wieso wollt Ihr allen Anfängern immer die Infos in englisch andrehen, wenn es die zu 100% gleich auch in deutsch gibt???

Mehr (englische) Informationen hier:

http://www.php.net/manual/en/function.crypt.php
                                 ^^
http://www.php.net/manual/de/function.crypt.php
                                 ^^

Und ja, das hatte ich schon in D gelesen, aber diese Fragen habe ich mir da leider nicht beantworten können, nochmal vielen Dank dafür!

Ich weiß dass man ab einem bestimmten Punkt in deutsch nicht mehr weiter kommt, aber mir fällt es _viel_ leichter, deutsche Dokus zu verstehen, und wenn ich deutsch viel fitter in der Programmiersprache bin, kann ich hinterher auch besser in englisch klar kommen, alles in allem spare ich mir so viel Zeit und Mühe!

Und das sehen die meisten Anfänger so! Deshalb wundert es mich immer dass mit erstaunlicher Beharrlichkeit immer auf die englische Doku verwiesen wird, obwohl man schon durch austauschen dieser 2 Buchstaben die deutsche Übersetzung erhält!

Irgend jemand hat sich mal die Mühe gemacht, warum soll man es nicht dankend annehmen und benutzen, sondern ignorieren?

Und nicht falsch verstehen soll eine _konstruktive_ Kritik sein, um den Anfängern wie mir besser zu helfen, durch 2 andere Buchstaben, erst als ich das mal bemerkte, habe ich selbst angefangen in der Doku zu lesen!!!

Sorry wenn ich noch nicht alles selbst finde, nur manchmal weiß ich halt nicht wonach ich suchen soll, da man meines Wissens nur nach Funktionen suchen kann, jedenfalls nicht nach dem Inhalt in den Erklärungen!

Grüsse
  Andreas

Moin

Und dann einfach $v in der SQL Abfrage einfügen, oder?

genau

Jetzt habe ich aber wieder eins meiner alten Probleme: Egal wie oft ich das durchführe... ich erhalte immer dieselbe Verschlüsselung?!

Hmm, probieren geht über studieren. (aber ja, es kommt immer das selbe bei raus) Vielleicht möchtest du mal nach md5 googlen und dir ein bisschen was über den Algorithmus durchlesen. http://aktuell.de.selfhtml.org/artikel/javascript/md5/index.htm ist für den Anfang auch ganz lesenswert.

Ich hätte ja jetzt mal gedacht, dass da jedesmal was anderes steht, ist zwar jetzt schön einfach beim Einloggen zu vergleichen, aber dafür könnte man doch theoretisch einfach ein "md5 Wörterbuch" erstellen, mit nem Script soger recht einfach, wenn man eine Passwort Liste hat kann man die ja einfach kpl. übersetzen, was bringt das dann für einen Schutz???

Oh, viel Spaß. Vorneweg, das selbe ist mit klassischer Crypt()-Verschlüsselung auch möglich, und zwar braucht man da Algorithmenbedingt nur 10 Zeichen (8 Zeichen Passwort + 2 Zeichen Salt) zu berücksichtigen.

Mit MD5 macht das aber keinen Spaß: Du brauchst ca. 15 Petabyte Speicher für diese Liste wenn sie nur die Passwörter der Längen 1 bis 8 berücksichtigen soll. (Das ist 'ne Überschlagsrechnung, Kombinatorik ist bei schon ein bisschen her). Und ausserdem: liest du manchmal auch was ich schreibe? http://forum.de.selfhtml.org/?m=18697&t=3267 Absatz "Erweiterte Möglichkeiten" Punkt 1. Das verhindert genau diese Art des Angriffs.

Ahja, noch ein bisschen was dazu: Die Passwörter sollten vernünftig lang sein. Mit einem Brute Force-Dingens (ich glaub es war md5crack, google mal danach) kriegt man einfache 4buchstabige Passwörter in etwa 4 sek. erraten (wenn man den Hash hat). Die Verbindung des Usernamens mit dem Passwort sollte dagegen aber auch ein bisschen schützen, probier es einfach mal aus.
Wichtig ist dass der Username _hinter_ das Passwort kommt. md5crack optimiert nämlich seine Suche wenn du von vorneherein schon weisst dass am Anfang des gehashten Strings etwas konstantes liegt, dann setzt es die MD5-Funktion darauf an, speichert den Zustand des MD5-Generators zu diesem Zeitpunkt zwischen und geht dann alle Passwörter von dort aus durch. Das kann die Suche enorm beschleunigen. (So sucht er afaik auch innerhalb der Passwörter, wenn er bespielsweise grade die Passwörter aaaaaa bis aaaazz untersucht, speichert er den Zustand nach aaaa zwischen und führt den rest der Funktion nur noch mit aa bis zz durch). Wenn der Username dahinter steht, ist das nicht (so einfach) möglich.

Weiterer Vorteil der Verschlüsselung bereits in PHP: Wenn deine SQL-Abfragen Fehler produzieren, ist es immer gut eine Fehlerausgabe zu erzeugen die unter anderem die gesendete Abfrage enthält, das ist beim debuggen ungemein hilfreich und sowas wirst du früher oder später auch einbauen. Wenn nun aber das Passwort während so eines Fehlers in der Abfrage drinlag ist das arg böse (ob die Fehlermeldung nun direkt an den Browser oder in eine Logdatei geht, ist erstmal unwichtig, wichtig ist dass das Passwort nun irgendwo lesbar rumliegt). Da du aber so eine schöne MD5-Funktion drin hast, kann der Hash gerne in der Fehlermeldung auftauchen, das ist nicht _soo_ kritisch (schön ist es trotzdem wenn der User es nicht alles sieht, spätestens im produktiven Einsatz)

Alle Klarheiten beseitigt?

--
Henryk Plötz
Grüße aus Berlin