Moin

Danke Euch für die Hilfe. Jetzt habe 3 Möglichkeiten - welche würdet Ihr davon empfehlen, wenn ich einen von einem Hoster standardmäßig konfiguriertern Apache/PHP/MySQL habe:

Alles 3 blöde Ideen, weil das Passwort dabei zur Datenbank wandert und dabei abgefangen werden kann. Man kann den MySQLd nämlich zum Beispiel so konfigurieren dass er alle Queries loggt (ist zum Fehlersuchen klasse) und dann liegt das Passwort auf der Festplatte rum.
Selbst wenn nicht, kann das Passwort evt. abgefangen werden während es zum DB-Server unterwegs ist (die von MySQL dafür benutzte Verschlüsselung ist iirc sehr schwach).

Die korrekte Methode wäre die Verschlüsselung bereits in PHP durchzuführen. Und da empfehle ich aus diversen Gründen die MD5-Funktion:

• Kryptographisch sicher
• Kann durch Brute Force (also das durchprobieren aller möglichen Passwörter) nur sehr aufwendig geknackt werden, da es mehr Rechenzeit frisst als crypt(), vor allem, wenn du den Benutzernamen mithasht (siehe mein Posting weiter unten)
• Aktzeptiert mehr als 8 Zeichen im Passwort
• Ist überall verfügbar, unabhängig was crypt() auf der jeweiligen Plattform kann.

--
Henryk Plötz
Grüße aus Berlin