Moin!

Jemand eine Idee wie ich das am sichersten anstelle? Das es nicht wirklich sicher ist, weiss ich...

Ich denke, du solltest dir diesen Aufwand sparen. Nach meiner Sicht der Dinge würde dein Vorgehen die Sicherheit nicht nennenswert erhöhen:

1. Es gibt einen qualitativen Unterschied zwischen den Hash-Funktionen (die du nicht willst) und wiederherstellbarer Verschlüsselung. Letztere erfordert immer, dass der Ort, an dem die Wiederherstellung geschieht, irgendein Geheimnis in Form eines Passwortes bzw. Schlüssels besitzt.

2. Wenn aber der Ort des Geheimnisses nur ungefähr 1 Zentimeter vom Speicherort der verschlüsselten Passwörter entfernt ist, weil dein Datenbankzugriffsskript und die Datenbank auf demselben Server liegen, dann hat grundsätzlich jeder mit einigermaßen gutem Zugriff auf den Rechner (sprich: Admin-Rechte) die Möglichkeit, an die Passwörter heranzukommen, egal ob die verschlüsselt sind, oder nicht.

3. Daraus folgt, dass es viel wichtiger ist, den Zugriff auf den Server vor Unbefugten zu sichern. Wenn das aber geschieht, kann auch niemand an unverschlüsselte Passwörter gelangen.

Ergo: Der Sicherheitsgewinn durch die wiederherstellbare Verschlüsselung ist sehr gering, es erhöht den Aufwand für einen gut ausgerüsteten Angreifer nur marginal.

- Sven Rautenberg