Moin!

Die Funktion crypt() in PHP unterscheidet anscheinend nur die ersten sechs Buchstaben des Passwortes. Ich habe zum Test selbiges mit dem Passwort "Testpasswort" ausprobiert und den Salt 10 verwendet.

Es sind die ersten 8 Zeichen, nicht 6.

Deshalb gilt crypt() mittlerweile als veraltet und sollte nicht mehr benutzt werden, wenn die Einschränkung auf 8 Zeichen ein Problem darstellt.

Alternativen: In .htaccess MD5 benutzen, das berücksichtigt alle Zeichen des Passworts. Und wenn der entdeckte theoretische Angriff auf MD5 zuviel Sorgen bereitet, existieren mit SHA1 und folgenden noch diverse weitere Hash-Algorithmen, die man nutzen kann.

Ist das sonst schonmal irgendjemandem aufgefallen?? Das heißt das ein Tippfehler im hinteren Teil des wortes nichts ausmacht. Was sagt ihr dazu?? Ich halte es für eine bedeutende Sicherheitslücke ;)

"It works as designed". Alternativen existieren ja.

- Sven Rautenberg