Moin!

»» Der Hinweis auf die Module bei CPAN ist sicher richtig, aber in einem Artikel, der die Technik beschreiben soll, bringt das ja nicht viel.

Ja, genauso ist das und auch daher dieser Artikel, danke Struppi. Er soll das Hintergrundwissen vermitteln, was denen evntl. abgeht, die mit Funktionen von 4GL nur so um sich schmeißen, dabei gar nicht wissen, was dabei gemacht wird und dann eine ganze Programmiersprache in die Tonne treten, weil auf heise.de irgendwelche Sicherheitslücken bekannt werden.

Wenn der Artikel das soll, dann scheitert er auch an diesem Anspruch.

Btw., Sven#, es ist ja nun egal, wie stark die Verschlüsselung eines Passworts ist, wenn dies auf einem Server liegt, auf dem sich ohnehin vertrauliche Daten befinden. Das Prinzip einer Einwegverschlüsselung zu erklären, das habe ich nun mal mit crypt() gemacht und wer das dann mit anderen Mechanismen programmiert, die gleichermaßen funktionieren, der kann das auch nur dann, wenn er das Prinzip verstanden hat.

Wenn der Artikel auf das Publikum abzielt, welches kein Hintergrundwissen hat, dann ist der Absatz zur Passwortbehandlung eindeutig mangelhaft. Der Punkt ist: Gerade diejenigen, denen das Hintergrundwissen eher fehlt, werden sich aufgrund des Artikele eher nicht dazu berufen fühlen, nach noch besseren Mechanismen zu suchen, sondern verwenden das, was vorgestellt wird.

Und crypt() schneidet nun mal Passworte nach 8 Zeichen ab. Und das ist MEGASCHLECHT. Egal wie leicht man ansonsten den Hashwert rückrechnen bzw. ein dazu passendes Passwort ermitteln könnte. Denn der Verzicht auf crypt bringt kurioserweise eine deutlich höhere Passwortsicherheit in dem Artikel-Szenario, weil sie dann wesentlich länger sein können.

Und überhaupt würde ich mich sehr freuen, einen ähnlichen Artikel zu diesem Thema im SELF-Raum lesen zu dürfen und nicht ständig irgendwelche Hinweise auf eine dämliche Wette, die jedesmal zitiert wird, wenn das Thema Encryption zur Sache kommt.

Der Hinweis kommt immer dann, wenn jemand glaubt, in Kryptodingen durch selbstausgedachtes schlauer zu sein, als die Wissenschaft. Und er ist in 100% der Fälle berechtigt.

Deshalb kriegst du die Verwendung von crypt um die Ohren gehauen, und auch deine in dem anderen Thread aufgetauchte Verschlüsselungsfunktion. Und zwar immer zu Recht, und immer mit dem leuchtenden Beispiel des hier im Forum dokumentierten Scheiterns solch einer Funktion - als warnendes Beispiel für alle diejenigen, die in derselben Situation sind und sich überlegen, ebenfalls selbst erdachtes Krypto anzuwenden.

Die Tatsache, dass du aus dieser Geschichte nichts lernst oder lernen willst, ist eigentlich bezeichnend.

- Sven Rautenberg