nicht angemeldet
Passworthash - Verständnisfrage
Hallo,
ich habe eine Verständnisfrage:
Mein Mailformular hält ein Feld "Passwort" bereit. In dieses gibt der User bei Registrierung sein Passwort ein. Dieses wird mit einem Hash der sha-Familie gehashed und in eine Datenbank geschrieben. Beim nächsten Besuch gibt er in obiges Feld wieder sein Passwort ein. Dieses wird mit dem selben Hash-Algorithmus gehashed und mit dem in der Datenbank verglichen.
Soweit, so gut. Nun liest man ja häufiger davon, dass man dem ganzen einen - am besten individuellen - Salt beimengen sollte. Was ich nicht verstehe... ein potentieller Angreifer penetriert via Brut-Force mein Formularfeld. Was genau hätte der Salt hier für einen Vorteil? Wenn er Name+Passwort richtig trifft, hat er doch sowieso Zugang...?
-
Hallo,
ich habe eine Verständnisfrage:
Verwende das nächste mal die Suchfunktion.
Das Thema wurde hier vor ein paar Tagen ausführlich behandelt.
http://forum.de.selfhtml.org/?t=194901&m=1303912MfG
Napster -
ein potentieller Angreifer penetriert via Brut-Force mein Formularfeld. Was genau hätte der Salt hier für einen Vorteil?
Falls der Angreifer nur eine mögliche Namen-Paßwort-Kombination findet und nicht die wirkliche, dann kann er sich an einer anderen Stelle, wo der user die gleiche Namen-Paßwort-Kombination verwendet, nicht einloggen.
Dann gibt es noch Fälle, bei denen der Angreifer "nur" an den hash gekommen ist, aus dem kann er dann keine mögliche Namen-Paßwort-Kombination ermitteln.
War hier nicht gerade erst ein Thema in dem das lang und breit diskutiert wurde? Schau mal nach.
Wenn er Name+Passwort richtig trifft, hat er doch sowieso Zugang...?
Muß ja so sein.
-
Soweit, so gut. Nun liest man ja häufiger davon, dass man dem ganzen einen - am besten individuellen - Salt beimengen sollte. Was ich nicht verstehe... ein potentieller Angreifer penetriert via Brut-Force mein Formularfeld. Was genau hätte der Salt hier für einen Vorteil? Wenn er Name+Passwort richtig trifft, hat er doch sowieso Zugang...?
Salts schützen nicht gegen Wörterbuchatacken auf schlechte Passworte.
Salts sollen dagegen schützen, dass jemand aus dem hash ein gültiges Passwort ableiten kann. Dies setzt voraus, dass jemand deine Liste aus der DB stehlen kann.Ja ok, es gibt noch Idioten, die sich überall mit gleichem Namen und Passwort Accounts erstellen. Hier kann ein Salt schützen, falls in einem anderen Account eine Kollision zum Passwort gefunden wurde (also ein alternatives Passwort, das den gleichen Hash erzeugt.)
mfg Beat
--
><o(((°> ><o(((°>
<°)))o>< ><o(((°>o
Der Valigator leibt diese Fische-
Salts schützen nicht gegen Wörterbuchatacken auf schlechte Passworte.
Salts sollen dagegen schützen, dass jemand aus dem hash ein gültiges Passwort ableiten kann. Dies setzt voraus, dass jemand deine Liste aus der DB stehlen kann.Danke, das wollte ich wissen.
Gruß
Bolle
-