Von: david
Der Punkt dabei ist, dass der Angreifer für JEDES Passwort (da ja unterschiedlicher salt) eine komplette Bruteforce-Attacke fahren muss. In Kombination mit den Iterationen und wenn man davon ausgeht,...
View ArticleVon: RennerChristian
Interessanter Artikel. Vor allem die Technik mit dem Loop war mir noch nicht bewusst und wird wahrscheinlich für zukünftige Entscheidungen in Erwägung gezogen. Andererseits verstehe ich das Festhalten...
View ArticleVon: david
Servus, danke für deinen Kommentar. Du hast natürlich recht, ich wollte meinen Post auch nicht als heiligen Gral verstanden wissen, sondern eher als Diskussionsgrundlage – was ja anscheinend geglückt...
View ArticleVon: david
jup, du hast recht. Ich hab bewusst als Provokation bis zum bitteren Ende md5 verwendet ;). Wer zu faul zum googlen ist: 12print_r(hash_algos()); hash("sha512", $pw);
View ArticleVon: david
Hi – md5 hab ich nur verwendet, um euch zu ärgern ;). Siehe auch mein Fazit Um das oben angesprochene md5-Bashing nochmal aufzugreifen: Ich glaube, dass die Wahl des Hashverfahrens verglichen mit den...
View ArticleVon: Fabian
Wenn du vernünftig mit salt und Iterationen arbeitest, ist dir die “Kollionsfreiheit” recht egal Hmm, das sollte allerding auch dynamische Salts in den Iterationen einschließen. Ich habe gerade keine...
View ArticleVon: david
Servus! In Anbetracht der Tatsache, dass bisher noch keine SHA1-Kollision gefunden wurde, überwiegt für mich der Vorteil der Sicherheit gegen Bruteforce. <blockquote>Yes, re-hashing reduces the...
View ArticleVon: Michael Rüfenacht
Und wenn der ftp gehackt ist hilft alles hashen und salten (tönt nach Jamie Oliver) nichts mehr…
View ArticleVon: david
Klar hilft das noch was. Und zwar den Usern des Services. Oder wölltest du, dass dein Passwort – welches du selbstverständlich auch für Onlinebanking, Email und Ebay verwendest – der serbokroatischen...
View ArticleVon: Oliver
Ich halte es relativ schlicht und schmerzfrei. 1sha256($user.SALT.$pass); $user ist die email, SALT ist im Quelltext hinterlegt und $pass ist das Passwort.
View ArticleVon: Sabine Bergemann
Mittlerweile gibt es die Methoden \password_hash und \password_verify.
View ArticleVon: david
jup, du hast recht. Ich hab bewusst als Provokation bis zum bitteren Ende md5 verwendet ;). Wer zu faul zum googlen ist: print_r(hash_algos()); hash("sha512", $pw); <7code>
View ArticleVon: david
Hi – md5 hab ich nur verwendet, um euch zu ärgern ;). Siehe auch mein Fazit Um das oben angesprochene md5-Bashing nochmal aufzugreifen: Ich glaube, dass die Wahl des Hashverfahrens verglichen mit den...
View ArticleVon: Fabian
Wenn du vernünftig mit salt und Iterationen arbeitest, ist dir die “Kollionsfreiheit” recht egal Hmm, das sollte allerding auch dynamische Salts in den Iterationen einschließen. Ich habe gerade keine...
View ArticleVon: david
Servus! In Anbetracht der Tatsache, dass bisher noch keine SHA1-Kollision gefunden wurde, überwiegt für mich der Vorteil der Sicherheit gegen Bruteforce. <blockquote>Yes, re-hashing reduces the...
View ArticleVon: Michael Rüfenacht
Und wenn der ftp gehackt ist hilft alles hashen und salten (tönt nach Jamie Oliver) nichts mehr…
View ArticleVon: david
Klar hilft das noch was. Und zwar den Usern des Services. Oder wölltest du, dass dein Passwort – welches du selbstverständlich auch für Onlinebanking, Email und Ebay verwendest – der serbokroatischen...
View ArticleVon: Oliver
Ich halte es relativ schlicht und schmerzfrei. sha256($user.SALT.$pass); $user ist die email, SALT ist im Quelltext hinterlegt und $pass ist das Passwort.
View ArticleVon: Sabine Bergemann
Mittlerweile gibt es die Methoden \password_hash und \password_verify.
View ArticleVon: Raffael
Hallo Oliver, einen konstanten Salt zu verwenden, ist jedoch auch nicht der Weisheit letzter Schluss… Der Salt sollte in jedem Fall einzigartig pro User UND Passwort sein. Warum das so ist, habe ich...
View Article
