Opened by ppm1 at 2005-03-14 22:27
User since
2003-08-04
2145 Artikel
ModeratorIn + EditorIn
2003-08-04
2145 Artikel
ModeratorIn + EditorIn
[quote=ppm1,16.03.2005, 13:11]also was ratet ihr mir soll ich verwenden?[/quote]
Sicherheit ist immer relativ.
Wie sicher ist denn die Datenbank untergebracht? Koennen Unbefugte ueberhaupt an die in der Datenbank gespeicherten Daten heran? Liegt die Datenbank auf einem separaten Server oder laufen noch andere Dienste darauf, die den Rechner kompromittieren koennten? Sind die Rechte der Tabelle richtig gesetzt? Ist es nicht leichter, an die Daten heranzukommen, so lange sie noch nicht verschluesselt sind, z.B. auf dem Weg zum Datenbankserver oder vielleicht ueber eine ungeschuetzte HTTP-Verbindung? (Hat jemand, der an die verschluesselten Passwoerter herankommen kann, nicht auch Zugriff auf die unverschluesselten Daten, z.B. durch Manipulation des Programms, das auf die Datenbank zugreift?)
Auf der anderen Seite:
Wie sicher muessen die Passwoerter ueberhaupt sein? Geht es um die Benutzerdatenbank eines Webforums oder die Zugangsdaten von Bankkunden? Wie lange sollten die Passwoerter Angriffen mit zeitgemaesser Hardware widerstehen koennen? (Das heisst einerseits: Wieviel Rechenleistung braucht ein Angreifer heute, um das Passwort zu knacken? und andererseits: In wievielen Jahren sollen die Passwoerter noch als sicher gelten koennen? Das BSI gibt keine laengeren Prognosen fuer Kryptoverfahren als die naechsten fuenf Jahre, und das ist noch ein Zugestaendnis an die Politik. Denk daran: Es gibt keine sicheren Systeme! )
Wie hartnaeckig und wie gut ausgeruestet werden die vermutlichen Angreifer sein?
Was die Belastung und Geschwindigkeit der Berechnung angeht: Wieviele Aufrufe der crypt-Funktion pro Sekunde erwartest du und wieviele kann der Server vertragen? Ein aktueller PC schafft so seine 3-4 Millionen crypt()s pro Sekunde. Und immer noch eine halbe Million sha1_base64() pro Sekunde mit Digest::SHA1. :)
Sicherheit ist immer relativ.
Wie sicher ist denn die Datenbank untergebracht? Koennen Unbefugte ueberhaupt an die in der Datenbank gespeicherten Daten heran? Liegt die Datenbank auf einem separaten Server oder laufen noch andere Dienste darauf, die den Rechner kompromittieren koennten? Sind die Rechte der Tabelle richtig gesetzt? Ist es nicht leichter, an die Daten heranzukommen, so lange sie noch nicht verschluesselt sind, z.B. auf dem Weg zum Datenbankserver oder vielleicht ueber eine ungeschuetzte HTTP-Verbindung? (Hat jemand, der an die verschluesselten Passwoerter herankommen kann, nicht auch Zugriff auf die unverschluesselten Daten, z.B. durch Manipulation des Programms, das auf die Datenbank zugreift?)
Auf der anderen Seite:
Wie sicher muessen die Passwoerter ueberhaupt sein? Geht es um die Benutzerdatenbank eines Webforums oder die Zugangsdaten von Bankkunden? Wie lange sollten die Passwoerter Angriffen mit zeitgemaesser Hardware widerstehen koennen? (Das heisst einerseits: Wieviel Rechenleistung braucht ein Angreifer heute, um das Passwort zu knacken? und andererseits: In wievielen Jahren sollen die Passwoerter noch als sicher gelten koennen? Das BSI gibt keine laengeren Prognosen fuer Kryptoverfahren als die naechsten fuenf Jahre, und das ist noch ein Zugestaendnis an die Politik. Denk daran: Es gibt keine sicheren Systeme! )
Wie hartnaeckig und wie gut ausgeruestet werden die vermutlichen Angreifer sein?
Was die Belastung und Geschwindigkeit der Berechnung angeht: Wieviele Aufrufe der crypt-Funktion pro Sekunde erwartest du und wieviele kann der Server vertragen? Ein aktueller PC schafft so seine 3-4 Millionen crypt()s pro Sekunde. Und immer noch eine halbe Million sha1_base64() pro Sekunde mit Digest::SHA1. :)