User since
2003-08-04
2145
Artikel
ModeratorIn + EditorIn
[quote=ppm1,16.03.2005, 13:11]also was ratet ihr mir soll ich verwenden?[/quote]
Sicherheit ist immer relativ.
Wie sicher ist denn die Datenbank untergebracht? Koennen Unbefugte ueberhaupt an die in der Datenbank gespeicherten Daten heran? Liegt die Datenbank auf einem separaten Server oder laufen noch andere Dienste darauf, die den Rechner kompromittieren koennten? Sind die Rechte der Tabelle richtig gesetzt? Ist es nicht leichter, an die Daten heranzukommen, so lange sie noch nicht verschluesselt sind, z.B. auf dem Weg zum Datenbankserver oder vielleicht ueber eine ungeschuetzte HTTP-Verbindung? (Hat jemand, der an die verschluesselten Passwoerter herankommen kann, nicht auch Zugriff auf die unverschluesselten Daten, z.B. durch Manipulation des Programms, das auf die Datenbank zugreift?)
Auf der anderen Seite:
Wie sicher muessen die Passwoerter ueberhaupt sein? Geht es um die Benutzerdatenbank eines Webforums oder die Zugangsdaten von Bankkunden? Wie lange sollten die Passwoerter Angriffen mit zeitgemaesser Hardware widerstehen koennen? (Das heisst einerseits: Wieviel Rechenleistung braucht ein Angreifer heute, um das Passwort zu knacken? und andererseits: In wievielen Jahren sollen die Passwoerter noch als sicher gelten koennen? Das BSI gibt keine laengeren Prognosen fuer Kryptoverfahren als die naechsten fuenf Jahre, und das ist noch ein Zugestaendnis an die Politik. Denk daran: Es gibt keine sicheren Systeme! )
Wie hartnaeckig und wie gut ausgeruestet werden die vermutlichen Angreifer sein?
Was die Belastung und Geschwindigkeit der Berechnung angeht: Wieviele Aufrufe der crypt-Funktion pro Sekunde erwartest du und wieviele kann der Server vertragen? Ein aktueller PC schafft so seine 3-4 Millionen crypt()s pro Sekunde. Und immer noch eine halbe Million sha1_base64() pro Sekunde mit Digest::SHA1. :)
User since
2003-08-14
2022
Artikel
BenutzerIn
![[default_avatar]](/battie/theme/default/default_avatar.gif)
C:\Dokumente und Einstellungen\neuman02\Eigene Dateien\Eigene Downloads\john-16w
\john-16\run>john -incremental password3.txt
Loaded 1 password (Standard DES [48/64 4K])
guesses: 0 time: 0:03:49:44 c/s: 143918 trying: hAr1ir - Any32t
Session aborted
Nach all der Zeit hat er immer noch nicht das 4-stellige Passwort "Otto" herausgefunden.
User since
2003-08-04
5246
Artikel
ModeratorIn
![[Homepage]](/battie/theme/default/homepage.gif)
ich halte es eigentlich fuer ziemlich egal, ob du SHA1 oder MD5 verwendest; wenn jemand an das gehashte Passwort drankommt, kann man beides mit ein wenig Aufwand knacken; ist halt nur noch die Frage, ob sich der Aufwand lohnt...
Jemand zu Hause?![[twitter]](/battie/theme/default/icons/twitter.gif){kind=icon}
Schrift
use strict; use warnings;
Blog
Einstellungen![[feed]](/battie/theme/default/icons/feed.png){kind=icon}
![[Powered by Battie]](/battie/img/powered.png)
