[HaBo]

TomS

Anzeige

Hallo.
ein Freund von mir hat für ein Chatprogramm die Passwörter der Benutzer mit MD5 verschlüsselt. Leider kann man ziemlich einfach herausfinden, wo die Passwörter gespeichert sind (auf einem Webserver) und diese dann auch lesen (also den MD5-Hash). Die meisten Nutzer haben der Bequemlichkeit halber, ziemlich unsichere Passwörter gewählt, von denen wir 70% über eine der vielen Seiten für Passwortdecodierung herausgefunden haben.

Wir haben uns folgende Methode überlegt, und ich wollte mal fragen, ob das wirklich sicherer ist, oder nur minimal mehr Schutz bietet.

Revers() ist eine Funktion, die den String umdreht. Revers("abcdef")=>"fedcba".


hash=MD5(revers(md5(passwort)))

Es wird also das Passwort ganz normal mit MD5 verschlüsselt. Danach wird der Hash rückwärts gespeichert und nochmal mit MD5 verschlüsselt

( MD5(MD5("passwort")) bringt ja gar nix)

Was haltet ihr davon?

Mfg, Thomas

CDW

warum soll MD5(MD5("pass")) nichts bringen? Oder gibt es inzwischen "MD5 von MD5" Tables ?
Man könnte auch Salz nutzen.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

Elderan

Hallo,
Und eure Reverse-Funktion eben so

1. Unbedingt die Hashwerte schützen, wieso kann die jeder so auslesen?
2. Überprüfen (bei der Registierung) ob User ein sichere Passwort verwendet
3. HMAC verwenden Mehr dazu hier

TomS

@CDW: Naja, Die Seite, die ich verwendet habe, hat mir den beim ersten mal den MD5 Hash von dem passwort ausgespuckt. Und wenn man den eingibt, bekommt man das Passwort.

@Elderan: Ok. Also diese Seite hat das nicht hingekriegt, aber ich denke, wenn man weiß, dass man den Hash rückwärts eingeben muss, isses leicht.

Die PWD's werden afaik in einer Textdatei oder so gespeichert, die mit FTP auf den Webspace geladen wird, von wo aus dann ein Userserver die Passwortliste anfordern kann, wenn der Hauptserver offline ist. Ich weiß nicht, ob das Verzeichnis mit htaccess geschützt ist, oder ünerhaupt über http zugänglich ist. Aber wenn man die Source vom dem Chatclient hat, kann man anscheinden leicht drauf zu greifen.

Wie gesagt, sind die Benutzer leider recht bequem. Immerhin muss man mindestens 8 Zeichen eingeben.

Danke für die Links. Mal schaun, ob wir das umsetzen können.

lightsaver

wieso macht ihr das in einer textdatei die nach deiner beschreibung jeder abrufen kann und nicht in einer datenbank?

TomS

Ich nehma an, der Webspace unterstützt keinen SQLZugriff von außen.

Mackz

Ist doch kein Problem, kann er doch mit htaccess absichern.

__________________
RL sux big time... auch 2012!

Deleting pr0n is like killing your best friend

[HaBo] bei Facebook - Werde Fan