gute Passwortverschlüsselung

Dieses Thema im Forum "Webentwicklung" wurde erstellt von floboter, 17. November 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 17. November 2005
    Hi Leutz,
    Ich wollt ma fragen wie ich ne gute Passwortverschlüsselung auf meine Page machen kann. Sinn und Zweck der Sache soll sein, dass nur leute mit passwort drauf zugreifen können.
    Danke
     
  2. 17. November 2005
    PHP Script und Speicherung des MD5 Passwort Hashs in einer MySQL Datenbank. Zusätzlich Überprüfung der IP über das PHP Script und Sperrung der IP bei 5-maliger falscher Passwort-Eingabe. Schützt gegen Brute-Force Spinner. Obwohl ein MD5 Passwort mit vernünftiger Länge (> 8 Zeichen) und Groß- Kleinschreibung + Zahlen + Sonderzeichen sowieso absolut sicher ist.
     
  3. 17. November 2005
    1.wie soll diese ip sperre gehen ?
    dsl user haben bei jedem login ins internet eine neue ip also funzt das schonmal nicht

    2.md5 pw werden im algorythmus der 20 stellen hat gespeichert immer!

    also es ist egal ob bruter kommen 20 stellen sind bei jedem pw

    du sprichst vom normalen pw aber
     
  4. 17. November 2005

    Zu 1: Selbstverständlich hält eine IP Sperre einen User nicht dauerhaft fern! Das geht bei dynamischen IP's eben nicht. Aber ein Brute Force Hacker mit einem entsprechendem Tool muss sich dann ständig raus und wieder rein ins Internet wählen! Das verlangsamt den Brute-Force Angriff dermaßen, das er wahrscheinlich 5000 Jahre bräuchte bis er ein sicheres Passwort geknackt hätte! Mein vBulletin Board benutzt dieses Sicherheits Feature auch :] .

    Zu 2: Md5 Passwörter sind 128Bit Schlüssel mit 2^32. Das heißt sie haben eine festgelegte Länge von 32 Stellen (z.B. d639908d33498ded19bbcde192a5770f), nachdem das Wort verschlüsselt wurde! Es gibt Brute-Force Tools welche alle Kombinationen durchgehen und vergleichen. Wenn dein echtes Passwort also DADA war dann entschlüsselt dir das ein gutes Tool in wenigen Minuten!

    Verstanden, hacker5?
     
  5. 17. November 2005
    klar verstanden hab ich schon die ganze zeit ich bin selber coder


    aber wie willst du ein ip sicherheiztslogin machen ?

    ? willst du die ip in der datenbank speichern und bei der nächstenabfrage mit deiner jetzigen vergleichen oder wie ?
     
  6. 17. November 2005
    So ist es! Das PHP-Script regisriert falsche Loginversuche. In der MySQL Tabelle könnte das zum Beispiel so aussehen:

    CREATE TABLE `login` (
    `userip` int(10) unsigned NOT NULL default '0',
    `time` smallint(10) unsigned NOT NULL default '0',
    `check` smallint(5) unsigned NOT NULL default '0',
    PRIMARY KEY (`userip`)
    ) ENGINE=MyISAM DEFAULT CHARSET=latin1;

    Dieser MySQL Befehl legt eine Tabelle mit dem Namen login und den 3 Reihen an. Versucht nun jemand sich einzuloggen mit falschen Daten wird der Zähler (check) hochgezählt. Ist der Zähler == 5 wird der User mit der aktuellen Zeit und IP für 2 Stunden gesperrt. Das PHP Script fragt vor jedem Login Versuch die Datenbank ab ob die IP auf der gebannten Liste steht. Nach 2 Stunden wird die IP wieder gelöscht!

    Das war's! Ein guter Coder programmiert dir das in 5 Minuten :] .
     
  7. 17. November 2005
    jo klar

    aber mir wäre das zu viel serverleistung die dafür draufgehen würde

    für die ganzen einträge der ip in die db wenn ein user drauf geht

    wird zwar gelöscht nach ner zeit aber trozdem ^^
     
  8. 17. November 2005
    Das Raid-Rush Board Script von WoltLab erzeugt ungefähr 10000 mal mehr Serverlast! Ich glaube kaum das sich plötzlich 1 Millionen Leute gleichzeitig bei dir einloggen wollen, oder? Jedes gute Script und jede jedes große Portal besitzt eine derartige Sicherheitsbarriere und die Serverlast ist sehr sehr gering! Bei meinem vBulletin Board ist die Serverlast verursacht durch dieses Feature überhaupt nicht messbar.

    Wie ich bereits schrieb. Die IP Adresse wird nach 2 Stunden wieder gelöscht. Eingetragen wird ja nur bei falscher Eingabe!
     
  9. 17. November 2005
    nimm md5
     
  10. 17. November 2005
    Was Stefan_$ gesagt hat, klingt für mich extrem gut.

    Du könntest als zusätzlichen Sicherheitspunkt den login von der Eingabe eines Usernamen, einer Email und eines Passwortes abhängig machen. (Wenns ganz sicher sein soll) Aber unbedingt MD5 verschlüsseln

    Das Ideechen mit Stefan_$´s IP-Blocking hat was, aber in fünf minuten code ich sowas nicht. Eher drei Tage ?(

    mfg

    Arkangel
     
  11. 18. November 2005
    du kannst auch bei der Registierung überprüfen, ob das vom Benutzer gewählte Passwort sicher genug ist, geht mit der cracklib
     
  12. 18. November 2005
    thx@all



    ~closed~
     
  13. 18. November 2005
    habe mir bei aldi diesen finger printer geholt damit kannst nur du mit deinem fingerabdruck entschlüsseln ist eine 1024 bit verschlüsselung... ist geil das teil ..
     
  14. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.