Sicherer Hash

Wenn der User es darauf anlegt, ein unsicheres Passwort zu verwenden oder es unsicher zu verwalten, bin ich als Webmaster eh machtlos. Ich kann ja per Javascript anzeigen, wie sicher das Passwort ist, aber mehr geht wohl nicht, da ich auch keinen User verärgern will und eigentlich auch jeder User selber für seine Passwörter verantwortlich ist. Un wie von ice-breaker genannt, kommt das Passwort halt sonst auf ein Post-It.

Bezüglich Zufallssalt oder Username:
Wenn der Passworthash vom Usernamen abhängt, müsste das Passwort natülrich bei einer Änderung vom Usernamen auch neu eingegeben werden oder geändert werden. Wenn ich als Admin das ändern will, wirds natülrich schwierig. Wenn ich einen zufälligen Salt generiere, würde halt jeder Einlogvorgang eine Datenbankabfrage mehr als sonst brauchen. Aber da der Einloggvorgang ja nicht so häufig stattfindet, werde ich dann wohl auch besser einen Zufallssalt nehmen.

Bezüglich Position des Saltes:
Ist es nicht eigentlich am sichersten, wenn man die Position des Saltes anhand des Passworts berechnet? Ist eine etwas abgewandelte Idee von vorhin. Solange der Hacker das Passwort nicht kennt, weiß er ja dann auch nicht die Position des Salts. Er weiß zwar, irgendwo kommt ein "blabl" (um mal bei dem Beispiel zu bleiben^^) vor, aber er weiß nicht, ob am Anfang, am Ende, in der Mitte oder wo auch immer.

ice-breaker schrieb:
die User haben unverhältnismäßig oft die Passwörter neu angefordert
Zum Vergrößern anklicken....
Kann man daraus entnehmen, dass du auch eine Passwort-vergessen Funktion integrierst? Weil, irgendsoetwas braucht man ja doch auch, oder?


Gruß,
Klaus
 
klausschreiber schrieb:
Wenn ich einen zufälligen Salt generiere, würde halt jeder Einlogvorgang eine Datenbankabfrage mehr als sonst brauchen. Aber da der Einloggvorgang ja nicht so häufig stattfindet, werde ich dann wohl auch besser einen Zufallssalt nehmen.
Zum Vergrößern anklicken....
sicher?
also ich brauche genausoviele:
PHP: 
$data = $db->fetchRow('SELECT passwort, salt FROM user WHERE name = ?', $_POST['user']);

$login = Utils::pw($_POST['passwort'], $data['salt']) == $data['passwort']);

klausschreiber schrieb:
Kann man daraus entnehmen, dass du auch eine Passwort-vergessen Funktion integrierst? Weil, irgendsoetwas braucht man ja doch auch, oder?
Zum Vergrößern anklicken....
jup, aber ohne Benutzerfragen, an die Email-Adresse geht ne Mail mit nem 24 Std. gültigen Link um sein Passwort zurückzusetzen.

Ich würde ja sowas gerne mal einsetzen :LOL:
 
danke für die Antwort.
Jo, man braucht nicht mehr Datenbankabfragen, aber warum einfach wenns auch kompliziert geht:LOL:. Hatte ne kleine Denkblockade^^.

ice-breaker schrieb:
jup, aber ohne Benutzerfragen, an die Email-Adresse geht ne Mail mit nem 24 Std. gültigen Link um sein Passwort zurückzusetzen.
Zum Vergrößern anklicken....
Jo, so hatte ich das auch vor. Nur, dass dann, bevor das Passwort zurückgesetzt wird, noch eine Frage gestellt wird. Vielleicht mache ich das mit der Frage auch freiwillig, dass halt der, der noch zusätzliche Sicherheit haben will, eine Frage festlegen kann.

ice-breaker schrieb:
Ich würde ja sowas gerne mal einsetzen :LOL:
Zum Vergrößern anklicken....
Jo, so ein RSA-Token ist schon was nettes, habe ich selber für ne Pokerseite (also als User^^), aber ist halt nicht gerade billig (insbesondere für den Webmaster):LOL:

Gruß,
Klaus
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

News-Bot
News Auch Woidke will Liste sicherer Herkunftsländer erweitern
Antworten
2
Aufrufe
353
Gelöschtes Mitglied 142857
G
Zurück
Oben