klausschreiber
Well-known member
- 6 Mai 2006
- 247
- 8
Wenn der User es darauf anlegt, ein unsicheres Passwort zu verwenden oder es unsicher zu verwalten, bin ich als Webmaster eh machtlos. Ich kann ja per Javascript anzeigen, wie sicher das Passwort ist, aber mehr geht wohl nicht, da ich auch keinen User verärgern will und eigentlich auch jeder User selber für seine Passwörter verantwortlich ist. Un wie von ice-breaker genannt, kommt das Passwort halt sonst auf ein Post-It.
Bezüglich Zufallssalt oder Username:
Wenn der Passworthash vom Usernamen abhängt, müsste das Passwort natülrich bei einer Änderung vom Usernamen auch neu eingegeben werden oder geändert werden. Wenn ich als Admin das ändern will, wirds natülrich schwierig. Wenn ich einen zufälligen Salt generiere, würde halt jeder Einlogvorgang eine Datenbankabfrage mehr als sonst brauchen. Aber da der Einloggvorgang ja nicht so häufig stattfindet, werde ich dann wohl auch besser einen Zufallssalt nehmen.
Bezüglich Position des Saltes:
Ist es nicht eigentlich am sichersten, wenn man die Position des Saltes anhand des Passworts berechnet? Ist eine etwas abgewandelte Idee von vorhin. Solange der Hacker das Passwort nicht kennt, weiß er ja dann auch nicht die Position des Salts. Er weiß zwar, irgendwo kommt ein "blabl" (um mal bei dem Beispiel zu bleiben^^) vor, aber er weiß nicht, ob am Anfang, am Ende, in der Mitte oder wo auch immer.
Gruß,
Klaus
Bezüglich Zufallssalt oder Username:
Wenn der Passworthash vom Usernamen abhängt, müsste das Passwort natülrich bei einer Änderung vom Usernamen auch neu eingegeben werden oder geändert werden. Wenn ich als Admin das ändern will, wirds natülrich schwierig. Wenn ich einen zufälligen Salt generiere, würde halt jeder Einlogvorgang eine Datenbankabfrage mehr als sonst brauchen. Aber da der Einloggvorgang ja nicht so häufig stattfindet, werde ich dann wohl auch besser einen Zufallssalt nehmen.
Bezüglich Position des Saltes:
Ist es nicht eigentlich am sichersten, wenn man die Position des Saltes anhand des Passworts berechnet? Ist eine etwas abgewandelte Idee von vorhin. Solange der Hacker das Passwort nicht kennt, weiß er ja dann auch nicht die Position des Salts. Er weiß zwar, irgendwo kommt ein "blabl" (um mal bei dem Beispiel zu bleiben^^) vor, aber er weiß nicht, ob am Anfang, am Ende, in der Mitte oder wo auch immer.
Kann man daraus entnehmen, dass du auch eine Passwort-vergessen Funktion integrierst? Weil, irgendsoetwas braucht man ja doch auch, oder?ice-breaker schrieb:die User haben unverhältnismäßig oft die Passwörter neu angefordert
Gruß,
Klaus