Passwörter in Drupal (verschlüsseln)
Eingetragen von Q-Base (339)am 27.06.2007 - 13:21 Uhr in
Hallo,
eigentlich gehört das zum Core, aber der besteht ja auch aus Modulen.
Mir ist aufgefallen, dass die Passwörter in Drupal als MD5-Hash gespeichert werden. Das ist ja nicht so schlecht, es ist aber Standard. Nähme man SHA1, wäre es zwar 'sicherer', aber nicht besser.
Gibt es nicht ein Modul, mit dem ich mir mit einem Zertifikatpaar die Passworte verschlüsseln und entschlüsseln kann bzw. die Hashwerte der Passwörter?
Das Problem besteht doch darin, wenn ich ein Passwort habe, das länger ist als die Länge dessen Hashwertes, so weiß ich genau, dass es eine Kollision mit einem anderen Passwort gibt, das kürzer ist als die Länge dessen Hashwertes. Alles klar?
oder semi-mathematisch:
length(langesPasswort) > length(hash(langesPasswort)) => sum ( hash(kurzesPasswort) == hash(langesPasswort) ) > 1
:-)
Ciao, Q
- Anmelden oder Registrieren um Kommentare zu schreiben
Hm du meinst die Passwörter
am 27.06.2007 - 13:32 Uhr
Hm du meinst die Passwörter der User?
Gerade weil es mit md5 kein zurück mehr gibt (also zum Klartext des Passwort) ist es doch sicher. Oder was hast du vor?
gruß pebosi
Na folgendes. Ich habe eine
am 27.06.2007 - 13:45 Uhr
Na folgendes.
Ich habe eine URI im Internet gesehen, mit der man bei PHPKIT *igitt* sich aus der Datenbank den Hashwert eines Passwortes besorgen kann. Wenn man den Hashwert hat, kann man mit kurzem Aufwand (kleines Programm mal selbst schreiben) lokal ein Passwort generieren, das denselben Hashwert besitzt. So kann man sich dann Zugriff verschaffen.
Das Problem besteht bei jedem Hashverfahren. Das liegt an der weak collision-Eigenschaft von Hashwerten. Im Gegenzug erhält man den Vorteil, dass ein Hashwert immer dieselbe Länge hat.
Ja. Und wenn man nun SHA1 nehmen würde, würde man den Suchaufwand von 128 Bit auf 160 Bit erhöhen, was sich aber nur mit Rechenzeit kompensieren lässt. Bei SHA256 wären es 256 Bit, aber das macht die Sache auch nicht besser.
Lösung wäre also, dass man zum Beispiel ein ganz winzig kleines GnuPG Schlüsselpaar hätte, mit dem man die Hashwerte der Passworte verschlüsselt ablegt. Da die Hashwerte eine konstante Länge haben, wäre auch der verschlüsselte Teil immer gleich lang. Der Aufwand beschrängt sich dann auf das Generieren eines Schlüsselpaars.
So die Idee. Ein bisschen panisch, aber vielleicht eine Überlegung wert.
Ciao, Q
Q-Base wrote: So die Idee.
am 27.06.2007 - 14:08 Uhr
So die Idee. Ein bisschen panisch, aber vielleicht eine Überlegung wert.
Ja panisch :)
Glaube nicht das Drupal die Hashwerte irgendwo ausgibt, du kannst ja mal ein Modul erstellen und dann hier vorstellen, wenn es denn auch wirklich mehr Sicherheit bietet :)
gruß pebosi
Dem entnehme ich, dass es
am 27.06.2007 - 14:14 Uhr
Dem entnehme ich, dass es sowas noch nicht gibt :-) Schade.
Ich denke, einem Nutzer ein madiges Modul unterzuschieben ist kein Problem. Nur um das Angriffsszenario noch schwärzer zu malen :-) *panik_irrläufer*
Ciao, Q