Sicheres Passwort erzeugen
Bitte wählen:   Start     Login     Wallpapers     Praktisch     Tools     Umfragen     Infos     Blog     Job     Impressum     X  
Statusinfo ⇒   Neuling    TTLsec:5395     Sonntag, 19.11.2017     Letzte Änderung: 22.11.2015          
 

Bitte auswählen:
   Farbtabellen   
   Hashgenerator   
   MeineIP   
   PasswortKey   
   RegEx   
   ResponseCodes   
   Schrifttabelle   
   ServerSideIncludes   
   StyleSheets   
   Unicode   
   Unixzeit   
   Whois   
   Zufallszahl   

RoBoTom sagt: Hallo Gast, ich bin dein virtueller Begleiter und begrüße dich herzlich beim DiamantNetz.
RoBoTom sagt: Bitte erst LOGIN.

Gast sagt zu  ?
 
 
 
Sicheres Passwort erzeugen inkl. Zufallskey

Als Diensteanbieter ist man oft gezwungen, durch Passwörter geschützte Zugangsbereiche anzulegen. Zumeist wird dabei das vom jeweiligen Benutzer verwendete Passwort in verschlüsselter Form beim Anbieter in einer Datenbank gespeichert. Beim Benutzer-Login wird dann das eingegebene (und nach gleichem Verfahren verschlüsselte) Passwort mit dem in der Datenbank gespeicherten Wert verglichen.

Das Problem dabei ist, dass vereinfacht gesagt zu kurze Passwörter (unter ca. 12 Zeichen) mittels Brute-Force und längere, aber einfache Passworte durch intelligente Programmlogik leicht geknackt werden können. Bitte bedenke: Bei professionellen Angriffen (Angreifer hat dabei allerdings direkt Zugriff auf die Datenbank) werden pro Sekunde wohl durchaus mal rasch eine Milliarde Möglichkeiten durchprobiert.

Es ist daher angebracht, zusätzlich zu dem verschlüsselten Passwort eine zufällig erzeugte lange Zeichenkette (Key) abzuspeichern. Beim Login wird dann anhand des Benutzernamens dieser Key wieder abgerufen und VOR der Verschlüsselung an das Original-Passwort als fester Bestandteil "angehängt". Dies sorgt gleichzeitig dafür, dass bei unterschiedlichen Usern trotz gleichem Original-Passwort durch das "Anhängen" des individuellen Key's unterschiedliche verschlüsselte Passwörter gespeichert sind.

Bei ordentlicher Verschlüsselung (also nicht gerade md5 :-) bleiben als Schwachstellen dabei noch die "Zufälligkeit" des Keys und die Gefahr, dass die Datenbank vom Angreifer "geraubt" wird, womit dann die Keys offenliegen und wieder Brute-Force (auf einen bestimmten Benutzer) erfolgreich wird.

In dem hier vorgestellten Verfahren wird der Key daher zuerst verändert und erst danach mit dem Passwort zur späteren endgültigen Verschlüsselung verbunden. Der Key selbst wird durch eine Kombination aus IP, Zeit, Zufallszahl und benutzerseitiger Zufallseingabe erzeugt.

Nachfolgend kannst du das Verfahren ausprobieren und den - einfach gehaltenen - Quellcode in Form einer ausführbaren PHP5-Datei herunterladen.

Bitte zuerst  Login  - klicke dazu jetzt obiges Menü an (anonym, KEINE Registrierung erforderlich). Danach werden hier Eingabefelder angezeigt.
Ich bitte für diesen Umweg um Entschuldigung; die Gründe kannst du bei FAQ nachlesen.

In diesem Zusammenhang könnte dich vielleicht auch der Hashwert Generator oder der Zufallszahlen Generator interessieren.