DiamantNetz 2.0 Sicheres Passwort erzeugen |
Start Login Wallpapers Praktisch Tools Umfragen Infos Blog Impressum X |
Statusinfo ⇒
Neuling TTLsec:5395 Dienstag, 11.02.2025 Letzte Änderung: 28.07.2024 ![]() |
Als Diensteanbieter ist man oft gezwungen, durch Passwörter geschützte Zugangsbereiche anzulegen. Zumeist wird dabei das vom jeweiligen Benutzer verwendete Passwort in verschlüsselter Form beim Anbieter in einer Datenbank gespeichert. Beim Benutzer-Login wird dann das eingegebene (und nach gleichem Verfahren verschlüsselte) Passwort mit dem in der Datenbank gespeicherten Wert verglichen.
Das Problem dabei ist, dass vereinfacht gesagt zu kurze Passwörter (unter ca. 12 Zeichen) mittels Brute-Force und längere, aber einfache Passworte durch intelligente Programmlogik leicht geknackt werden können. Bitte bedenke: Bei professionellen Angriffen (Angreifer hat dabei allerdings direkt Zugriff auf die Datenbank) werden pro Sekunde wohl durchaus mal rasch eine Milliarde Möglichkeiten durchprobiert.
Es ist daher angebracht, zusätzlich zu dem verschlüsselten Passwort eine zufällig erzeugte lange Zeichenkette (Key) abzuspeichern. Beim Login wird dann anhand des Benutzernamens dieser Key wieder abgerufen und VOR der Verschlüsselung an das Original-Passwort als fester Bestandteil "angehängt". Dies sorgt gleichzeitig dafür, dass bei unterschiedlichen Usern trotz gleichem Original-Passwort durch das "Anhängen" des individuellen Key's unterschiedliche verschlüsselte Passwörter gespeichert sind.
Bei ordentlicher Verschlüsselung (also nicht gerade md5 :-) bleiben als Schwachstellen dabei noch die "Zufälligkeit" des Keys und die Gefahr, dass die Datenbank vom Angreifer "geraubt" wird, womit dann die Keys offenliegen und wieder Brute-Force (auf einen bestimmten Benutzer) erfolgreich wird.
In dem hier vorgestellten Verfahren wird der Key daher zuerst verändert und erst danach mit dem Passwort zur späteren endgültigen Verschlüsselung verbunden. Der Key selbst wird durch eine Kombination aus IP, Zeit, Zufallszahl und benutzerseitiger Zufallseingabe erzeugt.
Nachfolgend kannst du das Verfahren ausprobieren und den - einfach gehaltenen - Quellcode in Form einer ausführbaren PHP5-Datei herunterladen.
Bitte zuerst Login - klicke dazu jetzt obiges Menü an (anonym, KEINE Registrierung erforderlich). Danach werden hier Eingabefelder angezeigt.
Ich bitte für diesen Umweg um Entschuldigung; die Gründe kannst du bei FAQ nachlesen.
In diesem Zusammenhang könnte dich vielleicht auch der Hashwert Generator oder der Zufallszahlen Generator interessieren.