News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 20
Seite [1]
unsource


Beginner




Beiträge: 19
# Thema - 13.04.2009 um 17:05 Uhr
Tag zusammen,
Ich komme frisch von bugspell zu clanspher.
Nun Meine erste frage: Ist ein salted-hash für alle Passwörter (User, Forum usw.) geplant?

Da ich es sonst selber coden würde.


Zuletzt editiert von unsource am 13.04.2009 um 17:18 Uhr (1x Editiert)
Inaktiv
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 1 - 13.04.2009 um 17:08 Uhr
wenn du einen salted-hash meinst:
wenn ich es richtig erinnere ist etwas in die richtung geplant, zumindest für den login.
Wird aber noch eine Weile dauern.


------------------
www.laszlokorte.de

Inaktiv
|
scennative


Poststar




Beiträge: 640
# Antwort: 2 - 13.04.2009 um 17:11 Uhr
Eine Frage was ist das genau?


Inaktiv
|
Nachtmeister


Specialist




Herkunft: Bern
Beiträge: 2091
# Antwort: 3 - 13.04.2009 um 17:12 Uhr
http://de.wikipedia.org/wiki/Salted_Hash

3,5 Sekunden schweisstreibende Arbeit von Google.


------------------
"God created the universe in 1 Day, and then spent 5 days making it look good In Internet Explorer"

Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 4 - 13.04.2009 um 17:15 Uhr
Ach da gibt es doch diese schöne seite
http://lmgtfy.com/?q=salted+hash

btw: wie schmeckt eigentlich ein Hash Salat? und welches Dressing ist zu empfehlen?


------------------
www.laszlokorte.de

Inaktiv
|
unsource
Thread-Ersteller


Beginner




Beiträge: 19
# Antwort: 5 - 13.04.2009 um 17:16 Uhr
Ich werde dann wohl mal schauen, wie ich das aktuelle svn runter bekomme und dadran arbeiten

sorry wegen Hash-Salat xD
salted-hash

EDIT:
http://www.smartweb-cms.de/files/salted_hash.rar
branches
Revision: 2700


Zuletzt editiert von unsource am 13.04.2009 um 19:30 Uhr (2x Editiert)
Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 6 - 13.04.2009 um 19:53 Uhr
deine lösung ist ein anfang, jedoch betrifft sie lediglich zukünftige installationen und stellt damit eine "insel lösung" dar die man so keinesfalls in clansphere als standard integrieren könnte

um salted hashes kommen wir allerdings eh nicht mehr lange herum, da sha1 und vor allem md5 sehr leicht knackbar sind. daher werden wir sicherlich an einer umsetzung arbeiten an der du dich bei interesse gern beteiligen kannst.


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 7 - 13.04.2009 um 20:05 Uhr
habs mir grad nur kurz angeguckt und es sieht mir aus, als wenn der salt in der setup.php gespeichert wird?

dann gibts aber das problem, was auch bei wikipedia genannt wird, dass der salt nur ein verlängertes passwort ist.

bessere lösung wäre, wenn jeder benutzer und jeder Thread bzw jeder Datensatz, der ein passwort hat, auch einen individullen Salt hat, der bei jeder passwort-änderung neu generiert wird.


------------------
www.laszlokorte.de

Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 8 - 13.04.2009 um 20:13 Uhr
sehe ich auch so, der sollte mit in der db gespeichert werden und möglichst einzigartig sein


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 9 - 13.04.2009 um 20:14 Uhr
einzigartig in dem falle, dass man den salted bei jeder eingabe neu generieren lässt, das gleiche bei einer registrierung mit eMail Aktivierung und ohne PassworT eingabe.

zudem per mt_rand ^^


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
Micha.09 ClanSphere Team


Specialist



Herkunft: Dortmund
Beiträge: 2860
# Antwort: 10 - 13.04.2009 um 20:26 Uhr
$password = 'BlaBla';
for($i = 1; $i <= 1000; $i++) {
$password = sha($password);
}


Inaktiv
|
unsource
Thread-Ersteller


Beginner




Beiträge: 19
# Antwort: 11 - 13.04.2009 um 21:40 Uhr
zum updaten kann man
md5(md5(alter_hash).$salted_hash)
verwenden.

13.04.2009 um 20:05 Uhr - SCHIRI:
bessere lösung wäre, wenn jeder benutzer und jeder Thread bzw jeder Datensatz, der ein passwort hat, auch einen individullen Salt hat, der bei jeder passwort-änderung neu generiert wird.

Was wäre davon der Vorteil?


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 12 - 13.04.2009 um 21:46 Uhr
Andersrum: was ist bei einem globalen Salt der Unterschied zu gar keinem Salt?

Der Salt hat, wenn er andauernd neu generiert wird, den Vorteil, als wen ein User sein passwort jeden Tag ändert.
Ein statischer Salt ist nur eine passwordverlängerung.
/e: und wie hajo sagt, dass mehrer user mit gleichen passwörtern verschiedenene salts haben können.


------------------
www.laszlokorte.de

Zuletzt editiert von SCHIRI ClanSphere Team am 13.04.2009 um 21:54 Uhr (3x Editiert)
Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 13 - 13.04.2009 um 21:49 Uhr
denke ein salt zeichnet sich dadurch aus, dass ein passwort auf viele arten anders sein kann, also selbst das gleiche passwort bei unterschiedlichen usern auch unterschiedlich gespeichert wird in der db


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Mindcrime


Geekboy





Beiträge: 1155
# Antwort: 14 - 14.04.2009 um 16:30 Uhr
13.04.2009 um 21:46 Uhr - SCHIRI:
Ein statischer Salt ist nur eine passwordverlängerung.


Nicht ganz, wenn man ein unique salt benutzt schuetzt es vor benutzung von MD5 rainbow tables...

http://en.wikipedia.org/wiki/Rainbow_table

Und das ist eigentlich das wichtigste, das wenn jemand die user tabelle runterladen kann, das er dan nur eine nutzlose liste von MD5 hashcodes hat, den er nirgendwo anders benutzen kann (oder nachsuchen kann) und so lange er den salt nicht hat, auch nicht die MD5 hashcodes von andere benutzer entziffern kann...


Zuletzt editiert von Mindcrime am 14.04.2009 um 16:31 Uhr (1x Editiert)
Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 15 - 14.04.2009 um 16:48 Uhr
Genrell ist ein Salt sowieso "nur" eine passwort-verlängerung. Das ist halt auch nur deshalb nützlich weil rainbow tables nicht für so lange passwörter funktionieren.

auch einen salted hash kann man per rainbow table knacken, das einzige was der salt schwerer macht ist, dass das passwort was rauskommt länger ist (salt und pw zusammen) und für lange pws die rainbow table seeeeehr lange zum berechnen braucht und es deshalb für lange pws keine rainbows gibt.


------------------
www.laszlokorte.de

Inaktiv
|
unsource
Thread-Ersteller


Beginner




Beiträge: 19
# Antwort: 16 - 14.04.2009 um 17:23 Uhr
Das größte Preblem ist:
Wenn jemand ein PW Fischt von einem admin der auf ClanSphere - System zugreifen kann ist alles nutzlos.

Die meisten Benutzer verwenden überall das gleiche passwort.
Dafür reicht ein Website aus.

Datenbank kann man herunterladen -> jedes passwort mit samt den jeweiligen salt raussuchen, cracken
setup.php anschauen und den global salt raussuchen und die pw's cracken.


Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 17 - 14.04.2009 um 17:34 Uhr
wie wäre es dann mit einer internen rainbow table im cms?

funktionsweise stelle ich mir wie beim captcha vor im prinzip mit eingabe von random code


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 18 - 14.04.2009 um 17:36 Uhr
Das größte Preblem ist:
Wenn jemand ein PW Fischt von einem admin der auf ClanSphere - System zugreifen kann ist alles nutzlos.

Die meisten Benutzer verwenden überall das gleiche passwort.
Dafür reicht ein Website aus.

Datenbank kann man herunterladen -> jedes passwort mit samt den jeweiligen salt raussuchen, cracken
setup.php anschauen und den global salt raussuchen und die pw's cracken.

Wenn jemand kompletten Zugriff hat, kann man dagegen sowieso nichts machen. Zumindest wenn das CMS opensource ist und der angreifer schon vorher alles einstudieren kann.


------------------
www.laszlokorte.de

Inaktiv
|
TheSorcerer


Beginner



Herkunft: Gelnhausen
Beiträge: 16
# Antwort: 19 - 25.05.2009 um 06:00 Uhr
14.04.2009 um 17:23 Uhr - unsource:
Das größte Preblem ist:
Wenn jemand ein PW Fischt von einem admin der auf ClanSphere - System zugreifen kann ist alles nutzlos.

Die meisten Benutzer verwenden überall das gleiche passwort.
Dafür reicht ein Website aus.

Datenbank kann man herunterladen -> jedes passwort mit samt den jeweiligen salt raussuchen, cracken
setup.php anschauen und den global salt raussuchen und die pw's cracken.


Hashes - und mit erhöhter "stärke" auch eben Salted Hashes - haben vor allem einen Zweck: die Nicht-Umkehrbarkeit. Ein wiederherstellen eines Klartextpasswortes aus einem Hash ist nicht möglich. Auch ohne Salt nicht. Ein Salt erhöht nur die Widerstandskraft gegen einen Wörterbuch Angriff, bei dem im Idealfall für jeden theoretisch möglichen Hash ein Klartextkennwort, das diesen Hash produziert, enthalten ist. Da das utopisch ist gibt es die angesprochenen Rainbow Tabellen, in denen die Anzahl der Einträge in der Tabelle systematisch reduziert sind. Einfach gehashte Passwörter lassen sich im Prinzip mithilfe dieser Rainbow Tabellen relativ schnell ermitteln, indem der Hashwert aus der Userdatenbank mit den Einträgen in der Rainbow Tabelle verglichen wird. Praktisch ist der Algorithmus etwas komplexer, das tut hier nun aber nichts zur Sache.

Aber was soll das ganze Gelaber? Der Punkt ist Hashes werden nur aus einem Grund genutzt: damit User mit Zugriff auf die Datenspeicher, ob regulär oder erschlichen, mithilfe der gespeicherten Daten nicht auf die Klartextkennwörter schließen können. Ich hätte kein Interesse daran meine Passwörter im Klartext in einer Datenbank gespeichert zu sehen. Jeder mit Zugriff auf diese Datenbank könnte dann sich mit meinem Account einloggen. Das ist bei einer Hash Speicherung nicht der Fall. Die Hash Speicherung ist also ein Schutz in erster Linie nicht gegen Hacker, sondern ein Schutz vor allem vor Leuten mit regulärem Zugriff auf die Datenbank - auch wenn der Admin oder ein anderer Mitarbeiter mit Zugriff auf die Datenbank keine bösen Absichten verfolgt, es geht niemanden etwas an, dass mein Passwort "flitzekacke" ist.

Bis hier hin macht es keinen Unterschied ob unser Passwort gesaltet ist oder nicht. Jetzt kommen wir aber zu dem Punkt wo ein User mit Zugriff auf die Datenbank tatsächlich böse Absichten hat. Sei es der verprellte Datenbank-Administrator oder ein Hacker der sich, wie auch immer, Zugriff zur Datenbank verschafft hat. Dieser User kann nun die gehashten Passwörter der Userdatenbank mithilfe vorgefertigter Rainbow Wörterbücher angreifen. Wird ein einfach gehashtes Passwort gespeichert und ist das Passwort schwach ist die Erfolgsaussicht sehr groß. Switch in salting. Auch bei einem fixen, öffentlich bekannten Salt gibt es nun zwei gravierende Effekte:

1. Das Passwort ist durch den Salt deutlich länger und stärker (mind Zahlen + Buchstaben)
2. Ein vorgefertigtes Rainbow Wörterbuch lässt sich nichtmehr benutzen sondern es muss eines speziell für diesen Salt erstellt werden. Das erfordert Ressourcen und Zeit, die ein Hacker evtl nicht zur Verfügung hat/stellen möchte.

Bereits hier kommen wir an die Grenze des technisch möglichen. Zusätzlichen Schutz bieten dynamische Salts, welche zB zusammen mit dem gesalteten Passwort Hash gespeichert werden. Für das einzelne Passwort bietet dies keinen weiteren Schutz, allerdings wäre nun eine für ein einzelnes Passwort erzeugte Raindbow Table nurnoch für dieses eine Passwort zu gebrauchen, für die anderen Passwörter mit anderen Salts wären neue Rainbow Tables von nöten, die erneut berechnet werden müssten.

Ich hoffe ich habe ein paar Dinge klarstellen können


Zuletzt editiert von TheSorcerer am 25.05.2009 um 07:18 Uhr (1x Editiert)
Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 20 - 25.05.2009 um 09:34 Uhr
jup, 100% agree.

bin noch nicht sicher wie weit wir das einbauen, also ob auch mit dynamischen salts, aber das besprechen wir noch.


Inaktiv
|
Antworten: 20
Seite [1]


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo