[TYPO3-german] Frontend-User mit verschlüsselten Passwörtern

David Bruchmann david at bruchmann-web.de
Fri Mar 20 14:25:36 CET 2009 

t3sec_saltedpw ist die bessere Lösung und verwendet möglicherweise auch 
md5 Verschlüsselung.

Clou an der Geschichte ist, daß man md-5 Passwörter normalerweise mit 
Rainbow-Tables zurückübersetzen kann. der Logarithmus selbst erlaubt 
keine Rückübersetzung, aber in den Rainbow-Tables stehen die MD5-Werte 
beliebieger Strings, dadurch kann man die Original-Werte mit Hilfe 
dieser Tabellen auslesen.

Bei t3sec_saltedpw wird aber vor der Verschlüsselung ein zufälliger Wert 
  an das Passwort gehängt. Dadurch ist der MD5-Wert (Falls das in MD5 
gespeichert wird) anders und läßt sich nicht mehr in den Rainbow-Tables 
nachsehen.
http://de.wikipedia.org/wiki/Salt_(Kryptologie)

Gruß
David

----- Ursprüngliche Nachricht -----
Von:        Lars Brinkmann <brinkmann.lars at gmail.com>
Gesendet:   Freitag, 20. März 2009 14:09:03
An:         German TYPO3 Userlist <typo3-german at lists.netfielders.de>
CC:
Betreff:    [TYPO3-german] Frontend-User mit verschlüsselten Passwörtern
> Hallo Liste,
> 
> ich möchte bei einer neuen Seite einen geschlossenen Bereich für
> verschiedene Benutzergruppen einrichten. Nun sollen die Passwörter
> nicht im Klartext in der Datenbank stehen. SSL steht erst einmal nicht
> zur Verfügung.
> 
> Wie ist denn da zur Zeit der aktuelle Stand der Dinge?
> 
> Reicht es, nur die neue Extension "Salted user password hashes
> (t3sec_saltedpw)" einzusetzen oder doch lieber "MD5 FE Password
> (kb_md5fepw)" oder sogar beide? Wie ist das mit der Kompatibilität der
> kb_md5fepw? Die Entwicklung der Extension scheint ja eingestellt.
> Immerhin ist sie seit Februar 2006 im Beta-Status und seitdem ist ja
> doch die ein oder andere TYPO3-Version erschienen.
> 
> Und wie sieht bei der Salted user-Extension das Zusammenspiel mit
> weiteren Extension, wie zum Beispiel newloginbox und
> sr_feuser_register aus? Und wie ist das bei sr_feuser_register mit der
> benötigten Extension div2007? Diese hat ja sogar "nur" Alpha-Status.
> Kann man sie dennoch bedenkenlos einsetzen?
> 
> Viele Grüße, Lars Brinkmann
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>

More information about the TYPO3-german mailing list